متى كانت آخر مرة تعرضت فيها للخداع؟ الآن فقط؟ في وقت سابق اليوم؟ بالأمس؟ ربما كان ذلك في الآونة الأخيرة أكثر مما تعتقد، حيث يسود التصيد الاحتيالي أكثر الهجمات المرتبطة ببيانات الاعتماد شيوعًا وفقًا لتقرير تحقيقات فيريزون 2024 لاختراق البيانات لعام 2024 ومع 3.4 مليار رسالة بريد إلكتروني غير مرغوب فيها يُقال إنه يخرج كل يوم.
سؤال أكثر إثارة للاهتمام: متى كان أولاً الوقت الذي تعرضت فيه للخداع؟ قبل عشر سنوات؟ عشرون؟ أكثر من ذلك؟ إذا كنت متواجدًا ومتصلاً بالإنترنت في عام 2000، فربما تكون قد تعرضت للهجوم من قبل دودة ILOVEYOUU, وهو مخطط تصيد احتيالي مبكر للغاية أدى إلى إغلاق أنظمة البريد الإلكتروني في AT&T والبنتاجون، من بين أماكن أخرى.
كل ذلك يقودنا إلى السؤال المهم حقًا: لماذا لا يزال هذا الأمر يحدث، وما الذي يتطلبه الأمر لإيقافه؟
حسناً، حتى الآن، لم يكن لدينا حتى الآن النموذج الأمني المناسب لمكافحة التصيد الاحتيالي بفعالية. ولكن الخبر السار هو أنه أصبح لدينا الآن: الثقة الصفرية.
يستمر التصيّد الاحتيالي لعدة أسباب: من السهل القيام به، ومن الصعب محاربته، كما أنه يؤتي ثماره بشكل جيد. إن منهجية التنكر المتبعة بسيطة للغاية؛ ما عليك سوى التظاهر بأنك شخص آخر، وبذلك تخدع الضحية لتقديم بيانات اعتماد تسجيل الدخول التي من شأنها تمكين الوصول إلى البيانات القيمة والموارد الأخرى.
مثل تشارلي براون يثق في لوسي عدم تحريك كرة القدم، يبدو أن ضحايا التصيّد الاحتيالي ينخدعون بشكل دائم ليقعوا في نفس الخطأ مرة تلو الأخرى. وذلك لأن أساليب الجناة تتطور باستمرار. على سبيل المثال, ، كانت محاولات التصيد الاحتيالي الأولية تتم عادةً عبر البريد الإلكتروني، أما الآن فمن المرجح أن تشمل الرسائل النصية وغيرها من أشكال الاتصال. إن التحولات المستمرة في الأشكال والأساليب تجعل من الصعب على المتلقين التعرف على المتلقي مخططات التصيد الاحتيالي المختلفة على ما هي عليه - حتى عندما يكون المتلقي شخصًا يجب أن يكون على دراية أفضل.
طالما استمرت مخططات التصيد الاحتيالي في العمل، ستستمر المؤسسات في خسارة الأموال، وستستمر الجهات الفاعلة السيئة في إثراء نفسها. أحدث متوسط قيمة الاختراقات التي نتجت عن التصيد الاحتيالي؟ $4.76 مليون, وفقًا لتقرير تكلفة اختراق البيانات لعام 2023 الصادر عن شركة IBM.
ولكن هناك طريق إلى نتيجة مختلفة، وهي تكمن في انعدام الثقة.
بعد كل هذه السنوات من هجمات التصيّد الاحتيالي التي أوقعت المؤسسات ضحايا بملايين الدولارات، نشهد الآن تحولاً في كيفية الدفاع ضد التصيّد الاحتيالي وهجمات طلب الفدية وهجمات سلسلة التوريد وغيرها من التهديدات - وهو تحول يبشر بتحول جيد للغاية في الدفاعات الأكثر فعالية ضد التصيّد الاحتيالي.
في هذا التحول، تبرز الثقة الصفرية كأحد أكثر الطرق فعالية لتحسين الأمن من خلال تجاوز النماذج التقليدية القائمة على المحيط الخارجي لمكافحة التهديدات بشكل أكثر فعالية.
كما جاء في تقرير جارتنر® تقرير "إجابة سريعة: ما هي المبادئ الأساسية للثقة الصفرية؟": "الثقة الصفرية هي نموذج. فهو يستبدل الثقة الضمنية بالثقة الضمنية بمستويات المخاطر والثقة التي يتم تقييمها باستمرار، استناداً إلى الهوية والسياق."
في نموذج أمان انعدام الثقة، لم يعد التحقق من أن شخصاً ما أو شيئاً ما غير جدير بالثقة حدثاً لمرة واحدة يحدث فقط استجابةً لمحاولة وصول أو حدث آخر يحتمل أن يكون محفوفاً بالمخاطر. بدلاً من ذلك، يجب على المؤسسات التحقق من الجدارة بالثقة باستمرار. فكّر في الأمر على أنه ابتعاد عن فكرة "ثق، ولكن تحقق" كأساس للأمان - وبدلاً من ذلك تبني مفهوم "لا تثق أبداً، تحقق دائماً".
واليوم، تقوم بعض المنظمات الأكثر أمنًا في العالم - تلك التي تشكل جزءًا مباشرًا أو غير مباشر من الحكومة - بتكليف "الثقة الصفرية" لتحسين أمنها. المذكرة التنفيذية الصادرة عن مكتب الإدارة والميزانية الأمريكي (OMB) M-22-09 يضع استراتيجية هيكلية اتحادية لبنية الثقة الصفرية للحكومة. وفي أوروبا، يتضمن توجيه NIS2، وهو تشريع على مستوى الاتحاد الأوروبي بشأن الأمن السيبراني سبعة مبادئ للثقة الصفرية-كما حددها المعهد الوطني الأمريكي للمعايير والتكنولوجيا (المعهد الوطني للمعايير والتكنولوجيا والابتكار).
قد تتساءل كيف تنطبق التوجيهات الحكومية رفيعة المستوى بشأن الثقة المعدومة الموضحة أعلاه على مكافحة التصيد الاحتيالي، على وجه التحديد. جارتنر تقرير يفترض ذلك: "يمكن لقادة الأمن وإدارة المخاطر توحيد خمسة مبادئ أساسية لدفع استراتيجية انعدام الثقة في مؤسساتهم إلى الأمام." نعتقد أن العديد من هذه المبادئ الأساسية تبدو ذات صلة مباشرة بجهود مكافحة التصيد الاحتيالي:
"إثبات الهوية" ولتلبية مبدأ انعدام الثقة هذا، يشير تقرير Gartner إلى أن المؤسسات تحتاج إلى "سياسة تنظيمية ثابتة لـ "من يجب أن يكون لديه حق الوصول إلى ماذا ومتى ولماذا".
نحن نرى أن هذه السياسة هي واحدة من أكثر الخطوات الفعالة التي يمكن للمؤسسات اتخاذها لتعزيز أمنها العام والدفاع عن نفسها من التصيد الاحتيالي على وجه التحديد. مع وجود هذه السياسة، فإن المستخدمين الذين يتعرضون للتصيد الاحتيالي سيكونون ببساطة أقل عرضة للوصول إلى الأهداف عالية القيمة التي تتطلع الجهات الفاعلة السيئة للحصول عليها. كما ستقل قدرة الحسابات المخادعة على التحرك أفقياً وإيجاد أو طلب استحقاقات جديدة لاستغلالها.
يشير التقرير أيضًا إلى أن هناك متطلبًا آخر مطلوبًا للوفاء بهذا المبدأ وهو "دعم التكنولوجيا لتنفيذ عوامل متعددة للمصادقة."
نظراً لأن التصيّد الاحتيالي يستهدف بيانات الاعتماد، فإن حلاً مثل المصادقة متعددة العوامل (MFA) من RSA يمكن أن يحد بشكل كبير من الضرر الذي يمكن أن تسببه بيانات اعتماد واحدة مخترقة.
"وصول محدود." لا يقتصر الأمر على أنه يجب على المؤسسات تحديد الهوية وتحديد الاستحقاقات التي يحتاجها مستخدم معين مسبقاً: بل يجب عليها أيضاً أن تسعى جاهدة للحد من الوصول كلما أمكن ذلك. في حالة التصيد الاحتيالي، فإن تقييد الوصول سيساعد على ضمان عدم قدرة الجهات الفاعلة السيئة على الاعتماد على بيانات اعتماد المستخدم للحصول على ما يريد. لهذا السبب يوصي تقرير جارتنر بأنه للمضي قدمًا نحو انعدام الثقة، "يجب أن يكون للمستخدمين أو الأنظمة حق الوصول إلى مورد ما فقط بناءً على الحاجة لأداء وظيفة مطلوبة."
وبالمثل، يشير التقرير إلى أن الوصول المحدود يتطلب "تقليل مناطق الثقة الضمنية والحقوق الممنوحة لحسابات المستخدمين". نحن نشعر أن قلة عدد الأشخاص الذين لديهم وصول أقل والمزيد من الأقفال معًا يخلق بيئة لا يوجد فيها الكثير مما يمكن أن يستغله الفاعل السيئ.
دعماً لهذه البيئة حوكمة RSA ودورة حياتها يوفر إطار عمل لإدارة الوصول لا يركز فقط على معرفة ما يمكن للمستخدمين الوصول إليه، ولكن أيضًا على ما يمكنهم الوصول إليه افعل مع هذا الوصول
"توفير وصول تكييفي قائم على المخاطر." إذا كنت قد قرأت أي شيء عن Zero Trust، فستعرف أن إحدى الأفكار الرئيسية وراء البنية هي "لا تثق أبداً، تحقق دائماً". ويعني القيام بذلك أن تقوم المؤسسات بالتحقق من صحة كل طلب وصول في الوقت الحالي قبل توسيع المزيد من الامتيازات أو الوصول. هذه الفكرة للتحقق المستمر مذكورة في هذه النقطة من تقرير Gartner: "الانتقال من التحقق من البوابة لمرة واحدة إلى التقييم المستمر للمخاطر أثناء الجلسة."
تُعد المصادقة القائمة على المخاطر ضرورية للانتقال نحو الثقة المعدومة ومنع التصيد الاحتيالي، حيث من المحتمل أن يحاول مجرمو الإنترنت الذين لديهم بيانات اعتماد مزيفة تسجيل جهاز جديد أو العمل من موقع جديد أو محاولة الوصول خارج ساعات العمل المعتادة للمستخدم الحقيقي. الذكاء الاصطناعي للمخاطر RSA اكتشاف تلك الإشارات والتصدي لمحاولات الوصول وفقًا لذلك. (وحتى إذا تمكن أحد الفاعلين السيئين من الدخول بطريقة ما في البداية، فإن القدرة الاستخباراتية القائمة على المخاطر ستحد من المدة التي يمكن أن يبقى فيها).
في حين أن احتمال مكافحة التصيّد الاحتيالي باستخدام Zero Trust أمر مثير، إلا أنه من المهم أيضًا ملاحظة أن التصيّد الاحتيالي ليس بأي حال من الأحوال فقط ناقلات التهديد التي يمكن للمؤسسات الدفاع ضدها باستخدام Zero Trust.
###
قم بتنزيل تقرير جارتنر, إجابة سريعة: ما هي المبادئ الأساسية للثقة الصفرية؟
شركة جارتنر إجابة سريعة: ما هي المبادئ الأساسية للثقة الصفرية؟، واين هانكينز، تشارلي وينكليس وأندرو ليرنر نُشر في الأصل 2 مايو 2024.
GARTNER هي علامة تجارية وعلامة خدمة مسجلة لشركة GARTNER و/أو الشركات التابعة لها في الولايات المتحدة وعلى الصعيد الدولي وتستخدم هنا بإذن. جميع الحقوق محفوظة.
