سمعنا جميعاً عن "قائمة حظر السفر" التي يديرها مركز مراقبة الإرهابيين التابع لمكتب التحقيقات الفيدرالي (FBI’s Terrorist Screening Center). وتضم القائمة أسماء الأشخاص الممنوعين من السفر عبر رحلات الطيران التجارية سواء للخروج من الولايات المتحدة أو الدخول إليها. وتعتبر قائمة حظر السفر مجرد وسيلة واحدة من الوسائل التي تستخدمها الولايات المتحدة لمكافحة الإرهاب، لكن منذ إنشائها لم تحدث أي هجمات إرهابية على متن الطائرات ضمن حدود الولايات المتحدة. وعلى الرغم من أنّ القائمة قطعاً لا تتسم بالكمال، إذ وُجهت إليها العديد من الانتقادات منها التصنيف حسب المظهر وحالات تشابه الأسماء إلى جانب غيرها من الأمور، إلا أنّ فعاليتها تجعل هذا النوع من الدفاعات القائمة على المعلومات الاستخباراتية جديراً بالاهتمام والدراسة من قبل كافة الشركات المعرضة دائماً للتهديدات الإلكترونية.
تعتبر الأجهزة ونقاط التفتيش والأنظمة التي تستخدمها إدارة أمن وسائل النقل (Transportation Security Administration) مشابهة للأجهزة الأمنية التي تستخدمها المؤسسات، والتي تشمل أدوات مراقبة الشبكات وبرامج الحماية وأنظمة إدارة النقاط النهائية. وكما هو الحال في النقل الجوي، تستضيف شبكات الشركات ملايين "المسافرين" كل يوم، على هيئة حزم معلومات. إذ تطبق الشركات بعض القواعد، مثل "مراقبة حالات فشل محاولات الدخول العديدة"، للتقليل من احتمالات التعرض للخطر. وتنجح هذه التدابير لبعض الوقت، ولكن لا يمكنها التمييز بين حركة المرور الخطرة والأخرى الجيدة. ولمعالجة أوجه القصور هذه، تطلب الشركات معلومات استخباراتية إضافية حول سمعة وتاريخ وسياق حركات المرور على شبكاتها.
وفي حالة وضع قائمة لحظر السفر في الفضاء الإلكتروني، سوف تستخدم هذه القائمة سياقات أكثر عمقاً ومزيداً من الاستخبارات حول حركات المرور الرقمية. على سبيل المثال، يتم التحقيق في بعض الأسئلة مثل: "هل تأتي هذه الحركة من جهة ضارة معروفة؟"، وإذا كان كذلك، ربما ينبغي على الشركة حظر حركة المرور حتى وإن بدت غير ضارة. ومع وجود قائمة مخاطر محدثة، يمكن للمؤسسات أن تبقى على اطلاع على العديد من العوامل التي تكشف الطبيعة الحقيقية لحركة البيانات على الشبكة، بما في ذلك ما إذا كانت مقترنة بتهديدات معروفة، والأسباب والأشخاص المحتمل تورطهم في ذلك، وما إذا تم إبلاغ الآخرين بالتهديد أم لا.
ونظراً لتميّز كل شركة بسمات خاصة وبيئة تهديد مختلفة، لا توجد قائمة حظر محددة أو "عامة" يمكن اعتمادها، إذ يتعين على كل شركة إعداد قائمة التهديدات الخاصة بها بالاستعانة بالأبحاث الأكثر ملاءمة للصناعة والسمات الجغرافية وطبيعة النشاط التجاري وغيرها من العوامل الخاصة بها. ولحسن الحظ، توجد صناعة كاملة تُعنى بتقديم الأبحاث الاستخباراتية في مجال الفضاء الإلكتروني التي يمكن الاستعانة بها، والتي تتضمن معلومات وتحليلات مثبتة من شركات مثل كراود سترايك (CrowdStrike) وفلاش بوينت (FlashPoint) وديجيتال شادوز (Digital Shadows) وإنتل 471 (Intel 471). وللمساعدة بشكل أكبر، توجد منصات استخباراتية للتهديدات الإلكترونية يمكنها المساعدة في تبسيط المعلومات وتفسيرها ودمجها ضمن البنيات الأساسية والعمليات القائمة.
وتوجد العديد من المعلومات الاستخباراتية التي تحتاج إلى تفسير، وبناء على ما لاحظه مقدمو المنصات الاستخباراتية للتهديدات الإلكترونية، منذ أربعة أعوام فقط، كان الباحثون يتعقبون حوالي 100,000 مؤشر تهديد للفضاء الإلكتروني. واليوم، يصل عدد مؤشرات التهديد إلى مئات الملايين، ويمكن أن تسجل الشركات الكبيرة في اليوم الواحد أكثر من مليار حدث متعلق بالشبكات والأنظمة. ولتتمكن أي شركة من الاطلاع على كافة التهديدات الإلكترونية الفعلية على الشبكة، يتعين عليها التحقق من تلك الأحداث وتقييمها مقارنة بمئات الملايين من مؤشرات التهديد. وللقيام بذلك بصورة فعالة، لا بدّ من وجود أدوات قوية للتعرف على حركات المرور الضارة المخفية ضمن الأعداد الهائلة من حركات المرور المشروعة.
وتعتبر المنصات الاستخباراتية للتهديدات الإلكترونية هي السبيل إلى التعرف على التهديدات وحركات المرور الضارة بشكل فعال. ومع ذلك، لا يعتبر الوصول إلى التهديدات بالأمر السهل، إذ تواجه مؤسسات المجتمع المدني وغيرها من الجهات المسؤولة عن اتخاذ القرارات فضاء مزدحماً بالمعلومات الأمنية ونقص في عدد موظفي الأمن السيبراني المؤهلين. وعليهم التأكد من أنّ المنصة التي يتم اختيارها لإدارة القائمة الخاصة بهم توفر بيانات جيدة وثيقة الصلة بكل من الصناعة والمؤسسة. ونظراً لهذه التحديات، تلعب الوسائل التكنولوجية التي تنفذ عمليات جمع المعلومات الاستخباراتية الخاصة بالتهديدات وتحسينها ودمجها بشكل آلي دوراً هاماً في مساعدة الشركات على إعداد قوائمها لحظر السفر في الفضاء الإلكتروني.
كما تعتبر تهديدات الفضاء الإلكتروني المكتشفة حديثاً جزءاً هاماً من هذه القائمة، إذ يكتشف الباحثون يومياً آلاف المؤشرات الضارة الجديدة. ولا يكفي البدء في البحث عن هذه المؤشرات الضارة فحسب، بل يتعين على الشركات تحديد ما إذا كانت شبكاتها أُصيبت بها بالفعل. ويعني ذلك أنه على الشركات فحص حركة المرور على شبكاتها على مدى الشهور أو حتى الأعوام الماضية للتأكد من خلوها من الانتهاكات المتعلقة بالتهديدات الجديدة. وسيكون ذلك مشابهاً لإضافة خلية إرهابية جديدة إلى قائمة منع السفر ثم التحقق ما إذا كان أعضاؤها دخلوا بالفعل إلى البلاد وتحديد موعد السفر ومكانه في أي وقت مضى. وعلى خلاف العناصر البشرية، يمكن أن تغيّر العناصر الإلكترونية "بصماتها" بسرعة وسهولة، إذ توجد عناصر معقدة ترصد قوائم التهديد العامة وتظهرها عندما يتم اكتشافها. لذلك، لا بدّ من تحليل تاريخ حركة المرور على الشبكة عند تقييم التهديدات الجديدة.
وعلى الرغم من هذه التحديات، تعتبر قائمة حظر السفر في الفضاء الإلكتروني وسيلة فعالة، حيث أظهرت دراسة حديثة قمنا بها على 1,000 خبير متخصص في أمن الفضاء الإلكتروني أنّ أكثر من 80 في المئة من الخبراء يستخدمون استخبارات التهديدات الإلكترونية (بيانات إجمالية حول التهديدات والعناصر الكامنة وراءها) في عملياتهم الأمنية اليومية. ويقومون عادة بدمج هذه المعلومات ضمن عمليات المراقبة الداخلية وتجهيزات الشبكة. وتوضح الأحداث التي وقعت مؤخراً، مثل هجمات واناكراي (WannaCry) وبيتيا (Petya)، مدى الحاجة إلى معلومات استخباراتية سريعة. ففي غضون ساعات من انتشار فيروس بيتيا، بدأ مقدمو استخبارات التهديدات الإلكترونية في إرسال مؤشرات تهديد محددة وقابلة للتطبيق (بصمات منفذي الهجمات) لتتمكن الشركات من وضع إجراءات وقائية، مثل قواعد الحظر التي تستخدمها جدران الحماية وتنبيهات مراقبة الشبكة.
ومن الميزات الأخرى لاستخبارات التهديدات الإلكترونية أنها تتحسن بشكل أكبر كلما ازداد استخدامها. ففي كثير من الحالات، يقود التحقيق في أحد التهديدات الضارة إلى اكتشاف مجموعة بأكملها من التهديدات، وعندما تتبادل الشركات هذا النوع من المعلومات وتشاركها، يزداد اتساع شبكة التهديدات المعروفة. ولا يدرك هذا الأمر أحد أكثر من جيسيكا فيرغسون، مديرة البنى التحتية لأمن المعلومات في خطوط ألاسكا الجوية (Alaska Airlines).
قامت جيسيكا بتطبيق برامج استخبارات التهديدات في العديد من الشركات الكبيرة، وتقول: "تسمح لنا استخبارات التهديدات بمعرفة المزيد حول التهديدات المعروفة، ما يتيح لفريقي المزيد من الوقت للتركيز على البحث عن تهديدات غير معروفة". وفي خطوط ألاسكا الجوية، تعمل جيسيكا على جمع المعلومات الاستخباراتية للتهديدات من الشركاء في مجال البحوث والمصادر الداخلية وحتى من شركات الطيران الأخرى، وتقوم بدمج هذه المعلومات ضمن البنية التحتية الأمنية، بما فيها الجدران النارية وأنظمة كشف التطفل وأدوات مراقبة النقاط النهائية وحلول المراقبة الأمنية. وبقيامها بذلك، تقوم بتمكين الاكتشاف والحظر التلقائي للتهديدات المعروفة على الشبكة ونقطة النهاية حيثما أمكن.
تقول جيسيكا أنه يمكن لشبكتها اتخاذ إجراءات تلقائية استجابة للتهديدات التي تكون متأكدة بشأنها بما في ذلك حظر حركة المرور بالكامل من ذلك المصدر. وفي حالات أخرى، في حالة عدم التأكد بشكل كبير، تقوم جيسيكا بإخضاع تلك الأحداث إلى عملية فحص فرعية. ويتضمن ذلك التحقق بشكل يدوي من حركة المرور وفهم الموقف وما حدث ومعرفة العملية التي بدأت بها حركة المرور والتغييرات التي تم إجراؤها سواء تم تحميل أي ملفات أم لا.
لقد أصبحت عملية مشاركة التهديدات أمراً بالغ الأهمية بالنسبة للدفاعات الأمنية التي تعتمد عليها جيسيكا، إذ تقول أنها تعتمد عليها "تماماً كما تشارك إدارة أمن وسائل النقل ملفات قوائم حظر السفر مع غيرها من الأجهزة الاستخباراتية". وفي الأعوام القليلة الماضية، تمت إقامة العديد من مراكز مشاركة وتحليل المعلومات (ISACs)، وتتشكل هذه المراكز من مجموعات من الشركات تجمعها صناعة معينة على الأغلب (على سبيل المثال، مركز مشاركة وتحليل البيانات الخاص بالطيران، مركز مشاركة وتحليل البيانات الخاص بالخدمات المالية، مركز مشاركة وتحليل البيانات الخاص بصناعة السيارات) ويتعاون من خلالها الأعضاء في الموضوعات المتعلقة بأمن الفضاء الإلكتروني ويتشاركون المعلومات الاستخباراتية. وغالباً ما تشرك جيسيكا الفرق الأمنية في شركات الطيران الأخرى في مناقشة التهديدات التي تترصد قطاع الطيران.
وعلى الرغم من أنّ ركاب الطائرات وحركة المرور الرقمية ليسوا سواء، إلا أنهما يتشابهان كثيراً في بعض الأوجه المتعلقة بكيفية التعرف على العناصر الضارة ورفض دخولها. ولتحديد الأشخاص الخطرين، أدرك مكتب التحقيقات الفيدرالي حاجته لمعرفة أنشطتهم خارج نطاق ما يمكن رصده عند آخر نقطة دخول. وبالمثل، تحتاج الشركات إلى إدراك القدر نفسه من المعرفة للتعرف على حركة المرور الرقمية الخطرة بشكل أفضل وإيقافها.
وتعتبر قائمة حظر السفر في الفضاء الإلكتروني أسلوباً فعالاً، لأنه يستخدم واحدة من أكثر الأدوات كفاءة في الحروب، وهي الاستخبارات. فمن خلال المعرفة المسبقة للأعداء القائمين والمحتملين، تتمكن الشركات من اتخاذ خطوات استباقية لإيقافهم ومنعهم من دخول بواباتها.