تقليص مساحة الهجوم: كيف تتجنب سباق الثغرات الصفرية؟

تواجه فرق الأمن السيبراني تحدياً متكرراً مع كل إعلان عن ثغرة جديدة: الوقت الضيق بين الكشف والاستغلال. لكن الخبراء يؤكدون أن السباق المحموم لتطبيق التصحيحات يمكن تجنبه إذا تم تقليص مساحة الهجوم بشكل استباقي، أي تقليل عدد الأنظمة والخدمات المكشوفة على الإنترنت قبل وقوع الأزمة.

نافذة الاستغلال تتقلص بسرعة

تشير أبحاث Zero Day Clock إلى أن الفترة بين الكشف والاستغلال قد تصل إلى دقائق فقط بحلول عام 2028، بعدما كانت تتراوح بين 24 و48 ساعة في بعض الثغرات الحرجة. هذا يعني أن الفرق الأمنية لا تملك وقتاً كافياً لإجراء الفحوصات، رفع التذاكر، تحديد الأولويات، وتنفيذ التصحيحات قبل أن يبدأ المهاجمون في الاستغلال على نطاق واسع.

مثال حي: ثغرة SharePoint

في حالة ثغرة ToolShell التي أصابت Microsoft SharePoint، تم الكشف عنها يوم سبت، بينما كانت مجموعات مدعومة من الصين تستغلها بالفعل منذ أسبوعين. وبما أن SharePoint مرتبط بـ Active Directory، فإن أي استغلال كان يعني الوصول إلى قلب البنية التحتية للمؤسسات. الأبحاث أظهرت أن آلاف الخوادم كانت مكشوفة للعامة رغم أن SharePoint لا يحتاج أن يكون متاحاً عبر الإنترنت، ما جعل كل خادم غير مُرقّع بمثابة باب مفتوح للهجوم.

لماذا تُفوت الفرق الأمنية هذه التعرضات؟

غالباً ما تُصنف نتائج الفحص الأمني إلى مستويات حرجة، عالية، متوسطة، ومنخفضة، بينما تُترك بعض النتائج كمعلومات فقط. لكن هذه “المعلومات” قد تخفي خطراً حقيقياً، مثل:

• خادم SharePoint مكشوف للعامة.
• قاعدة بيانات مثل MySQL أو Postgres متاحة عبر الإنترنت.
• بروتوكولات داخلية مثل RDP وSNMP مكشوفة خارجياً.

التعامل مع هذه النتائج كملاحظات ثانوية يجعل المخاطر الحقيقية تمر دون معالجة، رغم أنها قد تكون مدخلاً مباشراً للهجوم.

خطوات عملية لتقليص مساحة الهجوم

هناك ثلاث ركائز أساسية لتطبيق استراتيجية تقليص مساحة الهجوم:

1. اكتشاف الأصول: تحديد ما تملكه المؤسسة وما هو متاح للعامة، بما في ذلك أنظمة Shadow IT غير المراقبة. يشمل ذلك التكامل مع مزودي السحابة وDNS، استخدام تقنيات تعداد النطاقات الفرعية، والتحقق من الالتزام بسياسات استخدام مزود السحابة الأساسي.
2. اعتبار التعرض خطراً قائماً بذاته: يجب التعامل مع التعرض كفئة مستقلة من المخاطر، وتخصيص وقت دوري لمراجعة وتقليل التعرضات، بدلاً من تركها تتنافس دائماً مع أولويات التصحيح العاجلة.
3. المراقبة المستمرة: التعرضات تتغير باستمرار مع تعديل قواعد الجدار الناري أو نشر خدمات جديدة. الفحص اليومي للمنافذ يُعد أكثر ملاءمة من الفحوصات الكاملة البطيئة، إذ يكشف فوراً عن أي خدمة مكشوفة حديثاً مثل Remote Desktop.

النتيجة: تقليل المفاجآت

عندما لا تكون الخدمات غير الضرورية مكشوفة منذ البداية، تقل فرص استغلالها في حملات واسعة بعد الكشف عن ثغرة جديدة. هذا يعني وقتاً أطول للاستجابة المدروسة، وابتعاداً عن حالة الطوارئ التي تفرضها الثغرات الصفرية.

كلمات مفتاحية: , Attack Surface Reduction, Vulnerability Management, ,,, Intruder, Active Directory, Exposure Risk, Port Scanning, الأمن السيبراني