ما هي الحركة الجانبية؟

بشكل عام، تنقسم هجمات الحركة الجانبية إلى جزئين: اختراق أولي تتبعه حركة داخلية. يجب أن يتمكن المخترقون أولاً من الوصول إلى الشبكة عن طريق التهرب من أمن نقطة النهاية. قد يستخدمون هجمات التصيّد الاحتيالي أو برنامج ضار لاختراق جهاز أو تطبيق، أو الحصول على وصول أولي من خلال منفذ خادم مفتوح. بعد دخول المهاجمين إلى الداخل، يمكنهم البدء في التفرع إلى مناطق أخرى من الشبكة من خلال هذه المراحل من الحركة الجانبية:

الاستطلاع
بعد أن يكتسب المهاجمون موطئ قدم لهم، يرسمون خريطة للشبكة، ويخططون الطريق إلى هدفهم. ويبحثون عن معلومات عن التسلسلات الهرمية للشبكة، وأنظمة التشغيل، وحسابات المستخدمين، والأجهزة، وقواعد البيانات، والتطبيقات لفهم كيفية ارتباط هذه الأصول. كما أنهم قد يستكشفون أيضًا ضوابط أمن الشبكة، ثم يستخدمون ما يتعلمونه لمراوغة الفرق الأمنية.

تصعيد الامتيازات
 عندما يفهم المخترقون تخطيط الشبكة، يمكنهم استخدام مجموعة متنوعة من تقنيات الحركة الجانبية للوصول إلى المزيد من الأجهزة والحسابات. من خلال اختراق المزيد من الموارد، لا يقترب المخترقون من هدفهم فحسب —بل يجعلون من الصعب حذفها أيضًا. حتى إذا حذفتها العمليات الأمنية من جهاز واحد أو جهازين، فلا يزال بإمكانهم الوصول إلى الأصول الأخرى.

بينما يتحرك المخترقون أفقيًا، فإنهم يحاولون الاستيلاء على الأصول والحسابات ذات الامتيازات الأعلى. ويُطلق على هذا الفعل اسم "تصعيد الامتيازات." وكلما زادت الامتيازات التي يتمتع بها المهاجمون، زاد ما يمكنهم فعله داخل الشبكة. في نهاية المطاف، يهدف المخترقون إلى الحصول على امتيازات إدارية تسمح لهم بالذهاب إلى أي مكان عمليًا والقيام بأي شيء تقريبًا.

الوصول إلى الهدف
يدمج المخترقون تقنيات الحركة الجانبية ويكررونها حسب الحاجة حتى يصلوا إلى هدفهم. في كثير من الأحيان، يبحثون عن معلومات حساسة لجمعها وتشفيرها وضغطها للنقل غير المصرح للبيانات إلى خادم خارجي. أو قد يرغبون في تخريب الشبكة عن طريق حذف البيانات أو إصابة أنظمة حساسة ببرنامج ضار. واعتمادًا على هدفهم النهائي، قد يحتفظ المخترقون بخدع ونقاط وصول عن بُعد لأطول فترة ممكنة لتحقيق أقصى قدر ممكن من الضرر.

تفريغ بيانات الاعتماد: يسرق المخترقون المستخدمين الشرعيين وكلمات المرور الخاصة بهم، ثم "يفرغون" هذه البيانات على أجهزتهم الخاصة. قد يسرقون أيضًا بيانات الاعتماد الخاصة بالمشرفين الذين سجلوا الدخول إلى الجهاز مؤخرًا. 

هجوم تمرير التجزئة: تعمل بعض الأنظمة على تحويل أو "تجزئة" كلمات المرور إلى بيانات غير مقروءة قبل نقلها وتخزينها. يمكن للمخترقين سرقة تجزئات كلمات المرور واستخدامها لخداع بروتوكولات المصادقة لمنح أذونات للأنظمة والخدمات المحمية. 

تمرير التذكرة: يستخدم المخترقون تذكرة Kerberos المسروقة للوصول إلى الأجهزة والخدمات على الشبكة. (Kerberos هو بروتوكول المصادقة الافتراضي المستخدم في Microsoft Active Directory).

هجمات القوة الغاشمة: يخترق القراصنة الحساب باستخدام البرامج النصية أو الروبوتات لإنشاء كلمات مرور محتملة واختبارها حتى تنجح إحداها.

الهندسة الاجتماعية: يمكن أن يستخدم المخترقون حساب البريد الإلكتروني للموظف المخترق لشن هجمات تصيد احتيالي مصممة لجمع بيانات اعتماد تسجيل الدخول لحسابات مميزة.

سرقة الموارد المشتركة: يمكن أن ينشر المخترقون برنامجًا ضارًا من خلال الموارد المشتركة وقواعد البيانات وأنظمة الملفات. على سبيل المثال، قد يختطفون إمكانيات Secure Shell (SSH) التي تربط أنظمة التشغيل عبر نظامي التشغيل macOS وLinux.

هجمات PowerShell: يمكن أن يستخدم المخترقون واجهة سطر أوامر Windows (CLI) وأداة البرمجة النصية PowerShell لتغيير التكوينات أو سرقة كلمات المرور أو تشغيل البرامج النصية الخبيثة.

العيش من الأرض يمكن للمخترقين الاعتماد على أصول داخلية ألحقوا الضرر بها بدلاً من برنامج ضار خارجي في المراحل اللاحقة من الحركة الجانبية . هذا النهج يجعل أنشطتهم تبدو مشروعة ويجعل من الصعب كشفها.

التهديدات المستمرة المتقدمة (APT): الحركة الجانبية هي استراتيجية أساسية لمجموعات هجمات APT، والتي تهدف إلى التسلل إلى شبكة ما لفترة طويلة من الزمن واستكشافها وتوسيع نطاقها. وفي أغلب الأحيان يستخدمون الحركة الجانبية ليظلوا غير ملحوظين أثناء تنفيذ هجمات إلكترونية متعددة لأشهر أو حتى سنوات.

التجسس الإلكتروني: نظرًا لأن طبيعة التجسس الإلكتروني تتمثل في تحديد موقع البيانات أو العمليات الحساسة ومراقبتها، فإن الحركة الجانبية هي القدرة الرئيسية للجواسيس الإلكترونيين. في أغلب الأحيان توظف الدول القومية مجرمين إلكترونيين متطورين لقدرتهم على التحرك بحرية داخل الشبكة المستهدفة، والقيام بعمليات استطلاع على الأصول المحمية دون أن يتم كشفهم.

برمجيات الفدية: يعمل مهاجمو برمجيات الفدية على مهاجمة العديد من الأنظمة والنطاقات والتطبيقات المختلفة والسيطرة عليها. وكلما زادت قدرتهم على الاستحواذ، زادت حساسية تلك الأصول بالنسبة لعمليات المؤسسة، وزاد نفوذهم عند المطالبة بدفع مقابلها.

عدوى البوت نت: مع تقدم الحركة الجانبية، يسيطر المخترقون على المزيد من الأجهزة عبر الشبكة المخترقة. يمكنهم توصيل هذه الأجهزة لإنشاء شبكة روبوتات أو بوت نت. يمكن استخدام عدوى البوت نت الناجحة لشن هجمات إلكترونية أخرى أو توزيع البريد المزعج الإلكتروني غير المرغوب فيه أو الاحتيال على مجموعة كبيرة من المستخدمين المستهدفين.

نظرًا لأن الحركة الجانبية يمكن أن تتصاعد بسرعة عبر الشبكة، فإن الكشف المبكر مهم للغاية للتخفيف من الأضرار والخسائر. يوصي خبير الأمن باتخاذ الإجراءات التي تساعد على تمييز عمليات الشبكة العادية عن الأنشطة المشبوهة، مثل:

تحليل سلوك المستخدم: يمكن أن تكون الكميات الكبيرة غير المعتادة من عمليات تسجيل دخول المستخدمين، أو عمليات تسجيل الدخول التي تتم في وقت متأخر من الليل، أو وصول المستخدمين إلى أجهزة أو تطبيقات غير متوقعة، أو زيادة في عمليات تسجيل الدخول الفاشلة، كلها علامات على وجود حركة جانبية. يمكن أن تحدد التحليلات السلوكية باستخدام التعلم الآلي السلوك غير الطبيعي للمستخدمين وتنبه الفرق الأمنية لذلك.

حماية نقاط النهاية: تُعد الأجهزة الضعيفة المتصلة بالشبكة مثل محطات العمل الشخصية والهواتف الذكية والأجهزة اللوحية والخوادم هي الأهداف الرئيسية للتهديدات الإلكترونية. الحلول الأمنية مثل كشف نقطة النهاية والاستجابة لها (EDR) وجدران الحماية لتطبيقات الويب حساسة لمراقبة نقاط النهاية ومنع اختراق الشبكة في الوقت الفعلي.

إنشاء أقسام الشبكة: يمكن أن يساعد تقسيم الشبكة على إيقاف الحركة الجانبية. إن اشتراط بروتوكولات وصول منفصلة لمناطق مختلفة من الشبكة يحد من قدرة المخترق على التوسع في نشاطاته. كما أنه يجعل من الأسهل كشف حركة مرور الشبكة غير المعتادة.

مراقبة عمليات نقل البيانات: قد يشير التسارع المفاجئ في عمليات قاعدة البيانات أو عمليات النقل الضخمة للبيانات إلى موقع غير معتاد إلى أن الحركة الجانبية مستمرة. يمكن للأدوات التي تراقب وتحلل سجلات الأحداث من مصادر البيانات، مثل إدارة المعلومات الأمنية والأحداث(SIEM) أو الكشف عن الشبكة والاستجابة(NDR)، أن تساعد في تحديد أنماط نقل البيانات المشبوهة.

استخدم المصادقة متعددة العوامل (MFA): إذا نجح المخترقون في سرقة بيانات اعتماد المستخدم، يمكن أن تساعد المصادقة متعددة العوامل في منع الاختراق عن طريق إضافة طبقة أخرى من الأمان. مع MFA، لن توفر كلمات المرور المسروقة وحدها إمكانية الوصول إلى الأنظمة المحمية.

استكشف التهديدات المحتملة: يمكن للأنظمة الأمنية المؤتمتة أن تقدم نتائج إيجابية كاذبة بينما تغفل تهديدات إلكترونية غير معروفة أو غير معالجة من قبل. يمكن أن يساعد صيد التهديدات اليدوي المستنير بأحدث استعلامات التهديدات في استكشاف التهديدات المحتملة والاستعداد للاستجابة الفعالة للحوادث.

كن استباقيًا: يمكن أن يساعد تصحيح البرامج وتحديثها، وفرض الوصول إلى النظام بأقل امتيازات ممكنة، وتدريب الموظفين على التدابير الأمنية، واختبار الاختراق في منع الحركة الجانبية. من الأهمية بمكان الاستمرار في معالجة نقاط الضعف التي تخلق فرصًا للمخترقين.