رغم مرور أكثر من عشر سنوات على اكتشاف هجوم Kerberoasting، إلا أنه لا يزال يشكل تهديدًا فعّالًا يصعب رصده باستخدام وسائل الحماية التقليدية. يكمن سبب ذلك في اعتماد الأنظمة الأمنية على قواعد ثابتة وأساليب تحليل ضعيفة وغير مرنة، ما يؤدي إلى فشل في اكتشاف الهجمات البطيئة أو الدقيقة، أو توليد إنذارات كاذبة بكثرة.
هجوم Kerberoasting يستهدف بروتوكول المصادقة Kerberos المستخدم في بيئات Active Directory بنظام ويندوز. يقوم المهاجم باستخدام LDAP للبحث عن حسابات تحتوي على أسماء رؤساء خدمات (SPNs)، ثم يطلب تذاكر TGS لهذه الحسابات. بما أن تذاكر TGS تكون مشفّرة باستخدام هاش كلمة مرور الحساب الخدمي، يمكن للمهاجم كسر التشفير لاحقًا واستخلاص كلمة المرور، ما يتيح له تصعيد الصلاحيات أو التنقل داخل الشبكة أو سرقة البيانات.
محدودية أساليب الكشف التقليدية
تستخدم العديد من المؤسسات طرقًا تعتمد على التحليل الحجمي أو نوع التشفير لرصد سلوكيات مشبوهة في طلبات TGS. مثلًا، قد يتم التنبيه في حال ارتفاع كبير ومفاجئ في عدد الطلبات من حساب واحد، أو عند استخدام أنواع تشفير أضعف مثل RC4 بدلًا من AES. إلا أن هذه الطرق تعاني من مشاكل كبيرة في الدقة وتولد الكثير من الإنذارات الكاذبة، ولا تأخذ بعين الاعتبار أنماط الاستخدام الفريدة في كل بيئة.
نموذج إحصائي جديد لرصد هجمات Kerberoasting
فريق أبحاث BeyondTrust سعى لتطوير طريقة أكثر دقة وذكاء في الكشف عن الهجمات، بالاعتماد على النماذج الإحصائية المتقدمة بدلاً من القواعد الثابتة. الفكرة الأساسية كانت بناء نموذج يتعلم السلوك الطبيعي من البيانات السياقية، وبالتالي يكتشف الانحرافات غير الطبيعية بدقة أعلى.
وضع الفريق البحثي أربعة معايير أساسية لتطوير النموذج:
-
قابلية التفسير: أن يكون المخرَج مفهومًا وسهل التتبع من قبل المحللين الأمنيين.
-
احتساب الشكوك: أن يعكس النموذج حجم العينة ومستوى الثقة دون الاقتصار على تنبيه ثنائي فقط.
-
القدرة على التوسع: أن لا يتطلب موارد ضخمة من الحوسبة السحابية أو التخزين عند تحديث البيانات.
-
المرونة في التعامل مع التغيرات: أن يتكيف النموذج مع تغيرات البيانات بمرور الوقت ويعدل تعريف الشذوذ وفقًا لذلك.
قام الباحثون بتصميم نموذج يقوم بتجميع أنماط طلبات التذاكر المتشابهة ضمن مجموعات متجانسة، ثم يتابع التكرارات ضمن “سِلال بيانية” لتعلم السلوك الطبيعي لكل مجموعة. وبهذا الشكل، يمكن تجاهل الأحداث التي تبدو مشبوهة في سياق منفصل ولكنها طبيعية ضمن المجموعة التي تنتمي إليها.
نتائج النموذج الإحصائي
تم اختبار النموذج على بيانات تغطي 50 يومًا، بما يعادل 1200 فترة تقييم ساعة واحدة، وكانت النتائج على النحو التالي:
-
استغرق وقت المعالجة أقل من 30 ثانية شاملة تحديث الرسوم البيانية، التجميع، حساب الدرجات، وتخزين النتائج.
-
كشف عن ست حالات شاذة، بينها محاولات اختراق خلال اختبارات اختراق داخلية، ومحاكاة هجوم Kerberoasting، وأحداث ناتجة عن تغييرات كبيرة في بنية Active Directory.
-
تعامل بكفاءة مع الحسابات ذات التغيرات الكبيرة، وقلل تنبيهات الشذوذ بعد رصد نمط متكرر خلال فترتين فقط باستخدام نافذة انزلاق ديناميكية.
أهمية الجمع بين الأمن والإحصاء
هذا الإنجاز يعكس ضرورة التعاون بين الباحثين في الأمن السيبراني وخبراء الإحصاء لبناء نماذج أكثر دقة وقابلة للتكيف. فبينما يوفّر الإحصائيون نماذج ذكية قادرة على فهم السلوك المتغير، يضيف الباحثون الأمنيون السياق اللازم لتحديد الأنشطة الخطرة.
تعزيز الحماية بهويات قوية ونماذج كشف متقدمة
رغم أن تقنيات الكشف مهمة، إلا أن الوقاية تلعب دورًا جوهريًا في تقليل خطر هجمات Kerberoasting. تقنيات مثل BeyondTrust Identity Security Insights توفر قدرات اكتشاف التهديدات القائمة على الهوية (ITDR)، وتساعد في التعرف على الحسابات الضعيفة أو تلك التي تستخدم رؤساء خدمات بشكل خاطئ أو تستعمل خوارزميات تشفير ضعيفة.
الدمج بين نماذج الكشف الذكية والتدابير الوقائية الاستباقية هو الطريق الأمثل لمواجهة تعقيدات بيئات تكنولوجيا المعلومات الحديثة.
