كشف فريق الأمن السيبراني في جوجل، “مانديانت”، عن اتجاه جديد مثير للقلق في مجال الأمن السيبراني، حيث تمكن القراصنة من تحسين مهاراتهم في اكتشاف واستغلال الثغرات البرمجية غير المعروفة مسبقًا، والمعروفة باسم ثغرات “Zero-Day”. تشكل هذه الهجمات تهديدًا خطيرًا لأنها تستهدف ثغرات غير معروفة للشركات، مما يتركها دون قدرة على التصدي لها بشكل فوري. ووفقًا لجوجل، في عام 2023، من بين 138 ثغرة تم استغلالها بنشاط، كانت 97 منها (أي حوالي 70%) من نوع “Zero-Day”.
ما هي ثغرات “Zero-Day” و”N-Day”؟
تشير ثغرة “Zero-Day” إلى خلل في البرمجيات لم يكن المطور أو الشركة على علم به عند وقوع الهجوم، مما يعني أن لديهم “صفر أيام” لإصلاحه. في المقابل، تشير ثغرة “N-Day” إلى خلل معروف لدى المطورين وتم توفير إصلاح أو تصحيح له بالفعل. وعلى الرغم من وجود تصحيح متاح، قد يستهدف المهاجمون الأنظمة التي لم تقم بعد بتطبيق التحديث.
على سبيل المثال، تخيل نافذة بها شق في مبنى، الهجوم من نوع “Zero-Day” يشبه لصًا يكتشف الشق ويقتحم قبل أن يدرك المالك حتى أن النافذة تالفة. أما الهجوم من نوع “N-Day” فيشبه اللص الذي يقتحم نفس النافذة رغم أن المالك قد أصلحها، ولكن بعض السكان لم يستبدلوا الزجاج بعد.
تحولات في هجمات الأمن السيبراني
بين عامي 2020 و2022، ظلت النسبة بين هذين النوعين من الثغرات التي يتم استغلالها مستقرة نسبيًا، حيث كانت ثغرات “N-Day” تشكل 40% من الهجمات، بينما كانت ثغرات “Zero-Day” تشكل 60%. ولكن في عام 2023، حدث تغير، حيث ركزت 70% من الهجمات على ثغرات “Zero-Day”، بينما استهدفت 30% فقط الثغرات المعروفة التي تم تصحيحها.
تعتقد جوجل أن هذا التحول لا يعني أن المهاجمين يتجاهلون الثغرات المعروفة، بل أنهم يركزون بشكل أكبر على ثغرات “Zero-Day”، وأن فرق الأمن أصبحت أكثر قدرة على تحديد هذه التهديدات المخفية.
زيادة عدد الشركات المستهدفة في 2023
إحدى العلامات المثيرة للقلق الأخرى هي زيادة عدد الشركات المستهدفة بهذه الثغرات. في عام 2023، تأثرت 56 شركة برمجيات مختلفة بالثغرات التي تم استغلالها بنشاط، وهو رقم قياسي مقارنة بـ 44 شركة في عام 2022 و48 شركة في عام 2021. وهذا يدل على أن القراصنة لا يركزون فقط على الشركات الكبرى، بل يقومون بتوسيع هجماتهم لتشمل مجموعة أكبر من منتجات البرمجيات.
انخفاض وقت الاستغلال (TTE)
أحد أكبر التحديات التي تواجه الشركات في الدفاع عن نفسها هو انخفاض وقت الاستغلال (TTE)، وهو الوقت الذي يستغرقه القراصنة لاستغلال ثغرة بعد اكتشافها أو الإعلان عنها. في عام 2023، انخفض هذا الإطار الزمني إلى خمسة أيام فقط في المتوسط.
وللتوضيح، في الفترة ما بين 2018 و2019، كان يستغرق الأمر حوالي 63 يومًا ليستغل القراصنة الثغرة، مما يمنح الشركات وقتًا كافيًا لتطبيق التصحيحات الأمنية أو اتخاذ خطوات لحماية أنظمتها. حتى في 2021-2022، كان وقت الاستغلال حوالي 32 يومًا. لكن الآن، مع وجود 5 أيام فقط، يجب على المؤسسات التحرك بسرعة أكبر لحماية نفسها.
بسبب هذا، لم تعد استراتيجيات الأمن التقليدية مثل تطبيق التصحيحات فور إصدارها كافية. أصبحت الشركات بحاجة إلى دفاعات أكثر تقدمًا، مثل الكشف عن التهديدات في الوقت الحقيقي، وتجزئة الشبكات، وتحديد أولويات التحديثات الأمنية الأكثر أهمية.
الإفصاح العلني لا يعني دائمًا هجمات فورية
من المثير للاهتمام أن جوجل تشير إلى أنه لا توجد علاقة واضحة بين موعد الإفصاح العلني عن ثغرة ما وبين موعد بدء استغلال القراصنة لها. في عام 2023، تم الكشف عن 75% من الثغرات علنًا قبل أن يبدأ القراصنة في استغلالها، بينما تم الكشف عن 25% بعد أن بدأت الهجمات بالفعل.
على سبيل المثال، تم الكشف عن ثغرة في إضافة ووردبريس (CVE-2023-28121) قبل 3 أشهر من بدء القراصنة في استغلالها، رغم أن دليل وجود الثغرة قد نُشر بعد 10 أيام فقط. وفي المقابل، ظهرت الثغرة في برنامج Fortinet’s FortiOS (CVE-2023-27997) فورًا، لكن الهجوم الفعلي الأول وقع بعد أربعة أشهر.
لماذا يتم استغلال بعض الثغرات أسرع من غيرها؟
هناك عدة عوامل تحدد مدى سرعة استغلال القراصنة للثغرة المكتشفة. تشمل هذه العوامل مدى صعوبة استغلال الثغرة، وقيمة الهدف، ودوافع القراصنة، وتعقيد الهجوم. نتيجة لذلك، فإن معرفة موعد الكشف عن الثغرة لا يعني دائمًا التنبؤ بموعد وقوع الهجوم.
تشدد جوجل على أن مشاركة دليل إثبات الفكرة قد يزيد من احتمالية الاستغلال، لكنه ليس العامل الوحيد الذي يحرك الهجمات. فكل ثغرة وظروفها تختلف، ويأخذ القراصنة في اعتبارهم عوامل متعددة قبل أن يقرروا الهجوم.
الخاتمة
في ضوء هذه النتائج، من الضروري أن يحرص المستخدمون على تحديث تطبيقاتهم وأنظمة التشغيل فور توفر التحديثات. لم تعد التحديثات مجرد خيار يمكن تأجيله، خاصة مع تزايد استهداف القراصنة لثغرات “Zero-Day” كما ورد في هذا التقرير.
تجاهل التحديثات يعرض المستخدمين لخطر أكبر، حيث أن المهاجمين أصبحوا أسرع في استغلال الثغرات، مما يترك القليل من الوقت للرد. البقاء على اطلاع دائم بالتحديثات الأمنية قد يكون الفارق بين الأمان والتعرض للاختراق.
إضافةً إلى ذلك، فإن اتباع عادات آمنة أثناء استخدام الإنترنت يعد من العوامل الأساسية للحد من التعرض للتهديدات السيبرانية. ينبغي على المستخدمين تجنب النقر على الروابط المشبوهة، وعدم تنزيل مرفقات غير معروفة، والابتعاد عن زيارة المواقع غير الموثوقة. هذه الممارسات البسيطة ولكن الفعّالة، إلى جانب التحديثات الفورية، يمكن أن تسهم بشكل كبير في حماية الأنظمة من الاستغلال في هذا المشهد المتزايد الخطورة للأمن السيبراني.
