7 مخاطر أمنية للتطبيقات يمكن الوقاية منها

1. مقدمة#

واجهت الشركات الكبرى، بما في ذلك Uber وMGM Resorts وCircleCI وTicketmaster والعديد من الشركات الأخرى، اختراقات أمنية في الفترة من سبتمبر 2022 إلى مايو 2024 بعد أن تمكن المهاجمون من الوصول غير المصرح به إلى أنظمة حسابات المستخدمين الخاصة بهم. تسببت الهجمات في أضرار تزيد قيمتها عن مئات الملايين من الدولارات مع كشف البيانات الشخصية لأكثر من 600 مليون مستخدم، وكان من الممكن أن تمنع أنظمة المصادقة القديمة في ذلك الوقت حدوث هذه الاختراقات الأمنية.

لا تُظهر القصة أي دليل على وجود ثغرات يوم الصفر (zero-days) المعقدة أو استخدام مهاجمي الأمن السيبراني لنقاط ضعف غير معروفة لتنفيذ هجماتهم. تكشف هذه الحالات عن كيفية فشل المؤسسات في منع الاختراقات الأمنية. كان معظمهم على دراية بهجمات إرهاق المصادقة متعددة العوامل (MFA fatigue) ومع ذلك فشلوا في الحماية منها، وأدركوا نقاط ضعف الأنظمة القائمة على كلمات المرور ومع ذلك استمروا في استخدامها.

2. إخفاقات المصادقة القديمة#

تعد المصادقة الضعيفة أو القديمة نقطة دخول شائعة للمهاجمين. تبدأ غالبية الاختراقات الأمنية بحصول المهاجمين إما على كلمات مرور مسروقة أو مستخدمة مسبقاً، على الرغم من وصول المؤسسات إلى أنظمة مصادقة مفتاح المرور المعمول بها، والتي توفر حماية من التصيد الاحتيالي. اختراق MGM Resorts لعام 2023 بدأ عندما استخدم المهاجمون الاحتيال الصوتي (vishing) للحصول على دعم مكتب مساعدة تكنولوجيا المعلومات، مما سمح لهم بإعادة تعيين بيانات الاعتماد ثم نشر برامج الفدية والتسبب في انقطاع النظام لمدة سبعة أيام.

استخدمت الأنظمة الأمنية لـ MGM والمؤسسات الأخرى كلمات المرور جنباً إلى جنب مع المصادقة الثنائية المستندة إلى الرسائل القصيرة (SMS)، والتي فشلت في الحماية من هجمات الهندسة الاجتماعية وسرقة بيانات الاعتماد. فشلت المؤسسة في إنشاء أنظمة مصادقة أفضل لأنهم فهموا التهديدات الأمنية، ومع ذلك فإن أنظمتهم الحالية وعمليات العمل منعتهم من إجراء تغييرات.

كان من شأن مفاتيح المرور التي تستخدم تشفير المفتاح العام وتحديد الهوية بالقياسات الحيوية أن تقلل بشكل كبير من خطر نجاح هذه الهجمات. تعد مفاتيح المرور أكثر أماناً من كلمات المرور لأن المستخدمين لا يمكنهم إعادة تعيينها عبر الوصول عن بُعد أو دعم مكتب المساعدة من خلال مشاركة رموز إعادة التعيين، مما يحمي من هجمات الهندسة الاجتماعية. يظل أمان مفاتيح المرور عرضة لطرق هجوم محددة، والتي تحدث عندما لا تكون عمليات استرداد الحساب مؤمنة بشكل صحيح وعندما تصاب الأجهزة ببرمجيات خبيثة.

3. الهجمات المستندة إلى الجلسة وملفات تعريف الارتباط#

يركز المهاجمون على الحصول على ملفات تعريف الارتباط (cookies) لأنها ستساعد في الحصول على وصول إلى النظام وتجاوز جميع إجراءات المصادقة. اختراق CircleCI لعام 2022 يؤكد على ذلك من خلال إظهار كيف يمكن لبرمجية خبيثة لسرقة المعلومات على كمبيوتر محمول لأحد الموظفين سرقة ملفات تعريف ارتباط الجلسة النشطة بسهولة. وباستخدام هذه الملفات، تجاوز المهاجمون المصادقة الثنائية وتمكنوا من الوصول إلى أنظمة الإنتاج.

تعمل ملفات تعريف ارتباط الجلسة كوسيلة للتحايل على ضوابط الوصول باستخدام الرموز الحاملة الخاصة بها، مما يسهل كشف البيانات الحساسة. لمنع مثل هذه الحوادث، يمكن للمؤسسات تنفيذ بيانات اعتماد الجلسة المرتبطة بالجهاز (DBSC)، والتي تحمي المستخدمين من سرقة الجلسة عن طريق استخدام طرق تشفيرية لربط الجلسات بأجهزة محددة. هذا يجعل ملفات تعريف الارتباط المسروقة من أجهزة كمبيوتر أخرى مستحيلة الاستخدام. يوفر نظام DBSC حماية فعالة ضد برمجيات سرقة المعلومات الخبيثة التي تعمل على أجهزة مختلفة، ولكنه لا يستطيع إيقاف الهجمات عندما تصيب البرمجيات الخبيثة الجهاز المسجل في البداية.

4. التفويض المكسور (Broken Authorization)#

عندما يخترق المهاجمون التحكم في الوصول في التطبيق، يمكنهم التحرك جانبياً دون النظر إلى أذوناتهم. لا يزال الخطر الأمني الناجم عن نقاط ضعف التفويض مرتفعاً لأن المهاجمين استخدموا بنجاح ضوابط وصول غير كافية للتنقل بين مكونات النظام خلال اختراقات متعددة للشبكة.

لتحديد ثغرات المرجع المباشر غير الآمن للكائن (IDOR)، يجب على مطوري التطبيقات استخدام نمذجة التهديدات القائمة على المفهوم لاكتشاف هياكل إدارة الوصول الأساسية وتنفيذ عمليات مراجعة التعليمات البرمجية للتحقق من أذونات حساب الخدمة.

يمكن أن يؤدي اختيار تعيينات الأدوار المعقدة وإدارة الأذونات بدلاً من نموذج الامتياز الأقل (least-privilege) إلى جعل المؤسسات عرضة لمشكلات التفويض. يمكن أن تؤدي التعيينات المعقدة للأدوار إلى الوصول غير المصرح به إلى المعلومات الحساسة والوظائف في التطبيقات الموجهة للعملاء. لا يمكن للمؤسسات التي لا تمتلك إطار عمل تفويض آمن حماية بياناتها من الوصول والعمليات غير المصرح بها.

مع تزايد المشكلات الأمنية من الشركة إلى المستهلك (B2C)، يمكن أن يتسبب حساب مخترق واحد في ضرر كبير للعديد من حسابات المستخدمين. من خلال تنفيذ إدارة الوصول المتميز (privileged access management)، يمكن للمؤسسات منح موظفيها وعملائها الحد الأدنى من الوصول المطلوب فقط لإنجاز عملهم. بالإضافة إلى ذلك، يمكن أن تساعد النمذجة المنتظمة للتهديدات القائمة على المفهوم ومراجعة التعليمات البرمجية في اكتشاف المخاطر ونقاط الضعف بسهولة.

5. عمليات دمج الذكاء الاصطناعي غير الآمنة#

لقد تفوق الدمج السريع للذكاء الاصطناعي التوليدي (GenAI) والنماذج اللغوية الكبيرة (LLMs) في التطبيقات على قدرة الضوابط التقليدية على اكتشاف هذه التغييرات، مما يؤدي إلى خطر أمني غير مرئي. اختراق Snowflake لعام 2024 يوضح كيف استخدمت جهات التهديد بيانات الاعتماد المسروقة من هجمات برمجيات سرقة المعلومات الخبيثة لدخول بيئات عملاء Snowflake، والتي لم تنفذ المصادقة متعددة العوامل. اخترق الهجوم أكثر من 165 مؤسسة، والتي شملت Ticketmaster بـ 560 مليون سجل عميل وAT&T وبنك Santander.

غالباً ما تفشل المؤسسات في الاعتراف بالذكاء الاصطناعي كجزء أساسي من بيئة تكنولوجيا المعلومات، مما يترك موارد الذكاء الاصطناعي مثل النماذج ومخازن البيانات الموجهة (vectorized data) ومسارات الذكاء الاصطناعي عرضة لسوء التكوين ومخاطر الهجمات الإلكترونية. تجد معظم المؤسسات صعوبة في مراقبة أنظمة الذكاء الاصطناعي بفعالية بسبب "الذكاء الاصطناعي الظلي" (shadow AI)، حيث يمكن للأفراد غير المصرح لهم تنفيذ هجمات تستند إلى بيانات الاعتماد دون اكتشاف داخلي.

لو طبقت المؤسسات ضوابط أساسية مثل التحقق من صحة المدخلات والعزل والمراقبة المستمرة لأنظمة الذكاء الاصطناعي الخاصة بها كما تفعل مع البنية التحتية الأخرى لتكنولوجيا المعلومات، لكان من الممكن تجنب هذه الحوادث الأمنية. يمكن للمؤسسات أتمتة تحديد وإصلاح التكوينات الخاطئة باستخدام أدوات أمان الذكاء الاصطناعي، والتي توفر مخزوناً كاملاً لجميع موارد الذكاء الاصطناعي.

6. التكوينات الخاطئة في السحابة وبيئة وقت التشغيل#

يمكن أن تؤدي التكوينات الخاطئة في السحابة، بما في ذلك حِزم التخزين (storage buckets) المكشوفة، والمجموعات الأمنية المفرطة في التساهل، والحاويات المكشوفة، إلى حوادث أمنية. أظهر اختراق ePallet لعام 2022 أن حزمة Amazon S3 المكونة بشكل خاطئ يمكن أن تكشف عن بيانات العملاء الحساسة للشركات الأخرى التي تستخدم أداتهم. استخدم المهاجمون ناقلين رئيسيين للوصول إلى المعلومات الحساسة: حِزم التخزين غير المحمية والمجموعات الأمنية ذات ضوابط الوصول غير الفعالة.

يُظهر مسح الامتثال الأساسي أن هذه الهجمات تنشأ من مصدرين رئيسيين، وهما التخزين الذي يمكن الوصول إليه بشكل عام والذي يحتوي على بيانات خاصة بالمستخدم، ومنافذ الإدارة الافتراضية المكشوفة. قد تنظر المؤسسات إلى هذه التكوينات الخاطئة كإصلاحات قصيرة الأجل للامتثال، ولكن معظمها يصبح نقاط اختراق أمني.

يجب أن يكون تحديد التكوينات الخاطئة وإصلاحها مستمراً من خلال الإدارة المستمرة للوضع الأمني للسحابة أو الفحوصات الأمنية في وقت التشغيل (runtime)، مما يقلل بشكل كبير من خطر استغلال المهاجمين للثغرات الأمنية. يمكن للمؤسسات استخدام أدوات المسح والمراقبة الآلية للعثور على التكوينات الخاطئة، ومن ثم يمكن لمنصة المراقبة معالجتها.

7. فقدان الأمان في دورة حياة تطوير البرمجيات (SDLC)#

تدخل نقاط الضعف في عملية الإنتاج عندما لا يتم دمج الوظائف الأمنية بشكل صحيح في عملية تطوير البرمجيات. كانت إجراءات GitHub المكونة بشكل خاطئ في مسار CI/CD لشركة عملات مشفرة ناشئة تشارك بيانات اعتماد AWS بهدوء، مما ساعد المهاجمين على تعدين ما قيمته 800 دولار أمريكي من العملات المشفرة.

يمكن أن تحدد أدوات SAST/DAST ومراجعة التعليمات البرمجية الآمنة ومسح التبعيات الثغرات الأمنية الشائعة. ويمكن أن تتراوح من هجمات الحقن (injection attacks) إلى إلغاء التسلسل غير الآمن (insecure deserialization) والمراجع المباشرة غير الآمنة للكائنات (IDOR)، ولكن هذه المشكلات تستمر عندما لا يحظى الأمان بأي اهتمام.

يمكّن دمج الأمان في دورة حياة تطوير البرمجيات (SDLC) المطورين من تحديد وحل الثغرات الأمنية، والتي يمكنهم بعد ذلك تنفيذها في تطبيقات الويب الخاصة بهم قبل النشر في الإنتاج. تتطلب الوقاية من هذه المشكلات من المؤسسات تنفيذ ثلاث ممارسات أمنية أساسية، والتي تشمل المسح الآلي، وإدارة التبعيات، ومراجعات التعليمات البرمجية الآمنة.

8. عدم كفاية عمليات المراقبة والإصلاح#

تستمر المؤسسات في تجربة اختراقات أمنية إلى حد كبير لأنها لا تستطيع التعرف على المؤشرات التحذيرية وتفتقر إلى عمليات إصلاح محددة لشذوذ النظام. يجب عليهم مراقبة أنظمة الكمبيوتر الخاصة بهم باستمرار وإنشاء إجراء استجابة واضح للانتهاكات الأمنية، باتباع معايير الصناعة الحالية في ضوء اختراق Uber لعام 2022. بدون تسجيل شامل للأحداث الأمنية، تكافح المؤسسات لمراقبة حشو بيانات الاعتماد (credential stuffing)، أو محاولات الوصول غير المعتادة للأجهزة، أو المعاملات الرمزية غير الطبيعية.

تجد المؤسسات صعوبة في اكتشاف المصادقة ومحاولات تسجيل الدخول أو تسجيل أحداث تسجيل المستخدم لأن المعلومات التي تجمعها تفتقر إلى التفاصيل الكافية للتعرف المبكر على إساءة استخدام الحقوق الأمنية.

تقوم أنظمة المؤسسة بتحديد وإدارة الأحداث غير الطبيعية من خلال القياس عن بُعد الذي يركز على الخصوصية (telemetry) وإجراءات الاستجابة الخوارزمية المؤتمتة. ستساعد قدرات اكتشاف واستجابة الذكاء الاصطناعي المؤسسات على تحديد العلاقات بين الأحداث الأمنية ومنع حدوث الاختراقات.

9. الخاتمة#

الجزء الأكثر إحباطاً في دراسة اختراقات MGM وSnowflake وUber وCircleCI هو فهم أنه كان من الممكن تجنب هذه الحوادث. أصبح الحادث لا مفر منه لأن التكنولوجيا الحالية كانت تفتقر إلى القدرات اللازمة التي كانت الشركات التي تركز على الأمان تستخدمها بالفعل في أنظمة المصادقة الخاصة بها.

كان لدى جميع المؤسسات في هذا التقرير القدرة على نشر مفاتيح المرور قبل اختراق أنظمتها. في حين أن مفاتيح المرور كانت تقنية متاحة وناضجة خلال الفترة 2022-2024، إلا أن بيانات اعتماد الجلسة المرتبطة بالجهاز (DBSC) لم تكن متاحة على نطاق واسع حتى عام 2024. تضمن النظام ضوابط أمان سحابية متعددة، مثل فرض المصادقة متعددة العوامل (MFA)، وقوائم السماح بالشبكة، وإدارة الوصول والهوية (IAM) ذات الامتياز الأقل، والمراقبة. ومع ذلك، احتاجت هذه الضوابط إلى إعداد يدوي للحماية الكاملة.

دعمت فرق الأمان في بعض المؤسسات هذه الضوابط، ومع ذلك فقد فشلوا في هزيمة المقاومة للتغيير على مستوى الشركة. أدت النتيجة إلى كشف البيانات الشخصية لأكثر من 600 مليون شخص، وتحقيقات تنظيمية، وخسائر إجمالية تجاوزت مئات الملايين.

أجرت المؤسسات أبحاثاً تثبت أن الهجمات المستندة إلى بيانات الاعتماد ستزداد بمعدل متسارع، لذلك تحتاج المؤسسات إلى التعامل مع هذا التهديد الأمني الخطير على الفور. تحتاج مؤسستك إلى تحديد ما إذا كانت ستعتمد أنظمة المصادقة الحديثة قبل أو بعد استخدام المؤسسات الأخرى لفشلك الأمني كمثال في تحقيقات الاختراق الخاصة بها.

توجد أدوات أمان التطبيقات، وتعمل تلقائياً من خلال عملية بسيطة لا تحتاج إلى إجراء تثبيت معقد. العائد على الاستثمار (ROI) قابل للقياس. يفتقر مجتمع الأمان إلى الشعور بالإلحاح، والذي من شأنه تمكينه من التعرف على تحديث المصادقة كعنصر تحكم أمني أساسي. تحتاج المؤسسة إلى اتخاذ إجراءات فورية لأن مكالمة مكتب المساعدة التالية ورسالة التصيد الاحتيالي وحمولة برمجيات سرقة المعلومات (infostealer payload) ستتطور إلى حادث بمئة مليون دولار.

حول Corbado

Corbado هي Passkey Intelligence Platform لفِرَق CIAM التي تُدير المصادقة الاستهلاكية على نطاق واسع. نُمكّنك من رؤية ما لا تستطيع سجلات IDP وأدوات التحليل العامة إظهاره: أي الأجهزة وإصدارات أنظمة التشغيل والمتصفحات ومديري بيانات الاعتماد تدعم passkeys، ولماذا لا تتحوّل عمليات التسجيل إلى عمليات دخول، وأين يفشل تدفق WebAuthn، ومتى يُعطّل تحديث نظام التشغيل أو المتصفح تسجيل الدخول بصمت — كل ذلك دون استبدال Okta أو Auth0 أو Ping أو Cognito أو IDP الداخلي لديك. منتجان: Corbado Observe يُضيف observability للـ passkeys وأي طريقة دخول أخرى. Corbado Connect يُقدّم managed passkeys مع تحليلات مدمجة (إلى جانب IDP الخاص بك). تُشغّل VicRoads passkeys لأكثر من 5 ملايين مستخدم مع Corbado (تفعيل passkey بنسبة +80%). تحدث مع خبير Passkey →

الأسئلة الشائعة#

كيف تجاوز اختراق CircleCI المصادقة الثنائية؟#

في اختراق CircleCI عام 2022، سرقت برمجيات خبيثة لسرقة المعلومات على كمبيوتر محمول لأحد الموظفين ملفات تعريف ارتباط الجلسة النشطة مباشرة. ولأن ملفات تعريف ارتباط الجلسة تعمل كرموز حاملة تمنح وصولاً فورياً، فقد استخدمها المهاجمون لتجاوز المصادقة الثنائية بالكامل والوصول إلى أنظمة الإنتاج.

ما الفرق بين DBSC وملفات تعريف ارتباط الجلسة القياسية للأمان؟#

يمكن سرقة ملفات تعريف ارتباط الجلسة القياسية بواسطة برمجيات خبيثة لسرقة المعلومات وإعادة استخدامها من أي جهاز، مما يتجاوز ضوابط المصادقة. تستخدم بيانات اعتماد الجلسة المرتبطة بالجهاز (DBSC) طرقاً تشفيرية لربط الجلسة بالجهاز المحدد الذي أنشأها، لذلك لا يمكن إعادة تشغيل ملفات تعريف الارتباط المسروقة من الأجهزة التي يسيطر عليها المهاجمون.

لماذا تسبب ضعف التحكم في الوصول في مثل هذا الضرر الواسع النطاق في اختراق Snowflake؟#

اخترق هجوم Snowflake أكثر من 165 مؤسسة عميلة لأن بيئات المستأجرين الفردية كانت تفتقر إلى فرض المصادقة متعددة العوامل (MFA)، مما يعني أن مجموعة واحدة من بيانات الاعتماد المسروقة يمكن أن تفتح مخازن بيانات العملاء بالكامل. تعرضت شركة Ticketmaster وحدها لـ 560 مليون سجل عميل نتيجة لهذه الثغرة الأمنية الفردية.

ما هو الفشل الأمني في دورة حياة تطوير البرمجيات (SDLC) الذي أدى إلى حادثة تعدين العملات المشفرة في GitHub Actions؟#

أدى سير عمل GitHub Actions المكون بشكل خاطئ في مسار CI/CD الخاص بشركة ناشئة للعملات المشفرة إلى تسريب بيانات اعتماد AWS بهدوء إلى المهاجمين، الذين استخدموها لتعدين ما قيمته 800 دولار أمريكي من العملات المشفرة. يحدد المقال المسح الآلي SAST/DAST، وإدارة التبعيات، ومراجعات التعليمات البرمجية الآمنة باعتبارها الممارسات الثلاث التي كان من شأنها اكتشاف هذا التكوين الخاطئ قبل النشر في الإنتاج.