ملخص: تعتمد معظم منتجات البرمجيات اليوم على آلاف حزم الشفرات البرمجية المكتوبة مسبقاً التي ينتجها الموردون أو المتاحة في مكتبات المصادر المفتوحة. تعدّ هذه المكونات الأكثر استخداماً في سلاسل توريد البرمجيات من الطرف الثالث أهدافاً ذات قيمة عالية لمجرمي الإنترنت. إذا تمكن منفذو الهجمات السيبرانية من التسلل إليها فسيعرضون آلاف بل ملايين الشركات في جميع القطاعات حول العالم للخطر. لكن النبأ الجيد هو أنه ليس على الشركات أن تشعر بالعجز، فبإمكانها الاعتماد على أشخاص من خارجها للكشف عن نقاط ضعفها. يمكن لقادة الشركات وفرق تكنولوجيا المعلومات اتباع 3 خطوات لترتيب نقاط الضعف حسب الأولوية ومعالجتها ووقاية سلسلة التوريد من الهجمات الإلكترونية بصورة مسبقة.
في يوليو/تموز، تمكنت عصابة الجريمة الإلكترونية الروسية، "ريفيل" (REvil)، من إيقاف أنظمة تكنولوجيا المعلومات عن العمل في 800 متجر بقالة في السويد ومدرستين في نيوزيلندا وحكومتين محليتين في ولاية ماريلاند الأميركية وقرابة 1,000 شركة أخرى حول العالم. اكتشف المهاجمون أن برنامج "كاسيّا" (Kaseya)، الذي يستخدمه متعهدو خدمات تكنولوجيا المعلومات لإدارة شبكات المؤسسات عن بُعد، فيه عدة نقاط ضعف في مجال الأمن السيبراني. وبمهاجمة هذا البرنامج تمكنت العصابة من التسلل إلى أنظمة تكنولوجيا المعلومات في كثير من المؤسسات التي يدعمها، وبذلك كان برنامج "كاسيّا" موجهاً قوياً للهجمة.
ينبغي لنا الآن توجيه انتباهنا إلى خدمات ومنتجات التكنولوجيا المحورية الأساسية التي ستوقع آثاراً مماثلة بعيدة المدى إذا تم اختراقها. تعتمد معظم منتجات البرمجيات اليوم على آلاف حزم الشفرات البرمجية المكتوبة مسبقاً التي ينتجها الموردون أو المتاحة في مكتبات المصادر المفتوحة. تعدّ هذه المكونات الأكثر استخداماً في سلاسل توريد البرمجيات من الطرف الثالث أهدافاً ذات قيمة عالية لمجرمي الإنترنت. وهي ضعيفة. توصلت شركة البرمجيات "سينوبسيس" (Synopsys) في التدقيق الذي أجرته عام 2020 إلى أن 49% من قواعد الشفرات البرمجية التجارية تستخدم مكونات من مصادر مفتوحة فيها نقاط ضعف شديدة الخطورة. إذا استغل المهاجمون نقاط الضعف هذه فسيعرضون آلاف أو حتى ملايين الشركات للخطر في مختلف القطاعات حول العالم.
هذه ليست تكهنات عديمة الجدوى، فمصادر التهديد المتطور قد استهدفت بالفعل المكونات غير المحمية والمستخدمة على نطاق واسع من سلسلة التوريد. قامت إحدى وكالات المخابرات الروسية (إس في آر) (SVR) بزرع شفرة برمجية ضارة في تحديث برنامج "سولار ويندز" (SolarWinds) لإدارة نظم تكنولوجيا المعلومات عن طريق السحابة الإلكترونية، وبذلك زود جهاز المخابرات الروسي بموجه محتمل للهجوم في 18,000 شركة ووكالة حكومية استجابت للتحديث وقامت بتثبيته في أنظمتها.
الروس ليسوا وحدهم. أبلغ قائد القيادة السيبرانية الأميركية بول ناكاسوني مجلس النواب أن الولايات الأميركية تشارك بصورة متزايدة في "أفضل الممارسات" لاستهداف نقاط الضعف في سلسلة التوريد. وقدرت الشركة الأمنية "سوناتايب" (Sonatype) أن الهجمات السيبرانية التي وقعت على سلاسل التوريد بين شهري يوليو/تموز من عام 2019 ومارس/آذار من عام 2020 كانت أكثر مما شهدته الأعوام الأربعة السابقة مجتمعة بنسبة 400%.
ما أن يقتحم طرف معاد شبكة إحدى المؤسسات، يمكن أن يتسبب بأضرار مالية خطيرة ويؤذي سمعتها، ولن يكون بإمكان شركات كثيرة النجاة من تبعات هذه الهجمات. فقد توصلت دراسة أجرتها شركة "فيرايزون" (Verizon) إلى أن 60% من المؤسسات الصغيرة ومتوسطة الحجم تتوقف عن العمل في غضون ستة أشهر من وقوع هجوم إلكتروني، وذلك يحمّل الشركات واجب الحدّ من مخاطر هذه الهجمات.
من أجل التوصل إلى فهم أفضل للتهديدات وطرق إدارتها الحالية، أجرينا مقابلات شبه منظمة مع المدراء التنفيذيين للشركات الصغيرة ومتوسطة الحجم والأشخاص المنخرطين في معالجة سلسلة التوريد وهم خبراء تنسيق الثغرات الأمنية في مركز التنسيق التابع للفريق الوطني لاستغاثات طوارئ الكمبيوتر (CERT)، وهي مؤسسة ذات تمويل حكومي مكلفة بإصلاح الثغرات الحرجة في الأمن السيبراني، وكبار مسؤولي الأمن في شركات التكنولوجيا.
كان الكثير من قادة الشركات الذين تحدثنا إليهم متأكدين على نحو لافت للنظر من عدم قدرتهم على مواجهة التحدي؛ إذ اعترف أحد الرؤساء التنفيذيين لشركة ذات رأسمال صغير أنه يعتقد أن شركته لن تتمكن قطّ من حماية سلسلة التوريد الخاصة بها. هذه الاستجابة الغريزية منطقية، فقد توصل تقرير شركة "سينوبسيس" إلى أن قواعد الشفرات البرمجية التجارية تستخدم وسطياً 445 مكوناً من مصادر مفتوحة. تتمتع مؤسسات قليلة بالخبرة اللازمة لتحري نقاط الضعف في نظم الأمن السيبراني لدى العدد الكبير من موردي الطرف الثالث والرابع؛ أما المؤسسات التي تتمتع بالقدرة أو الوقت للقيام بذلك فيكاد عددها يكون معدوماً.
لكن النبأ السارّ هو أنه ليس من الضروري أن تشعر الشركات بالعجز؛ فبإمكانها الاعتماد على أطراف خارجية لاكتشاف نقاط الضعف. على مدى عدة أعوام مضت تمكنت بيئة العمل المتنامية المؤلفة من الباحثين في مجال الأمن ووكالات مشاركة المعلومات من تحديد آلاف نقاط الضعف المهمة قبل أن تستغلها الأطراف المعادية. كل ما يجب على الشركات فعله هو الاطلاع باستمرار على التهديدات التي قد تؤثر عليها والتفاعل معها على أنها ضرورات ملحة.
ستتمكن الشركات قريباً من الوصول إلى عدد أكبر من الأدوات التي تساعدها في التوصل إلى فهم سريع لإمكانية تعرضها للخطر بسبب نقطة ضعف ما. حالياً، يصدر القليل من الموردين فاتورة مواد البرمجيات التي تضم قائمة بمكونات سلسلة التوريد المدمجة في قاعدة الشفرات البرمجية لمنتجاتهم. لكن الأمر التنفيذي الجديد الذي صدر عن إدارة بايدن مؤخراً يطالب جميع موردي التكنولوجيا الذين يتعاقدون مع الحكومة الفيدرالية (ومنهم مصنعو البرمجيات الأكثر انتشاراً) بإصدار فواتير مواد البرمجيات على نحو علني. ستؤدي هذه الخطوة إلى تحقيق الشفافية التي نحن بأمس الحاجة إليها في سلسلة توريد البرمجيات.
يجب على الشركات الإسراع في منح نقاط الضعف الأولوية وتصحيحها بدلاً من البحث عن أخطاء البرامج، لكنها لا تفعل ذلك للأسف. توصل بحث أجرته شركة "آتش بي-بروميوم" (HP-Bromium) إلى أن الشركات لم تتمكن من معالجة نقاط ضعف يصل عمرها إلى 9 أعوام، والشركات التي تفشل في معالجة نقاط الضعف على الرغم من توفر تصحيح لها ستكون عرضة لخطر كبير. نوّه ديميتري ألبيروفيتش المؤسس الشريك لشركة "كراود سترايك" (CrowdStrike) الرائدة المختصة بالاستجابة للحوادث الإلكترونية إلى أن كثيراً من المجموعات الإجرامية تقوم بمعالجة التصحيحات بأسلوب الهندسة العكسية لتكشف نقاط الضعف وتستغل المؤسسات المعرضة للخطر.
3 خطوات لوقاية سلسلة التوريد من الهجمات الإلكترونية
والنبأ الجيد هو أن هذه المشكلة ليست عصية على الحلّ، حتى بالنسبة للشركات الصغيرة. يمكن لقادة الشركات وفرق تكنولوجيا المعلومات اتباع 3 خطوات لترتيب نقاط الضعف حسب الأولوية ومعالجتها ووقاية سلسلة التوريد من الهجمات الإلكترونية بصورة مسبقة.
يجب أن يعتمد مدراء تكنولوجيا المعلومات أكثر على الأدوات الآلية لإصلاح نقاط الضعف البسيطة
قامت شركة "غيت هاب" (GitHub) لتخزين الشفرات البرمجية على الإنترنت بتطوير "شفرة روبوت برمجية مؤتمتة" تتعرف على نقاط الضعف البسيطة لدى المستخدمين وتصلحها بكبسة زر. ومع انتشار فواتير مواد البرمجيات سيتم تطوير خدمات مماثلة.
لكن بعض الشركات أدخلت هذه الأدوات الجديدة إلى مسارات عمل تكنولوجيا المعلومات، تواصلت شركة "غيت هاب" مع 1,896 مستخدماً بشأن إحدى نقاط الضعف، لكن 42 منهم فقط قبلوا بالتصحيح الآلي، يجب أن يتغير ذلك.
يجب أن تجري الشركات تحليل التكلفة والفائدة لتصحيح نقاط الضعف
سيكون تصحيح كثير منها صعباً، ولا يمكن تصحيح كثير من المنتجات إلا عندما تكون أنظمتها غير متصلة بالإنترنت ولذلك سيكون تصحيح كل نقطة ضعف أمراً غير عملي.
لكنه لحسن الحظ ليس ضرورياً. فنقاط الضعف ليست متساوية، إذ إن تحويل بعضها إلى سلاح سيكون مكلفاً جداً، وبالتالي ليس من المحتمل أن يتم استغلالها. قالت شركة "فورتنايت" (Fortinet) إن 5% فقط من نقاط الضعف تم استغلالها ضد ما يزيد على 10% من المؤسسات الخاضعة للمراقبة. تماماً كما يعمل المستشفى المزدحم على تصنيف المرضى حسب الأولوية، يمكن لفرق تكنولوجيا المعلومات تصنيف نقاط الضعف بنفس الطريقة، ويجب المسارعة في تصحيح نقاط الضعف التي يمكن استغلالها والتي توقع أثراً كبيراً، في حين يمكن أن تنتظر الشركات إلى أن تصحح التحديثات المقررة نقاط الضعف الأقل أهمية.
بإمكان الشركات استخدام المعايير الجديدة لتصنيف نقاط الضعف حسب الأولوية. خذ مثلاً "نظام تقييم استغلال الثغرات المتوقع" (Exploit Prediction Scoring System) الذي طوره فريق من خبراء الأمن السيبراني وموردي البرمجيات، فهو يتوقع احتمالات استغلال نقطة الضعف بناء على خصائصها الجوهرية. ستساعد هذه الأداة مدراء المخاطر في تحديد ما إذا كانت الفوائد التي سيحققها تصحيح نقطة الضعف للأمن السيبراني تتفوق على الزعزعة التي سيسببها.
يجب أن يطالب المشترون موردي الحلول التكنولوجية الأساسية بتنفيذ نهج "التصحيح السريع"
تكون بعض الحلول التكنولوجية محورية لدرجة أنه من الضروري جداً ألا تتعطل، مثل أنظمة التحكم الصناعية التي تشغل المعامل والبرمجيات التي تدير شبكات الطاقة وشبكات توزيع المياه. تريد الشركات أن تكون هذه الأنظمة خالية من أي نقطة ضعف بغض النظر عن مدى إمكانية استغلال نقاط الضعف هذه برأيها.
لكن يجب أن تكون هذه الأنظمة متاحة دائماً أيضاً، وإذا كان من الضروري إيقافها عن العمل من أجل تصحيحها فستصبح تحديثات الأمن السيبراني قليلة لأنه من النادر أن تتمكن الشركات والحكومات من إيقاف هذه الأنظمة.
ولذلك يجب أن تطالب الشركات بأن يطبق موردوها أنظمة تصحيح سريع تمكنهم من توزيع التصحيحات من دون الحاجة إلى إعادة تشغيل البرمجيات. على الرغم من أن تطبيق هذه القدرة لوظيفية قد يزيد التكاليف فهو سيضمن ألا تضطر الشركات للاختيار بين أمن أنظمتها السيبراني وإتاحتها.
من المؤكد أن هذه التدابير لن تحمي الشركات من جميع مخاطر سلاسل توريد البرمجيات، وكحال أي اختبار غير مثالي، سيولد نظام تقييم استغلال الثغرات المتوقع نتائج سلبية زائفة؛ فهو يخطئ في بعض الأحيان ويقلل من خطورة بعض نقاط الضعف القوية. كما أن ممارسات الأمن السيبراني التي نقترحها لن تحمي الشركات من الأطراف المعادية التي تستغل نقاط الضعف التي لم تتمكن منظومة الأمن السيبراني من اكتشافها قبل أن تستغلها تلك الأطراف في هجوم إلكتروني. ومع ذلك، سيؤدي اتباع هذه الخطوات إلى امتلاك الشركات القدرة على درء معظم الهجمات التي تستغل نقاط الضعف المعروفة والقابلة للاستغلال وتحولها إلى أسلحة. ليس بالضرورة أن تقف الشركات عاجزة، بل بإمكانها التعامل مع هذه المخاطر.