شهد عام 2023 نصيبه العادل من الهجمات السيبرانية، ولكن هناك اتجاه واحد للهجوم أثبت أنه أكثر بروزًا من غيره، ألا وهو الوصول غير البشري. مع 11 هجومًا بارزًا في 13 شهرًا وتزايد سطح الهجمات غير الخاضعة للرقابة، أصبحت الهويات غير البشرية هي المحيط الجديد، وعام 2023 هو البداية فقط.

لماذا يعتبر الوصول غير البشري جنة لمجرمي الإنترنت

يبحث الناس دائمًا عن أسهل طريقة للحصول على ما يريدون، وهذا ينطبق على الجرائم الإلكترونية أيضًا. تبحث الجهات التهديدية عن المسار الأقل مقاومة، ويبدو أنه في عام 2023 كان هذا المسار عبارة عن بيانات اعتماد وصول غير مستخدم (مفاتيح واجهة برمجة التطبيقات والرموز المميزة وحسابات الخدمة والأسرار).

" 50% من رموز الوصول النشطة التي تربط Salesforce وتطبيقات الجهات الخارجية غير مستخدمة. وفي GitHub وGCP تصل الأرقام إلى 33%."

يتم استخدام بيانات اعتماد الوصول لغير المستخدمين هذه لتوصيل التطبيقات والموارد بالخدمات السحابية الأخرى. ما يجعلهم حلمًا حقيقيًا للمتسللين هو أنهم ليس لديهم إجراءات أمنية مثل بيانات اعتماد المستخدم (MFA أو SSO أو سياسات IAM الأخرى)، فهم في الغالب مفرطون في التسامح، وغير خاضعين للرقابة، ولا يتم إبطالهم أبدًا. في الواقع، 50% من رموز الوصول النشطة التي تربط Salesforce وتطبيقات الطرف الثالث غير مستخدمة. تصل الأرقام في GitHub وGCP إلى 33%.*
إذًا كيف يستغل مجرمو الإنترنت بيانات اعتماد الوصول غير البشرية هذه؟ لفهم مسارات الهجوم، نحتاج أولاً إلى فهم أنواع الوصول والهويات غير البشرية. بشكل عام، هناك نوعان من الوصول غير البشري - خارجي وداخلي.

يتم إنشاء الوصول الخارجي غير البشري من خلال الموظفين الذين يقومون بربط أدوات وخدمات الطرف الثالث ببيئات الأعمال والهندسة الأساسية مثل Salesforce وMicrosoft365 وSlack وGitHub وAWS - لتبسيط العمليات وزيادة المرونة. تتم هذه الاتصالات من خلال مفاتيح واجهة برمجة التطبيقات (API)، وحسابات الخدمة، ورموز OAuth المميزة، وخطافات الويب، المملوكة لتطبيق أو خدمة الجهة الخارجية (الهوية غير البشرية). مع الاتجاه المتزايد لاعتماد البرمجيات من القاعدة إلى القمة والخدمات السحابية المجانية، يتم إجراء العديد من هذه الاتصالات بانتظام من قبل موظفين مختلفين دون أي إدارة أمنية، والأسوأ من ذلك، من مصادر لم يتم فحصها. تُظهر أبحاث Astrix أن 90% من التطبيقات المتصلة ببيئات Google Workspace هي تطبيقات غير تابعة للسوق - مما يعني أنه لم يتم فحصها بواسطة متجر تطبيقات رسمي. تصل الأرقام في Slack إلى 77%، بينما تصل في Github إلى 50%.*

"74% من رموز الوصول الشخصية في بيئات GitHub ليس لها انتهاء صلاحية."

يشبه الوصول الداخلي غير البشري، ومع ذلك، يتم إنشاؤه باستخدام بيانات اعتماد الوصول الداخلي - المعروفة أيضًا باسم "الأسرار". تولد فرق البحث والتطوير بانتظام أسرارًا تربط بين الموارد والخدمات المختلفة. غالبًا ما تكون هذه الأسرار منتشرة عبر عدة مديرين سريين (خزائن)، دون أي رؤية لفريق الأمان حول مكان وجودهم، وما إذا تم الكشف عنها، وما الذي يسمحون بالوصول إليه، وما إذا تم تكوينها بشكل خاطئ. في الواقع، 74% من رموز الوصول الشخصية في بيئات GitHub ليس لها انتهاء صلاحية. وبالمثل، فإن 59% من خطافات الويب في GitHub تمت تهيئتها بشكل خاطئ - مما يعني أنها غير مشفرة وغير مخصصة.

هجمات 2023 البارزة التي تستغل الوصول غير البشري

وهذا التهديد ليس نظريا على الإطلاق. شهد عام 2023 وقوع بعض العلامات التجارية الكبرى ضحية لثغرات الوصول غير البشرية، مع تأثر آلاف العملاء. في مثل هذه الهجمات، يستفيد المهاجمون من بيانات اعتماد الوصول المكشوفة أو المسروقة لاختراق الأنظمة الأساسية الأكثر حساسية للمؤسسات، وفي حالة الوصول الخارجي - الوصول إلى بيئات عملائهم (هجمات سلسلة التوريد). تتضمن بعض هذه الهجمات البارزة ما يلي:

Okta (أكتوبر 2023): استخدم المهاجمون حساب خدمة مسربًا للوصول إلى نظام إدارة حالة الدعم الخاص بـ Okta. سمح هذا للمهاجمين بعرض الملفات التي تم تحميلها بواسطة عدد من عملاء Okta كجزء من حالات الدعم الأخيرة.

GitHub Dependabot (سبتمبر 2023): سرق المتسللون رموز الوصول الشخصية إلى GitHub (PAT). تم بعد ذلك استخدام هذه الرموز المميزة لإجراء عمليات ارتكاب غير مصرح بها مثل Dependabot لكل من مستودعات GitHub العامة والخاصة.

مفتاح Microsoft SAS (سبتمبر 2023): منح رمز SAS المميز الذي نشره باحثو الذكاء الاصطناعي في Microsoft حق الوصول الكامل إلى حساب التخزين بأكمله الذي تم إنشاؤه عليه، مما أدى إلى تسرب أكثر من 38 تيرابايت من المعلومات الحساسة للغاية. كانت هذه الأذونات متاحة للمهاجمين على مدار أكثر من عامين (!).

مستودعات Slack GitHub (يناير 2023): تمكن ممثلو التهديد من الوصول إلى مستودعات GitHub المستضافة خارجيًا في Slack عبر عدد "محدود" من الرموز المميزة لموظفي Slack المسروقة. ومن هناك، تمكنوا من تنزيل مستودعات التعليمات البرمجية الخاصة.

CircleCI (يناير 2023): تم اختراق جهاز كمبيوتر أحد الموظفين الهندسيين بواسطة برامج ضارة تجاوزت حل مكافحة الفيروسات الخاص بهم. سمح الجهاز المخترق لممثلي التهديد بالوصول إلى رموز الجلسة وسرقةها. تمنح رموز الجلسة المسروقة الجهات التهديدية نفس الوصول الذي يتمتع به مالك الحساب، حتى عندما تكون الحسابات محمية بمصادقة ثنائية.

تأثير وصول GenAI

"تتمتع 32% من تطبيقات GenAI المتصلة ببيئات Google Workspace بأذونات وصول واسعة جدًا (القراءة والكتابة والحذف)."

وكما قد يتوقع المرء، فإن الاعتماد الواسع النطاق لأدوات وخدمات GenAI يؤدي إلى تفاقم مشكلة الوصول غير البشري. اكتسبت GenAI شعبية هائلة في عام 2023، ومن المرجح أن تنمو. نظرًا لأن ChatGPT أصبح التطبيق الأسرع نموًا في التاريخ ، ويتم تنزيل التطبيقات التي تدعم الذكاء الاصطناعي بنسبة 1506٪ أكثر من العام الماضي ، فإن المخاطر الأمنية لاستخدام وربط تطبيقات GenAI التي لم يتم فحصها غالبًا بالأنظمة الأساسية للأعمال تتسبب بالفعل في ليالٍ بلا نوم لقادة الأمن. توفر الأرقام الواردة من Atrix Research شهادة أخرى على سطح الهجوم هذا: 32% من تطبيقات GenAI المتصلة ببيئات Google Workspace تتمتع بأذونات وصول واسعة جدًا (القراءة والكتابة والحذف).*
تضرب مخاطر الوصول إلى GenAI موجات على مستوى الصناعة. في تقرير حديث بعنوان "التكنولوجيا الناشئة: أهم 4 مخاطر أمنية لـ GenAI "، تشرح Gartner المخاطر التي تأتي مع الاستخدام السائد لأدوات وتقنيات GenAI. وفقًا للتقرير، "يمثل استخدام نماذج اللغات الكبيرة (LLMs) وواجهات الدردشة التوليدية للذكاء الاصطناعي (GenAI)، خاصة المتصلة بحلول الطرف الثالث خارج جدار الحماية الخاص بالمؤسسة، توسيعًا لأسطح الهجوم والتهديدات الأمنية للمؤسسات."

يجب أن يكون الأمن عامل تمكين

وبما أن الوصول غير البشري هو النتيجة المباشرة لاعتماد السحابة والأتمتة - وكلاهما اتجاهان مرحب بهما يساهمان في النمو والكفاءة، فيجب أن يدعمه الأمن. ومع سعي قادة الأمن بشكل مستمر ليكونوا عوامل تمكين وليس حواجز، لم يعد نهج تأمين الهويات غير البشرية وبيانات اعتماد الوصول الخاصة بهم خيارًا.
يؤدي الوصول غير البشري الآمن بشكل غير صحيح، سواء الخارجي أو الداخلي، إلى زيادة كبيرة في احتمالية هجمات سلسلة التوريد، وانتهاكات البيانات، وانتهاكات الامتثال. تعد السياسات الأمنية، بالإضافة إلى الأدوات التلقائية لتطبيقها، أمرًا ضروريًا لأولئك الذين يتطلعون إلى تأمين سطح الهجوم المتقلب هذا مع السماح للشركات بجني فوائد الأتمتة والاتصال الفائق.

المصدر: The Hacker News