منهجية أمازون ويب سيرفيسز في حماية البيانات الحساسة عبر استخبارات التهديدات المتقدمة

مقال ضيف بقلم سي جاي موزيس، رئيس شؤون أمن المعلومات لدى أمازون ويب سيرفيسز

---

تثق الشركات في جميع أنحاء العالم بإمكانات أمازون ويب سيرفيسز (AWS) عندما يتعلق الأمر ببياناتها الأكثر حساسية. وتتمحور إحدى الطرق، التي نساعد بها في تأمين البيانات عبر منصة أمازون ويب سيرفيسز، حول برنامج استخبارات التهديدات الرائد في القطاع الذي يحدد ويوقف العديد من أنواع الأنشطة الضارة عبر الإنترنت التي قد تضر أو ​​تعطل سير العمل لدى عملائنا أو في بنيتنا التحتية. إن إنتاج معلومات استخباراتية دقيقة في الوقت المناسب وقابلة للتنفيذ والتطوير حول التهديدات هي مسؤولية نتعامل معها بجدية شديدة وشيء نستثمر فيه موارد كبيرة.

يسألنا العملاء بشكل متزايد عن مصدر المعلومات التي نجمعها عن التهديدات وأنواع التهديدات التي نجدها، وكيف نتصرف إزاء ما نلاحظه والخطوات التي يتعين عليهم اتخاذها لحماية أنفسهم. وتشير مثل هذه الأسئلة إلى أن مديري أقسام أمن المعلومات الذين تطورت أدوارهم من كونها تقنية في المقام الأول إلى كونها وظيفة استراتيجية قائمة على تحسين سير الأعمال، أصبحوا يدركون اليوم أن المعلومات الاستخباراتية الفعالة عن التهديدات ذات أهمية بالغة لنجاح شركاتهم وقدرتها على الصمود.

استخبارات التهديدات عالية الدقة التي يمكن تحقيقها على نطاق عالمي فقط عبر أمازون ويب سيرفيسز

نكتشف كل يوم الهجمات الإلكترونية ونحبطها عبر البنية التحتية لأمازون ويب سيرفيسز. وبفضل امتلاكها لأكبر شبكة عامة من بين مزود الخدمات السحابية، تتمتع أمازون ويب سيرفيسز برؤية لا مثيل لها على أنشطة الإنترنت في الوقت الفعلي. ولكي يكون للاستخبارات المتعلقة بالتهديدات تأثير مفيد على الأمن، يتعيّن جمع كميات ضخمة من البيانات الخام من جميع أنحاء الإنترنت وتحليلها بسرعة. إضافةً إلى ذلك، يجب إزالة الإشعارات التنبيهية الخاطئة. على سبيل المثال، قد تشير نتائج الاستخبارات المتعلقة بالتهديدات بشكل خاطئ إلى وجود تهديد داخلي عندما يتم تسجيل دخول موظف إلى بيانات حساسة بعد ساعات العمل، بينما في الواقع، قد يكون هذا الموظف قد كُلّف بمشروع في اللحظة الأخيرة واضطر إلى العمل طوال الليل. ويستغرق إنتاج بيانات الاستخبارات المتعلقة بالتهديدات وقتاً طويلاً ويتطلب موارد بشرية ورقمية واسعة.

يستطيع الذكاء الاصطناعي وتعلم الآلة مساعدة المحللين في تصفية وتحليل كميات هائلة من البيانات. لكن تفقد استخبارات التهديدات فائدتها عند عدم قدرتها الشاملة على جمع وتحليل المعلومات ذات الصلة عبر الإنترنت. وحتى بالنسبة للشركات القادرة على جمع معلومات استخباراتية قابلة للتنفيذ حول التهديدات بمفردها، فمن الصعب أو المستحيل مشاركة المعلومات الحساسة في الوقت المناسب بشكل جماعي مع الآخرين بشكل هادف دون الوصول إلى البنية التحتية السحابية على نطاق عالمي.

أحدثت البنية التحتية لأمازون ويب سيرفيسز نقلة نوعية في طريقة جمع استخبارات التهديدات، فأصبحنا نستطيع اليوم تعزيز دقة استخبارات التهديدات بشكل كبير، ونشير إلى ذلك بالدقة العالية، بسبب العدد الهائل من إشارات الاستخبارات (الإشعارات التي تولدها أدوات الأمان الخاصة بنا) التي يمكننا مراقبتها. ونعمل باستمرار على تحسين قدراتنا في مراقبة الطرق والتقنيات والإجراءات المتطورة لدى الجهات الضارة في مجال التهديدات والرد عليها أثناء اكتشافنا ومراقبتنا للأنشطة الهجومية المحتملة من خلال MadPot، وهي شبكتنا المتطورة الموزعة عالمياً لأجهزة استشعار التهديدات ذات القدرات على الاستجابة الآلية.

نتلقى بفضل شبكتنا العالمية وأدواتنا الداخلية مثل MadPot ونحلل آلاف الأنواع من إشارات الأحداث في الوقت الفعلي. على سبيل المثال، ترصد MadPot أكثر من 100 مليون تهديد محتمل كل يوم في جميع أنحاء العالم، مع تصنيف ما يقرب من 500 ألف من تلك الأنشطة المرصودة على أنها خبيثة. وهذا يعني أن النتائج عالية الدقة (المعلومات ذات الصلة) تنتج معلومات استخباراتية قيّمة حول التهديدات، يمكن التصرف بناءً عليها بسرعة لحماية العملاء في جميع أنحاء العالم من الأنشطة الضارة والخبيثة عبر الإنترنت. كما تولّد معلوماتنا الاستخبارية عالية الدقة نتائج في الوقت الفعلي يتم استيعابها في خدمة الأمان للكشف عن التهديدات الذكية Amazon GuardDuty، والتي تكتشف التهديدات لملايين حسابات أمازون ويب سيرفيسز تلقائياً.

تُصنّف شركة Mithra التابعة لشركة أمازون ويب سيرفيسز موثوقية المواقع الإلكترونية لتساعد في حماية العملاء من التهديدات

لنتعمق أكثر. يعتبر تحديد المواقع الإلكترونية الضارة (عناوين IP المادية على الإنترنت) أمر بالغ الأهمية لتوفير استخبارات فعالة عن التهديدات. وتولد GuardDuty أنواعاً مختلفة من النتائج (مشاكل أمنية محتملة مثل السلوكيات الغريبة) عندما يتفاعل عملاء أمازون ويب سيرفيسز مع المواقع الإلكترونية، حيث يتم تعيين درجة أمان لكل موقع إلكتروني قائمة على مجموعة متنوعة من المقاييس التي تصنف الجدارة حسب الموثوقية. ما هي أهمية هذا التصنيف؟ يعتبر الحفاظ على قائمة عالية الجودة لأسماء المواقع الإلكترونية الضارة أمر بالغ الأهمية لمراقبة سلوك المجرمين الإلكترونيين حتى نتمكن من حماية العملاء. كيف ننجز المهمة الضخمة المتمثلة في التصنيف؟ أولاً، لنتخيل معاً رسماً بيانياً كبيراً جداً (قد يكون أحد أكبر الرسوم البيانية الموجودة حالياً) بحيث يستحيل على الإنسان عرض وفهم محتوياته بالكامل، ناهيك عن استخلاص رؤى قابلة للاستخدام.

وللتعرف أكثر على Mithra، تجدر الإشارة إلى أنه تمت تسمية Mithra على اسم شمس أسطورية مشرقة، وهو عبارة عن نموذج رسم بياني لشبكة عصبية داخلية ضخمة، طورتهُ أمازون ويب سيرفيسز يستخدم الخوارزميات لتوفير استخبارات التهديدات. ويضم نظام تصنيف المواقع الإلكترونية حسب الموثوقية والأمان Mithra 3.5 مليار عقدة و48 مليار حافة، وتم تصميمه لتحديد المواقع الإلكترونية الضارة التي يتعامل معها العملاء. نلاحظ يومياً عدداً كبيراً من طلبات DNS، بما يصل إلى 200 تريليون طلب في منطقة أمازون ويب سيرفيسز واحدة، ويكتشف Mithraحوالي 182 ألف موقع إلكتروني ضار جديد يومياً. ومن خلال تعيين درجة الموثوقية يصنف كل اسم لموقع إلكتروني يتم الاستعلام عنه داخل أمازون ويب سيرفيسز على أساس يومي، وتساعد خوارزميات Mithra AWS على الاعتماد بشكل أقل على أطراف ثالثة للكشف عن التهديدات الناشئة، وبدلاً من ذلك تولّد معرفة أفضل يتم إنتاجها بسرعة أكبر مقارنةً باستخدام طرف ثالث.

يستطيع Mithra اكتشاف المواقع الإلكترونية الضارة بدقة ملحوظة ونسبة أقل من الإشعارات الكاذبة، بل إن هذا الرسم البياني الفائق قادر أيضاً على التنبؤ بالمواقع الإلكترونية الضارة قبل أيام وأسابيع وأحياناً حتى أشهر من ظهورها في موجزات المعلومات الاستخباراتية عن التهديدات من جهات خارجية. وتعني هذه القدرة العالمية أنه يمكننا رؤية ملايين الأحداث الأمنية والتهديدات المحتملة والتعامل معها كل يوم.

مشاركة معلوماتنا الاستخباراتية عالية الدقة حول التهديدات مع العملاء كي يتمكنوا من حماية أنفسهم

نستخدم معلوماتنا الاستخباراتية عن التهديدات لإثراء خدمات الأمان التي يعتمد عليها عملاؤنا في أمازون ويب سيرفيسز، ونتواصل أيضاً بشكل استباقي لمشاركة المعلومات المهمة مع العملاء والشركات الأخرى التي نعتقد أنها قد تكون مستهدفة أو معرضة للخطر من قبل جهات ضارة. وتتيح مشاركة معلوماتنا الاستخباراتية عن التهديدات للمستلمين تقييم المعلومات التي نقدمها واتخاذ الخطوات اللازمة للحد من المخاطر والمساعدة في منع الاضطرابات في أعمالهم.

في كثير من الأحيان، عندما ننبه العملاء وغيرهم إلى مثل هذه الأنواع من المشكلات، تكون تلك المرة الأولى التي يدركون فيها أنهم معرضون للخطر. وتستطيع الشركات بعد إخطارها إجراء التحقيقات وتحديد الخطوات التي يتعين عليها اتخاذها لحماية نفسها ومنع الحوادث التي قد تتسبب في تعطيل سير عملها أو قد تسمح بالمزيد من الاستغلال. وغالباً ما تتضمن إخطاراتنا أيضاً توصيات بالإجراءات التي يمكن للشركات اتخاذها، مثل مراجعة سجلات الأمان لمواقع إلكترونية معينة وحظرها واتخاذ تدابير التخفيف وتغيير التكوينات وإجراء تحقيق جنائي وتثبيت آخر التحديثات أو نقل البنية التحتية خلف جدار حماية الشبكة. وتساعد هذه الإجراءات الاستباقية الشركات على تجنب التهديدات المحتملة بشكل مسبق بدلاً من مجرد الاستجابة لها بعد وقوع الحادث.

تدير أمازون ويب سيرفيسز البنية التحتية السحابية الأكثر موثوقية على هذا الكوكب، مما يمنحنا رؤية فريدة لمشهد الأمان والتهديدات التي يواجهها عملاؤنا كل يوم. ونشعر بالثقة إزاء الجهود التي نبذلها لمشاركة معلوماتنا الاستخباراتية حول التهديدات والتي ساعدت العملاء والشركات على أن يكونوا أكثر أماناً، ونستمر بالتزامنا بإيجاد المزيد من الطرق للمساعدة.

 

مثالان على تنفيذ استخبارات التهديدات عالية الدقة من أمازون ويب سيرفيسز

المثال 1: أدركنا وجود نشاط مشبوه عندما أشارت أجهزة استشعار MadPot الخاصة بنا إلى نشاط غير اعتيادي للشبكة يعرف باسم backscatter (نشاط غير مرغوب به أو غير مقصود للشبكة غالباً ما يرتبط بهجوم إلكتروني) ويحتوي على مؤشرات تشغيل معروفة مرتبطة بتهديد محدد يحاول التحرك عبر بنيتنا التحتية. وبدى أن النشاط نشأ من مساحة IP لشركة كبيرة متعددة الجنسيات في قطاع خدمات الأغذية في أوروبا الشرقية، مما يشير إلى تسرب محتمل وضار للبيانات. واتصل فريق استخبارات التهديدات لدينا على الفور بفريق الأمن لدى الشركة المتضررة، والتي لم تكن عميلاً لدى شركة أمازون ويب سيرفيسز. وكانوا على دراية بالمشكلة بالفعل لكنهم اعتقدوا أنهم عالجوا التهديد وأزالوه بنجاح من بيئة تقنية المعلومات لديهم. ومع ذلك، أشارت أجهزة الاستشعار الخاصة بنا إلى أن التهديد مستمر ولم يتم حله، مما يدل على أن هناك تهديد مستمر. فطلبنا تصعيداً فورياً وشارك مسؤول أمن المعلومات في أمازون ويب سيرفيسز خلال مكالمة هاتفية في وقت متأخر من الليل سجلات الأمان في الوقت الفعلي مع مسؤول أمن المعلومات في الشركة المتضررة والتي تُظهر أن كميات كبيرة من البيانات لا تزال تُستخرج بشكل مشبوه وأن اتخاذ الإجراء العاجل ضروري جداً. ووافق مدير أمن المعلومات لدى الشركة المتضررة وقام بإشراك فريق الاستجابة للحوادث (IR)، والذي عملنا معه لإيقاف التهديد بنجاح.

المثال 2: نشرت شركة Volexity في وقت سابق من العام الجاري بحثاً يوضح بالتفصيل ثغرتين جديدتين في Ivanti Connect Secure VPN، مما أدى إلى نشر CVE-2023-46805 (ثغرة تجاوز المصادقة) وCVE-2024-21887 (ثغرة إدخال الأوامر الموجودة في مكونات ويب متعددة). وأصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) استشارة أمنية في 29 فبراير 2024 بشأن هذه المشكلة. وعززت فرق أمان أمازون في وقت سابق من هذا العام أجهزة استشعار MadPot الخاصة بنا للكشف عن محاولات الجهات الخبيثة لاستغلال هذه الثغرات. وحددت أمازون باستخدام المعلومات التي تم الحصول عليها بواسطة أجهزة استشعار MadPot حملات استغلال نشطة متعددة تستهدف شبكات Ivanti Connect Secure VPN الضعيفة. كما نشرنا معلومات استخباراتية ذات صلة في موجز الثغرات والهجمات الشائعة (CVE) في GuardDuty، مما يتيح لعملائنا الذين يستخدمون هذه الخدمة اكتشاف هذا النشاط وإيقافه إذا كان موجوداً في بيئتهم. (للمزيد من المعلومات حول مقاييس CVSS، يرجى مراجعة مقاييس الضعف الأمني التابعة للمعهد الوطني للمعايير والتكنولوجيا (NIST).