بحث ديال Bitdefender كيبين أن 84% من الحوادث الخطيرة كتستعمل أدوات مشروعة؛ تقييم جديد كيحدد مساحة الهجوم فـ 45 يوم

خلاصة: التحليل ديال Bitdefender لـ 700,000 حادث عالي الخطورة بين أن استغلال الأدوات المشروعة حاضر فـ 84% ديال الحالات، وهادشي كيحول التركيز من اكتشاف البرمجيات الخبيثة للتحكم فـ access control. الشركة خرجات تقييم مجاني سميتو Internal Attack Surface Assessment لمدة 45 يوم للشركات لي عندها 250 موظف أو كثر، كيعتمد على التنميط السلوكي (behavioral profiling) باش يكتشف وينقص التعرض لـ living-off-the-land binaries وأدوات الإدارة بلا ما يأثر على الخدمة. المجربين الأوائل سجلو نقصان فـ مساحة الهجوم بنسبة 30–70% فـ الشهر الأول.

أشنو واقع

Bitdefender نشرات نتائج بحث ديالها وطلقات منهجية للشركات باش يراجعو وينقصو من مساحة الهجوم الداخلية (internal attack surface). هاد الخدمة كتركز على واحد النتيجة غير متوقعة: أغلبية الحوادث الخطيرة لي تحللات ماكانتش كتعتمد على برمجيات خبيثة جديدة ولا ثغرات zero-day، ولكن على أدوات إدارة مشروعة بحال PowerShell، WMIC، netsh، Certutil، و MSBuild لي أصلا كاينة وموثوقة فـ endpoints.

التحليل راجع 700,000 حادث عالي الخطورة. النطاق والإطار الزمني ديال هاد البيانات — واش كيطبق على منطقة معينة، قطاع صناعي، ولا فترة زمنية — ما محددش فـ المعلومات لي متوفرة.

أي installation نقية ديال Windows 11 كتجي بـ 133 living-off-the-land binary فريدة مفرقة على 987 instance. نظام القياس (telemetry) ديال Bitdefender Labs لقى حتى أن PowerShell خدام فـ 73% ديال endpoints، وغالبا كيتشغل بشكل مخفي من طرف تطبيقات third-party ماشي من طرف مستخدمين بشريين.

التقييم براسو عبارة عن فحص كياخد 45 يوم ومتوفر فابور للشركات لي كتوفر على 250 موظف أو كثر. كيخدم بالتوازي مع أدوات endpoint detection and response (EDR) ولا الـ antivirus لي موجودين فـ الشركة، وكيستعمل التقنية ديال GravityZone PHASR باش يبني بروفايلات سلوكية للثنائيات ديال آلة-مستخدم على مر 30 يوم تقريبا، وكيخرج score ديال التعرض (من 0 لـ 100)، وكيطبق أو يقترح إجراءات باش يحد من الوصول للأدوات على حسب الدور الوظيفي الحقيقي.

الكليان لي جربو early-access صرحو بلي مساحة الهجوم نقصات عندهم بـ 30% ولا كثر فـ أول 30 يوم، ووحدا من الشركات سجلات انخفاض قريب لـ 70% غير منين حدات من الوصول لـ living-off-the-land binaries وأدوات الإدارة عن بعد.

علاش هادشي مهم

التحول من الاكتشاف للوقاية كيعكس تغيير فـ الجداول الزمنية ديال الهجمات. إذا كانو مهاجمين كيتحركو فـ ظرف دقائق بعد ما ياخدو initial access، وأغلبية الاختراقات ما فيهاش برمجيات خبيثة، هنا الموديل الأمني التقليدي ديال "detect and respond" كيولي غير كافي. إزالة الأدوات ومسارات الوصول لي ممكن أي مهاجم يستغلها فـ الأول كتولي هي الحاجز الأسرع باش تفراني الهجمة.

بالنسبة لفرق العمليات الأمنية وإدارة الأنظمة، تقليل الأدوات لي ما عندهاش ضرورة كينقص حتى من الضجيج فـ التحقيقات (investigation noise). على حساب الادعاءات ديال Bitdefender، الأقسام ممكن تلاحظ نقصان حتال 50% فـ حجم الخدمة ديال التحقيق والاستجابة حيت السلوكيات المشبوهة والي هي فـ نفس الوقت مشروعة مابقاوش كيبانو فـ endpoints لي أصلا ما محتاجاش ديك الأدوات.

هاد البحث غادي فـ نفس الخط مع توقعات المحللين. Gartner كتتوقع أن تقنيات dynamic attack surface reduction (DASR) غادي يتم الاعتماد ديالها من طرف 60% من الشركات الكبيرة مع حلول عام 2030، طالعة من قل من 10% فـ 2025، وأن الإنفاق على الأمن السيبراني الاستباقي غادي يكبر من قل من 5% من ميزانيات أمن IT فـ 2024 لـ 50% فـ 2030.

بالنسبة لفرق الامتثال (compliance) والمخاطر، التوثيق ديال نقصان مساحة الهجوم مع مرور الوقت كيعطي فـ يديهم دليل ملموس قابل للقياس على مستوى الإدارة، ولي الهيئات التنظيمية والمراجعين وشركات التأمين السيبراني كيتسناو يشوفوه كثر فأكثر.

الأنظمة المتضررة و CVEs

• Windows 11
• PowerShell
• WMIC
• netsh
• Certutil
• MSBuild
• GravityZone PHASR
• Bitdefender Internal Attack Surface Assessment

ماكاينش شي رقم CVE مخصص فـ وقت النشر.

شنو خاص تدار

• طلبو الوصول لـ Bitdefender Internal Attack Surface Assessment إذا كانت الشاركة ديالكم كتلبي الحد الأدنى (250 موظف أو كثر).
• فـ مرحلة التعلم السلوكي ديال التقييم (حوالي 30 يوم)، سجلو (log) الأنشطة العادية ديال المستخدم والآلة باش تبنيو بروفايلات دقيقة.
• راجعو الـ exposure score لي تخرج ونتائج الفحص المرتبة حسب الأولوية فـ خمسة ديال الفئات: living-off-the-land binaries، أدوات الإدارة عن بعد، أدوات التلاعب (tampering tools)، برامج التعدين المشفرة (cryptominers)، وأدوات القرصنة.
• طبقو ضوابط الحماية بشكل يدوي ولا استعملو Autopilot ديال PHASR لفرض القيود بشكل أوتوماتيكي.
• قادو واحد الـ workflow خاص بطلبات المستخدمين لاسترجاع حق الوصول إذا تبدلات متطلبات العمل.
• وثقو التقدم فـ تخفيض مساحة الهجوم مع الوقت لأغراض الامتثال والمراجعة (audit).

أسئلة باقة مفتوحة

• شنو هو الإطار الزمني المحدد (تاريخ البداية والنهاية) ديال 700,000 حادث لي حللاتها Bitdefender؟
• شنو هي المناطق الجغرافية أو القطاعات الصناعية لي متمثلة فـ هاد البيانات ديال الحوادث؟
• شنو هي المعايير لي كتحدد واش المدة التقيمية ديال 45 يوم مناسبة للشركات لي فايتة الحد الأدنى ديال 250 موظف؟
• شنو هي هوية الكليان ديال early-access لي حقق انخفاض ديال 70%؟
• كيفاش كتبنى البروفايلات السلوكية بالضبط، وشنو مستوى الدقة (granularity) لي كيتستعمل فـ الثنائيات ديال آلة-مستخدم؟
• شنو هي المقاييس والحدود المحددة لي كتعرف كل نقطة فـ الـ exposure score من 0 لـ 100؟

المصدر

What 45 Days of Watching Your Own Tools Will Tell You About Your Real Attack Surface