تمثل الثغرة المُباغِتة، وهي طريقة لإطلاق هجوم سيبراني عبر نقطة ضعف لم تكن معروفة من قبل، وتسمى أيضاً ثغرة اليوم الصفري Zero - Day، أثمن ما يمكن أن يقع بين يدي قرصان برمجي. ويمكن أن يصل سعر هذه الثغرات إلى أكثر من مليون دولار في السوق المفتوحة.
وفي هذه السنة، تمكن متخصصو الدفاع عن الأمن السيبراني من التقاط أعلى رقم من هذه الثغرات على الإطلاق، وذلك وفقاً لعدة قواعد بيانات، وباحثين، وشركات أمن سيبراني، ممن تواصلوا مع إم آي تي تكنولوجي ريفيو. وقد اكتُشف استخدام 66 ثغرة مباغتة على الأقل هذه السنة، وفقاً لقواعد بيانات مثل زيرو داي تراكينج بروجيكت، وهو ما يقرب من ضعف إجمالي ما اكتُشف في 2020، وأكثر مما سجل في أي سنة أخرى على الإطلاق.
ومع ذلك، وعلى حين أن الأرقام القياسية تشد الانتباه، فليس من السهل دائماً إدراك معانيها الحقيقية. أيعني هذا أن استخدام الثغرات المباغتة أصبح أكثر من ذي قبل؟ أم يعني أن متخصصي الحماية أصبحوا أكثر براعة في كشف القراصنة الذين كانوا يعجزون عن تتبعهم سابقاً؟
يقول إريك دور، وهو نائب الرئيس للأمن السحابي في مايكروسوفت: "لا شك في أننا نشهد زيادة، ولكن السؤال المثير للاهتمام هو التالي: ماذا تعني هذه الزيادة؟ هل هناك كارثة محدقة بنا؟ أنا شخصياً أميل إلى الاعتقاد بوجود عدة معانٍ مختلفة لهذا الأمر".
القراصنة "يعملون بكامل طاقتهم"
يمثل الانتشار السريع لأدوات القرصنة على مستوى العالم أحد العوامل المساهمة في ارتفاع وتيرة اكتشاف الثغرات المباغتة.
حيث تخصص مجموعات مختلفة واسعة النفوذ أموالاً طائلة للثغرات المباغتة حتى تستخدمها لنفسها، وتجني أرباحاً ضخمة.
وفي أعلى هذا الهرم الغذائي، يقبع القراصنة الذين تمولهم الحكومات. ويُشتبه بأن الصين مسؤولة لوحدها عن تسع ثغرات مباغتة لهذا العام، وذلك وفقاً لجاريد سيمراو، وهو مدير الثغرات والاختراق في شركة الأمن السيبراني الأميركية فاير آي مانديانت. ومن الواضح أن الولايات المتحدة وحلفاءها يمتلكون إمكانات قرصنة من أعلى المستويات، وقد بدأت الأقاويل بالانتشار حول استخدام هذه الأدوات بطريقة أكثر هجومية.
يقول سيمراو: "لدينا طبقة عليا من الأطراف التجسسية هائلة القدرات، تعمل دون شك بكامل طاقتها، وبشكل لم نره خلال السنوات السابقة".
ومن بين جميع الأطراف التي ترغب في الحصول على الثغرات المباغتة، لا يوجد سوى القليل ممن يضاهي بكين وواشنطن من حيث الإمكانات. غير أن معظم البلدان التي تسعى للحصول على ثغرات عالية التأثير لا تمتلك الكفاءات أو البنية التحتية اللازمة لاكتشافها محلياً، ولهذا، تقوم بدلاً من ذلك بشرائها.
وقد أصبح شراء ثغرة مباغتة أسهل من ذي قبل، بفضل تنامي صناعة كاملة حول هذه الثغرات. فأصبحت متاحة على نحو واسع أكثر من ذي قبل، بعد أن كان الحصول عليها شبه مستحيل ومكلفاً إلى درجة خيالية.
يقول سيمراو: "لقد شهدنا مجموعات حكومية تلجأ إلى مجموعة إن إس أو، أو مجموعة كانديرو، وهي خدمات معروفة تتيح للبلدان مبادلة الموارد المالية بالقدرات الهجومية". وقد حصلت عدة بلدان على خدمات صناعة الثغرات لقاء المال، مثل الولايات المتحدة، وبعض الأطراف الأوروبية والآسيوية.
إضافة إلى ذلك، فقد لجأ المجرمون السيبرانيون أيضاً إلى استخدام الهجمات المباغتة لجني الأموال في السنوات الأخيرة، من خلال اكتشاف أخطاء برمجية تسمح لهم بتنفيذ خطط برامج فدية بقيمة مالية كبيرة.
يقول سيمراو: "تتمتع الأطراف ذات الدوافع المالية بقدرات أعلى من ذي قبل، ويعود ثلث الهجمات المباغتة التي تتبعناها مؤخراً، وعلى نحو مباشر إلى أطراف ذات دوافع مالية. ولهذا، فإنها تلعب دوراً مهماً في هذه الزيادة، وبشكل أعتقد أن الكثيرين لا يعترفون به".
خبراء الحماية السيبرانية يمتلكون قدرات أفضل
قد تكون هناك فعلاً زيادة في عدد الأشخاص الذين يشترون الثغرات المباغتة أو يعملون على تطويرها، ولكن الرقم القياسي الناتج لا يمثل بالضرورة خبراً سيئاً. وفي الواقع، يقول بعض الخبراء إنه يعبر بدرجة أكبر عن أخبار جيدة.
حيث لا يعتقد أي ممن تحدثنا معهم أن إجمالي الهجمات المباغتة تزايد إلى أكثر من الضعف خلال هذه الفترة القصيرة، بل إن ما ازداد في الواقع هو عدد الهجمات المكتشفة. وهو ما يشير إلى أن خبراء الحماية أصبحوا أفضل في التقاط القراصنة خلال الهجوم.
يمكننا دراسة البيانات، مثل جدول الهجمات المباغتة من جوجل، الذي يتضمن متابعة على مدى عقد تقريباً للاختراقات المهمة المكتشفة بالصدفة.
ومن التغيرات التي يمكن أن تعبر عنها هذه البيانات تخصيص أموال أكثر للأغراض الدفاعية، وعلى وجه الخصوص الجوائز الكبيرة لاكتشاف الأخطاء البرمجية، والمكافآت التي تخصصها الشركات التكنولوجية لمن يكتشف ثغرات مباغتة جديدة. ولكن الأدوات تحسنت هي الأخرى.
ومن الواضح أن خبراء الحماية انتقلوا من مرحلة الاقتصار على التقاط الهجمات البسيطة نسبياً إلى كشف الاختراقات الأكثر تعقيداً، وفقاً لمارك دوود، مؤسس شركة أزيموث سيكيوريتي. ويقول: "أعتقد أن هذا يعبر عن تعاظم في القدرة على كشف الهجمات الأكثر تعقيداً".
تمتلك بعض المجموعات، مثل مجموعة تحليل التهديدات (TAG) في جوجل، وفريق الأبحاث والتحليل الدولي (GReAT) في كاسبرسكي، ومركز أبحاث التهديدات في مايكروسوفت (MSTIC)، مستويات عالية من الكفاءات، والموارد، والبيانات، لدرجة أنها تضاهي وكالة استخباراتية من حيث القدرة على كشف القراصنة الأعداء وتتبعهم.
وتوجد بعض الشركات التي تدير عمليات بحث وكشف على مستوى واسع للغاية، مثل مايكروسوفت وكراودسترايك. وعندما كانت عملية مراقبة النشاطات المشبوهة تعتمد على الأدوات القديمة، مثل البرامج المضادة للفيروسات، لم تكن شاملة ودقيقة بما يكفي، أما اليوم، فتستطيع الشركات الكبيرة كشف أي شذوذ صغير ضمن ملايين الأجهزة، وتتبعه نحو الثغرة المباغتة المستخدمة في الاختراق.
يقول دور من مايكروسوفت: "تعود هذه الزيادة الجديدة جزئياً إلى أننا أصبحنا قادرين على اكتشاف المزيد من هذه الهجمات، لقد أصبحنا أكثر براعة في كشف المشكلات. والآن، صار من الممكن أن نتعلم المزيد بمراقبة ما يحدث عند كل العملاء، ما يساعدنا على اكتساب المزيد من الخبرات والمعلومات بسرعة أكبر. وعندما يسوء الوضع باكتشاف مشكلة أو ثغرة جديدة، فسوف يؤثر هذا على عميل واحد بدلاً من عشرة آلاف عميل".
غير أن الواقع أكثر تعقيداً من الأفكار النظرية بكثير. ففي وقت سابق من هذه السنة، أطلقت عدة مجموعات قرصنة هجوماً على خوادم البريد الإلكتروني لخدمة مايكروسوفت إكستشينج. وعلى الرغم من أن المشكلة بدأت كهجوم مباغت مقلق لوقت قصير، فقد تفاقمت في الفترة الفاصلة بين وضع حل لها وإتاحة هذا الحل للعملاء. إن هذه الفترة الفاصلة تمثل مرحلة حرجة يحب القراصنة التركيز عليها.
غير أن دور محقٌ في كلامه كقاعدة عامة.
أصبحت الثغرات أكثر صعوبة، وأكثر قيمة
حتى إذا ازداد عدد الثغرات المباغتة على نحو غير مسبوق، فهناك حقيقة واحدة يجمع عليها كل الخبراء، وهي أن استغلالها في الاختراق أصبح أكثر صعوبة وأكثر تكلفة.
فقد أصبحت الدفاعات أقوى، وأصبحت الأنظمة أكثر تعقيداً، ما يعني أن اختراق الأهداف يتطلب درجة أعلى من الجهد مقارنة بما كان يحدث قبل حوالي عقد من الزمان، وأصبحت الهجمات أكثر تكلفة وأكثر تطلباً للموارد. ولكن، من ناحية أخرى، هناك الكثير من الشركات التي تعمل في السحابة، ما يعني أن ثغرة واحدة يمكن أن تفتح المجال للهجوم على الملايين من الزبائن.
يقول دور: "منذ عشر سنوات، عندما كان كل شيء محصوراً ضمن تجهيزات موجودة في منشآت الشركات، كانت الكثير من الهجمات تُكشف من قبل شركة واحدة فقط، ولم تكن هناك سوى بضع شركات تمتلك الموارد اللازمة لفهم ما يحدث".
ومع تحسن الدفاعات، غالباً ما يلجأ القراصنة إلى ربط عدة ثغرات معاً بدلاً من استخدام ثغرة واحدة فحسب. وتتطلب "سلاسل الثغرات" هذه المزيد من الثغرات المباغتة. ويمثل النجاح في كشف هذه السلاسل أيضاً جزءاً من سبب التصاعد الحاد في الأرقام السابقة.
واليوم، كما يقول دوود، فإن القراصنة "مضطرون إلى استثمار المزيد والمخاطرة بالمزيد باستخدام هذه السلاسل لتحقيق أهدافهم".
من أهم المؤشرات زيادة تكاليف معظم الثغرات القيّمة. وتظهر بعض البيانات المحدودة المتوافرة حالياً، مثل قائمة زيروديوم العامة لأسعار الثغرات المباغتة، تبين زيادة تصل إلى 1,150% في تكاليف الاختراقات الأكثر تعقيداً على مدى السنوات الثلاث الأخيرة.
ولكن، حتى لو أصبحت هجمات الثغرات المباغتة أكثر صعوبة، فإن الطلب عليها قد تزايد، وتبعه العرض كذلك. لسنا في مواجهة كارثة محدقة بنا حالياً، ولكن من المؤكد أننا لسنا أيضاً في وضع مثالي.