"جوني كرم" يقدم تفاصيل هامة عن الفيروس "شامون"، والطريقة التي تتبعها "سيمانيتك" للتصدي لهذا النوع من التهديدات المدمرة

يمثل فيروس "شامون" (W32.Disttrack) تهديداً مدمراً للغاية، وقد لوحظ وجوده في هجمات محدودة جداً استهدفت مؤسسات في الشرق الأوسط.

السمات: الجرائم الرقميةSymantec Corporation
  • E-Mail
جوني كرم، المدير الإقليمي لشركة سيمانتك في الشرق الأوسط والدول الإفريقية الناطقة بالفرنسية
 رياض ياسمينة بقلم  September 23, 2012 منشورة في 

حدثنا الأستاذ جوني كرم، المدير الإقليمي لشركة سيمانتك في الشرق الأوسط والدول الإفريقية الناطقة بالفرنسية، عن الفيروس "شامون" الذي ضرب العديد من قطاعات الطاقة في دول الخليج بالإضافة إلى طريقة عمله وكيفية التصدي له وتجنبه، كما قدم لنا الأستاذ "جوني كرم" نصائح حول أفضل الممارسات التي يجب على كبرى الشركات إتباعها لتفادي هذا النوع من الهجمات.

1.هل استطاعت سيمانتك تحديد مصدر فيروس "شامون"؟ هل يمكنك أن تقدم لنا شرحاً عن تأثير هذا الفيروس؟

 يمثل فيروس "شامون" (W32.Disttrack) تهديداً مدمراً للغاية، وقد لوحظ وجوده في هجمات محدودة جداً استهدفت مؤسسات في الشرق الأوسط. وبالرغم من أن ناقله الأولي مجهول، إلا أنه حالما يخترق مؤسسة ما فإنه يحاول الانتشار في جميع أجهزة الكمبيوتر في الشبكة المحلية عبر مجلدات المشاركة في الشبكة.  

وبالرغم من أن الفيروس قد يظهر على شهادات الاعتماد الحالية الموجودة على أجهزة الكمبيوتر، إلا أن المهاجمين عبره عادة ما يصلون إلى شهادات اعتماد المجال أو إلى وحدة التحكم بالمجال نفسها، مما يتيح لهم الوصول إلى جميع أجهزة الكمبيوتر ضمن المجال المحلي. وفي تاريخ محدد، تقوم مهمة المسح بإتلاف الملفات، وسجل التمهيد الرئيسي، والقسم النشط، وبالتالي تعطيل أجهزة الكمبيوتر عن العمل.

 وفي حال "شامون"، كان الفيروس في الخطوة الأخيرة من الهجوم، ويظهر التحليل أن الاختراق تم على نحو مبكر جداً نظراً لكمية المعلومات التي يملكها المهاجمون عن الملفات/الأنظمة، مما تسبب بحصول الفوضى لدى المؤسسات المتضررة.

2. كشفت التقارير أن فريق عمل داخلي من شركة "أرامكو" يساعد المتسللين على نشر الفيروس على أنظمتهم؟ هل يمكن لسيمانتك تأكيد ذلك؟ وإذا كان هذا صحيح، هل يمكن إخبارنا عن بعض أفضل الممارسات التي يمكن للمؤسسات استخدامها لحماية نفسها؟

لا تعلق سيمانتك على التقارير غير المثبتة. ووفقاً لطبيعة أعمال سيمانتك فإن معظم مشاركاتنا تتم بموجب قوانين ترخيص الحماية الوطنية الصارمة.  

ونحن في سيمانتك ننصح عملائنا بتغيير طريقة تفكيرهم ليكونوا أكثر استباقية حيال إمكانية تعرضهم للاختراق. إذ يساعد النهج الاستباقي المؤسسات على إدارة حلول تكنولوجيا المعلومات وحمايتها ككل والتأكد من جاهزيتها لأي هجوم محتمل. وتتوقع سيمانتك زيادة عدد الهجمات والتهديدات المستهدفة في المنطقة. ونقدم هنا بعض التوصيات لأفضل الممارسات من سيمانتك:

  • إنشاء فريق مهام داخلي لأمن الشركة يعمل مع شركة بيع حلول أمنية موثوقة لتشكيل فريق من المتخصصين الأمنيين وإجراء تحليل مفصل عن المخاطر الحالية.
  • مراجعة مسار العمليات الأمنية والبنية التحتية، وتصميم وتنفيذ مركز للعمليات الأمنية.
  • دمج خطة الاستجابة والحماية من الاختراقات ضمن العمليات اليومية للفريق الأمني. وتشغيل تقييمات للأنشطة المشبوهة، فضلاً عن اختبارات الاختراق لتحديد نقاط الضعف المحلية ضد الهجمات الداخلية والخارجية.
  • شراء المنتجات والخدمات لجميع التطبيقات المطلوبة والبنية التحتية لتنفيذ توصيات هامة واستخدام الحماية الأمثل لتأمين جميع بيئات الأعمال.
  • تنفيذ خدمة رصد الأمن، مدعومة بموارد خارجية رفيعة المستوى. وسيتمثل جزء من خدمة رصد الإنترنت في تنفيذ خدمة مراقبة متكاملة عالمياً على مدار الأسبوع ولمدة 24 ساعة.
  • ضمان أمن البنية التحتية في جميع نقاط النهاية بما في ذلك الأجهزة النقالة، وضمان تحديث المنتجات الأمنية وتجنب البرمجيات المقرصنة.
  • بعد وضع خطة التعافي من الكوارث، من المهم تخزين جميع البيانات، وتشفيرها وتأمينها.
  • حماية المستخدمين وتثقيفهم حول الحفاظ على الهوية والتحكم بالوصول، والتحقق من عاملين وإجراء جلسات تدريبية حول التوعية الأمنية.
  •  

3. ما هي المدة الزمنية التي استغرقتها سيمانتك لتحديد أحد الفيروسات، وما هي المدة الزمنية التي تستطيع سيمانتك بعدها البدء بمهاجمة الفيروس؟

تملك سيمانتك عدد من الأنظمة لمراقبة وتحديد مخاطر جرائم الإنترنت وتحذير العملاء على مدار أربع وعشرين ساعة. وتشكل شبكة الاستخبارات العالمية لدى سيمانتك أساس التقنيات الأمنية للشركة، والتي تضم عدد من مراكز الأبحاث حول العالم لتحليل المخاطر الأمنية ونقاط الضعف.

مراقبة الأجهزة الأمنية في 70 دولة - الدخول إلى ما يزيد عن ملياري فعالية يومياً.

  • تعمل أجهزة الاستشعار المسجلة في ما يزيد عن 70 دولة على تحديد فيما إذا كانت التهديدات محلية أو عالمية أو تستهدف مجال محدد.
  • تقوم أنظمة إحالة الفيروسات المكون من 120 مليون فيروس بتحديد فيما إذا كانت التهديدات جديدة أو متطورة عن تهديدات حالية، أو نشاط متجدد.

تقوم شبكة الاستخبارات العالمية لدى سيمانتك بوضع تقرير سنوي عن أمن الإنترنت لتقديم تحليل نظرة شاملة حول ما تم خلال العام من تهديدات عالمية، ويستخدمه محللو سيمانتك لتحديد وتحليل وتقديم تعقيبهم حول التوجهات الناشئة في الهجمات، والشفرات الخبيثة، والتصيد، والرسائل المشبوهة. ويقوم نظام الاستجابة الأمنية لدى سيمانتك بتزويد العملاء بخبرة عالمية شاملة في أمن الإنترنت على مدى أربع وعشرين ساعة لحمايتهم من تهديدات الإنترنت المعقدة هذه الأيام.

وتقوم شبكة الاستخبارات العالمية لسيمانتك أيضاً بتشغيل أنظمة استخبارات مخصصة حول تهديدات الفيروس:

نظام إدارة التهديد "دييب سايت" DeepSight من سيمانتك يقدم نظام إدارة معلومات استخباراتية تشمل الدورة الحياتية الكاملة للتهديد، بدءاً من الاستغلال الأولي لنقاط الضعف وحتى الهجوم الفعلي. ومن خلال مشغلات الإخطار الشخصية وتحليل الخبراء، يمكّن النظام الشركات من تحديد ما له الأولوية من موارد تكنولوجيا المعلومات لتوفر حماية أفضل لأصول المعلومات الهامة ضد الهجمات المحتملة.

  • سيمانتك إنسايت يستخدم التكنولوجيا الأمنية الشهيرة التي تتعقب مليارات الملفات من ملايين الأنظمة لتحديد التهديدات الجديدة في مرحلة نشوئها. وبناءاً على تقنيات التنقيب عن البيانات المتقدمة، يقوم إنسايت بتغيير التشفير وتبديل الرمز. ويقوم بفصل الملفات المعرضة للخطر عن الملفات الآمنة، لتحديد البرمجيات الخبيثة على نحو أدق وأكثر أمانا. وسيعزز "إنسايت" عملية التعقب والأداء والدقة لحلول سيمانتك الأمنية على مدى السنوات القادمة.

وعندما يقوم أحد الفيروسات بإصابة نظام ما، تنصح سيمانتك بإجراء الخطوات الأساسية التالية لمعالجة النظام المتضرر:

1. تحديد التهديد وناقلات الهجوم: بهدف احتواء التهديد والتخلص منه، يجب أولاً معرفة ما هو هذا التهديد وما الغرض منه.

2. تحديد أجهزة الكمبيوتر المصابة: حالما يتم تحديد التهديدات، من المهم معرفة الأجهزة المصابة، وكيف يمكن للأجهزة السليمة أن تصاب أيضاً.

3. حجر الأجهزة المصابة: لمنع انتشار التهديد، ينبغي إزالة أجهزة الكمبيوتر من الشبكة أثناء عملية معالجتها.

4. تنظيف أجهزة الكمبيوتر المصابة: حالما يتم عزل الخطر، يصبح بالإمكان التخلص منه وإبطال التأثيرات الجانبية التي تسبب بها.

5. بعد العملية: منع التكرار: حالما يتم وقف الانتشار، من المهم مراجعة الحادث وإجراء التغييرات المطلوبة في العمليات الداخلية والإجراءات لتجنب حدوث هذا النوع من الهجوم في المستقبل.

4. ما هي أفضل الأدوات التي يمكن لمؤسسات الشرق الأوسط تنفيذها لحماية أنفسها من الهجمات التي تستهدف المعلومات والبنية التحتية؟

تنصح سيمانتك الشركات بالالتزام بالمراجعات الدورية والتحقق من الاختراقات عبر العمل مع فريق من طرف ثالث للمساعدة في عملية التحقق هذه. وينبغي على الشركات إجراء نسخ احتياطية على كلا الخادمين و؟؟، وتشغيل اختبارات ؟؟ وترميم جميع التعرض ؟؟. ويتعين على الشركات إجراء اختبارات منتظمة للاستعادة تتضمن كافة الحلول الحاسمة والأنظمة فضلاً عن ضمان توفر جميع أنظمة الاتصال والتبادل. ويجب على الشركات التأكد من استخدام النظام الأمني المناسب على الخوادم والنقاط النهائية، ولذا تقوم سيمانتك بتزويد عملائها بجميع الأنظمة الأمنية المتوفرة وفقاً لاحتياجاتهم من تكنولوجيا المعلومات.

وينبغي على الشركات أيضاً تحديد عملية طريقة معالجة الاختراقات الأمنية في موقف معين، ووضع الأحكام والقوانين الدقيقة بحيث يعرف جميع الموظفين مواقع عملهم عند حدوث أي هجوم.

كما يجب على الشركات تثقيف فرق عملها وتوعيتهم بالمسائل الأمنية في العمليات اليومية بحيث تعمل المؤسسة ككل على تجنب أي هجوم محتمل.

وأخيراً، ننصح الشركات بالتأكد من إجراء تحديث كامل لتطبيقاتها الأمنية وضمان التخلص من البرمجيات المقرصنة التي يتم تنزيلها على النقاط النهائية.

5.هل باعتقادك أن على المؤسسات الكبرى المؤلفة من عدد كبير من قواعد البيانات ومستوى عال من البيانات السرية أن تجري تدريبات خاصة لفريق عملهم لزيادة الوعي حول مختلف التهديدات وكيفية معالجتها للموقف في حال حدوث أي هجوم؟

يتعين على جميع المؤسسات بصرف النظر عن حجمها تزويد فريق عملها بالمعلومات الكافية حول المخاطر الأمنية وتوفير أفضل الممارسات. إذ إن مستخدم مهمل واحد أو جهاز كاف ليمنح المهاجمين فرصة اختراق المؤسسة وشن هجمات إضافية على الشركة من الداخل. ومن خلال تقييم فعالية أنظمة الضبط الإجرائية والفنية المستخدمة وأتمتة التحقيقات الدورية لأنظمة الضبط الفنية مثل إعدادات كلمة  المرور، وتهيئة الخادم وجدار الحماية، وإدارة الترميم، يمكن للمؤسسات الحد من مخاطر اختراق البيانات. ويجب حماية المستخدمين وتثقيفهم وضبط الوصول، وعملية التحقق من الصحة، وإجراء تدريب حول التوعية الأمنية. ويجب على المؤسسات مراجعة إجراءات حماية الهوية والمعلومات، ودراسة تطبيق حلول حماية خسارة البيانات لضمان مراقبة البيانات الهامة والسرية وحمايتها، وإدخال حلول للترميز لمزيد من الضمان بحيث لا يمكن استخدام أي بيانات هامة سواء المراقبة منها أو غيرها من قبل أطراف غير مرخصة لذلك.

ومن الضروري أن تملك المؤسسات فرق استجابة متعددة الأوجه، وبناء تصنيف المخاطر الخاص بهم مقابل تصنيف الاستجابة. يجب على الشركات إجراء اختبارات - مثل التدريب على إطفاء الحرائق لضمان معرفة الجميع بمسؤولياتهم في حال حدوث أي اختراق أمني.

6.هل تعتقد أنه من الممكن للمؤسسات تطوير موقف يستطع إيقاف التهديدات دائمة التغير التي تقوم بتغير رمزها باستمرار؟

شهدت كامل منطقة الشرق الأوسط ازدياداً في عدد الهجمات المستهدفة المعقدة مثل "دوكو" "فلامر"، وهجمات "شامون" الأخيرة. ووجد تقرير تهديد أمن الإنترنت العالمي الإصدار 17، أن عدد الهجمات المشبوهة نحو المؤسسات تواصل ارتفاعها إذ بلغت 81 بالمئة في العام الفائت. ومن خلال تبني الحلول السحابية والأجهزة النقالة في العمل، ستواصل جرائم الإنترنت تطورها.

وتنصح سيمانتك الشركات بالتركيز على النهج الاستباقي لحماية معلوماتها. فمن خلال استخدام التكنولوجيا لمراقبة المعلومات وحمايتها، يجب على الفريق الأمني أن يملك القدرة على مواصلة تطوير الخطة والحد من الخطر بناءاً على المعرفة دائمة التوسع حول التهديدات والمخاطر. كما يمكن جمع حماية فقدان المعلومات مع إدارة الفعاليات الأمنية لمنع اختراق البيانات خلال مرحلة الانتقال.

7. هل يمكنك أن تحدثنا عن معرض "جيتكس"؟ ومدى أهمية المشاركات هذا العام؟

يعد معرض «جيتكس» حدثاً مهماً جداً لفريقنا في المنطقة. إذ يمنح المعرض الشركة منصة للمشاركة مع عملائها وشركائها في المنطقة لمواكبة أحدث التوجهات في تكنولوجيا المعلومات، بما في ذلك تفجر المعلومات، والعمليات الافتراضية، والخبرة بتكنولوجيا المعلومات، والحصول على الجهاز الخاص، واستخدام الخدمات السحابية. وستعرض سيمانتك حقيبتها السحابية في مؤتمر الحوسبة السحابية حيث يمكن للعملاء معرفة المزيد حول الخدمات السحابية في مجال مراقبة الرسائل الإلكترونية، وخدمات التنظيف، والأمن، والنسخ الاحتياطي، والأرشفة. وسترعى سيمانتك منطقة الشركات الصغيرة والمتوسطة في وستجري إعلانات جديدة للمنتج مخصصة لمساعدة الشركات الصغيرة والمتوسطة على حماية معلوماتها.

 

يمكنك الآن الحصول على آخر الأخبار في صندوق الوارد لبريدك الالكتروني عبر الاشتراك المجاني الآن بـ نشرتنا الالكترونية.

إضافة تعليق

اسم المشترك، حقل إجباري

البريد الإلكتروني، حقل إجباري

Security code