كشفت شركة «إف 5»، عن أهم الأسئلة التي يجب طرحها قبل التعاقد مع شركات الأمن الإلكتروني بغية التأكد من قدراتها على الحد من هجمات روبوتات الويب الخبيثة التي باتت معقدة ومنتشرة على نطاق واسع. حيث لم تعد تلك هجمات تقف عند محاولة اختراق حسابات العملاء وحسب، بل أصبحت تشكل خطرا كبيرا على سمعة العلامات التجارية. وأصبحت الشركات المعرضة للهجمات ملزمة بدفع نفقات إضافية على بناها التقنية لمعالجة تحدي ارتفاع حركة مرور البيانات الناجمة عن أنشطة تلك الروبوتات الخبيثة (البوت)، والمترافقة عادة مع هجمات الاحتيال الإلكتروني وانتحال الشخصية.
جاء ذلك على لسان محمد أبوخاطر، نائب الرئيس الإقليمي في الشرق الأوسط وإفريقيا لدى الشركة،
وتتوفر جملة من الحلول والتدابير بين يدي الشركات لمعالجة تلك الهجمات والتخفيف من تداعياتها، والتي تتراوح بين الحد من معدل تدفق البيانات وحجب عناوين الإنترنت المشبوهة، وتعقب البصمة الإلكترونية لمتصفحات الويب، ونشر اختبارات أمنية تميز المستخدمين البشر عن الروبوتات، وحتى إطلاق حملات لتلميع العلامة التجارية. لكن مواجهة هجمات الروبوتات الخبيثة بكل تلك الأدوات أصبحت أشبه بمعركة متعددة الجبهات تستنزف موارد الشركات وتنال من سمعتها، الأمر الذي دفعها إلى النظر في تعهيد مهمة مكافحة روبوتات الويب إلى مزودي خدمات الأمن الإلكتروني.
ويجب أن تأتي مسألة تقييم كفاءة مزودي خدمات الأمن الإلكتروني في مقدمة أولويات الشركات حتى تضمن أفضل مستوى من الحماية الأمنية الإلكترونية. وتضع «إف 5» بين يدي الشركات عشرة أسئلة ينبغي طرحها على مزودي خدمات الأمن الإلكتروني لتحديد الأفضل والأكثر كفاءة:
1. ما هي أساليب مزود الخدمة في مواجهة مناورات المهاجمين؟
هذا هو السؤال الأول الذي يجب طرحه على مزودي حلول وخدمات مكافحة روبوتات الويب الخبيثة. حيث بات يُعرف عن المهاجمين الإلكترونيين الإصرار واتباع مناورات جديدة لدى فشل محاولاتهم الأولى، سيما عندما يكون هناك صيد ثمين من المعلومات في حسابات العملاء المراد اختراقها. وتعتبر مناورات الكر والفر هذه من التكتيكات الأساسية التي ينتهجها المهاجمون لتحقيق غاياتهم. فعندما يتم نشر تدابير أمنية مضادة، يعاود المهاجمون المحاولة مجددا لأجل الالتفاف وفق أساليب وأدوات جديدة تشمل حتى تسخير الذكاء الاصطناعي. وقد شبّهت الشركات التي تعرضت لهجمات سرقة البيانات معركتها ضد هجمات روبوتات الويب الخبيثة بلعبة القط والفأر. ولهذا يجب الحصول على إجابة مقنعة من مزودي الحلول الأمنية عن هذا السؤال لضمان نجاحهم الدائم في هذه المعركة.
2. هل يتسبب مزود الخدمة الأمنية بحالة إحباط بين عملاء الشركات؟
هناك سلبيات عدة قد تنجم عن احتكاك العملاء مباشرة بالتدابير الأمنية الإلكترونية الوقائية، ومن بينها آليات استيثاق الدخول بعوامل متعددة واختبارات تمييز الإنسان عن روبوتات الويب (كابتشا). حيث يؤدي فشل العملاء أحيانا في تخطي تلك الإجراءات الوقائية إلى تدني مستوى رضاهم وإحجامهم عن إتمام عمليات الشراء بنسب تتراوح ما بين 15 و50 بالمئة. وهناك حالات من الإحباط قد يصل فيها الأمر إلى خسارة العملاء نهائيا إثر تعرضهم لأي تجربة استخدام سلبية.
لذلك ينبغي توخي الحذر من مزودي الخدمات الأمنية الذين يعتمدون على إجراءات وقائية معروف عنها التسبب بحالة إحباط بين المستخدمين، سيما تلك التي يتمكن المهاجمون من الالتفاف عليها أصلا. إذ لا بد من الإشارة إلى قدرة المحتالين على تسخير أدوات وجهود بشرية لحل اختبارات التحقق من ماهية المستخدمين، فضلا عن استغلالهم المعلومات الشخصية في انتحال صفة مالكي الحسابات المخترقة والاستعانة بأرقام هواتف بديلة لتجاوز طلبات استيثاق الدخول بعوامل متعددة.
3. كيف تتدارك الخدمة الأمنية حالات الالتباس في تحديد هوية المستخدمين؟
هناك على الدوام نسبة من الخطأ والصواب عند الفصل بين أنشطة روبوتات الويب الخبيثة وأنشطة المستخدمين من البشر. ولا بد أن يقع مزودو الخدمات الأمنية أحيانا في الخطأ عند محاولة التفريق بين نشاط المستخدم العادي وروبوتات الويب. لذلك يجب على مزودي الخدمة الأمنية إثبات المقدرة على تقليص نسبة أخطاء الرصد إلى أدنى درجة. وينبغي توافر السبل للتواصل مع مزود الخدمة الأمنية مباشرة وتقديم الشكاوى عن تلك الحالات ليتم معالجتها دون أي تأخير.
4. كيف يستجيب مزود الخدمة عند نجاح المهاجمين في تجاوز آلية الكشف الأمني؟
أصبحت الخبرات المتقدمة لدى المهاجمين الإلكترونيين تستدعي عمل مزودي خدمات الأمن الإلكتروني وفق فرضية أن الهجمات ستنجح في تجاوز ضوابط الأمن الإلكتروني لا محالة. وقد لا يقع العلم بنجاح الهجمات إلا بعد ظهور عوارض جانبية لاحقة مثل اكتشاف حالات استيلاء على حسابات العملاء والاحتيال الإلكتروني وظهور انحراف غير معتاد في تحليلات بيانات العمل. ولذلك يتعين على مزود الخدمة الأمنية توفير حلول تتطرق إلى تلك الحالات فورا ومعالجة المشاكل الناجمة عنها.
هناك حالات يعمد فيها المحتالون المتمرسون إلى إدخال كلمة المرور يدويا في متصفح الويب بهدف تجاوز الدفاعات المضادة لأتمتة إدخال البيانات، الأمر الذي قد يؤدي بالمحصلة إلى وقوع الاستيلاء على الحساب والاحتيال. ولذلك يجب أن يتحلى مزود الخدمة الأمنية بالقدرة على تحديد ما إذا كان الشخص الذي يحاول الدخول عميلا موثوقا به أم محتالا واتخاذ الإجراء المناسب في تلك الحالة.
7. عند نجاح المهاجم في تجاوز التدابير، هل يبقى مزود خدمة الأمن قادرا على تتبع الاختراق؟
تتميز أفضل حلول الحد من هجمات روبوتات الويب الخبيثة بعملها المستمر على تتبع الإشارات السلوكية المستقرأة عن بُعد وتجميع البيانات وتحليلها في سائر الأجهزة والشبكات والبيئات، بهدف تعظيم مدى الرؤية الأمنية ورصد التجاوزات بدقة. ويؤدي هذا بدوره إلى تعزيز فعالية نماذج الذكاء الاصطناعي المغلقة وتقديم رؤى شاملة عن الأوضاع لمراكز عمليات الأمن التابعة لمزود الخدمة الأمنية.
8. ما مدى صعوبة نشر الحل الأمني وصيانته؟
هل يتعين على المستخدمين أو المسؤولين في الشركات تثبيت برمجيات مخصصة في الأجهزة الطرفية أم أن الحماية تكون تلقائية من ذاتها؟ وعلى فرض عدم توفر الحضور الأمني في النقاط النهائية، فكيف سيكتشف مزود الخدمة الأمنية الأجهزة المحمولة التي خضعت للاختراق جذريا؟ وكيف يستطيع المزود كشف الهجمات الواردة من شبكة الإنترنت المظلمة باستخدام الأحدث من أدوات الأمن والبيانات؟ وماذا عن أمن الواجهات البرمجية للتطبيقات؟
يعمل المهاجمون دوما على استغلال روبوتات الويب والأتمتة وكلمات المرور المخترقة لرفد جهودهم وسعيهم نحو الكسب المادي في المحصلة. ولذلك فإن الحلول البدائية للحد من الهجمات تعتبر غير ناجعة. فعلى سبيل المثال، لوحظ عن المهاجمين معاودة استخدام عنوان بروتكول الإنترنت الهجومي، ومتوسط استخدامهم هذا يصل إلى 2.2 مرة اعتياديا، لكنهم في الغالب يستخدمون العنوان ذاته مرة واحدة فقط في اليوم أو طوال الأسبوع، الأمر الذي يجعل من سياسة حجب عناوين الإنترنت عديمة الفائدة إلى حد كبير.
ويبذل المهاجمون جهودهم عادة على أربع محاور:
لذلك يتعين على أي خدمة أمنية كفؤة الاستناد إلى العديد من المؤشرات وتسخير الذكاء الاصطناعي للحصول على رؤى تساعد على اتخاذ القرارات والكشف عن السلوكيات الأمنية الشاذة والاحتيال، بما في ذلك تتبع أنشطة النسخ واللصق، والتبديل بين نوافذ البرامج المفتوحة والاستخدام المشبوه للمساحات على الشاشة في تشغيل عدة برمجيات في آن واحد، وتابعية الأجهزة للمستخدمين ومحاولة إخفاء الهوية.
عندما يلجأ المهاجمون إلى المناورة باستخدام أدوات هجومية بديلة لأجل الالتفاف على التدابير الأمنية الموضوعة، ما مدى سرعة مزود الخدمة في الاستجابة والمناورة بأدوات دفاعية بديلة؟ وهل يفرض مزود الخدمة رسوما إضافية حال وجود مهاجمين متطورين يعملون بإصرار، وثبتت ضرورة نشر العديد من التدابير الأمنية أو الحصول على استشارات من مراكز عمليات الأمن التابعة لمزود الخدمة؟
وإضافة إلى تلك الأسئلة العشرة، كشف بايرن ماكنوت، المدير الأول للتسويق التقني لدى شركة «إف 5» عن أسئلة أخرى هامة يجدر طرحها على مزودي الخدمات الأمنية، من قبيل النماذج المتبعة في عمليات نشر الحلول (هل تشمل مثلا خيارات سحابية؟) ونماذج التكلفة (هل يتم تقاضي رسوم في الساعة أم لقاء فلترة حركة البيانات من الهجمات؟)، مشيرا كذلك إلى أهمية إجراء مقارنة بين العقود التي يقترحها مزودو الخدمة لضمان مستوى توافر خدماتهم طيلة فترة التعاقد.
