في السنوات الأخيرة، دخل عدد من قوانين خصوصية البيانات الجديدة حيز التنفيذ. في حين أن اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) و قانون خصوصية المستهلك في كاليفورنيا (CCPA) هي بعض الأمثلة الأكثر وضوحًا والمعروفة على ذلك، فهي ليست الوحيدة.
تنضم قوانين الخصوصية الجديدة هذه إلى صفوف اللوائح والمعايير الحالية، مثل معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) وقانون إمكانية نقل التأمين الصحي وإمكانية الوصول (HIPAA).
في حين أن العديد من هذه اللوائح تختلف في اختصاصاتها ومتطلباتها، إلا أنها تشترك في ميزات معينة. إحدى هذه الميزات المشتركة هي متطلبات حماية أنواع معينة من PII أو "معلومات التعريف الشخصية".
في حين أن أنواع معلومات تحديد الهوية الشخصية المحمية يمكن أن تختلف من تنظيم إلى آخر، إلا أن نواقل الهجوم التي يستخدمها مجرمو الإنترنت للوصول إليها لا تختلف في كثير من الأحيان. تعد تطبيقات الويب هدفًا شائعًا للهجوم نظرًا لأنها معرضة للإنترنت العام ونقاط ضعف قابلة للاستغلال في كثير من الأحيان.
يوضح الهجوم الأخير على المواقع المستندة إلى WordPress مدى إبداع مجرمي الإنترنت في البحث عن بيانات العملاء الحساسة. استهدف الهجوم ملفات التكوين، والتي يمكن أن تحتوي على بيانات اعتماد قاعدة البيانات. قد تسمح بيانات الاعتماد هذه، في حالة سرقتها، للمهاجم بالوصول إلى بيانات العميل الحساسة.
1] تعتبر تطبيقات الويب هدفًا شائعًا للهجمات
تعد تطبيقات الويب هدفًا رئيسيًا لمجرمي الإنترنت. تم تصميم هذه التطبيقات لمواجهة الإنترنت العام، وتحتوي على قدر كبير من الوظائف للمستخدمين، وغالبًا ما تتمتع بإمكانية الوصول إلى البيانات الحساسة المخزنة على الأنظمة الخلفية.
هذا المزيج يجعل من السهل نسبيًا على مجرمي الإنترنت استغلال هذه الأجهزة. إن تعقيد تطبيق الويب الحديث - واعتماده على عدد من المكتبات الخارجية - يعني أنه من المحتمل جدًا أن يحتوي تطبيق الويب على ثغرة أمنية.
في الواقع، يحتوي متوسط تطبيق الويب على 22 نقطة ضعف، منها 4 خطيرة للغاية.
على الرغم من وجود بعض الثغرات الأمنية بسبب أخطاء في التعليمات البرمجية التي تم تطويرها داخليًا، إلا أن مجرمي الإنترنت غالبًا ما يستهدفون ثغرات أمنية أكثر عمومية.
تعتمد العديد من مواقع الويب على WordPress أو منصات مشابهة، وغالبًا ما تسمح هذه الأنظمة الأساسية لمطور مواقع الويب باستيراد المكونات الإضافية التي طورتها جهات خارجية والتي توفر وظائف مرغوبة (مثل تنفيذ عربة تسوق لصفحة تجارة إلكترونية أو توفير تحليلات المستخدم).
يمكن أن تؤثر الثغرات الأمنية في هذه الأنظمة الأساسية والمكونات الإضافية التي تحتوي عليها على آلاف أو ملايين من مواقع الويب المختلفة، مما يجعلها هدفًا عالي التأثير لجهود مجرمي الإنترنت.
2] هجوم WordPress يستهدف ملفات التكوين الحساسة
تعد منصة WordPress هدفًا شائعًا للهجمات الإلكترونية نظرًا لاعتمادها على نطاق واسع. تستخدم نسبة كبيرة من مواقع الويب WordPress، لذلك غالبًا ما تكون هدفًا لهجمات واسعة النطاق.
أحد الأمثلة على مثل هذا الهجوم حدث في يونيو 2020. أثناء الهجوم، حاول ممثل التهديد استغلال مجموعة واسعة من نقاط الضعف القديمة في منصة WordPress. وكان هدفهم هو الوصول إلى ملفات wp-config.php.
تحتوي هذه الملفات على معلومات التكوين لموقع WordPress، ومن المحتمل أن تتضمن بيانات اعتماد لقاعدة بيانات خلفية. باستخدام بيانات الاعتماد المسروقة هذه، يمكن للمهاجم الوصول إلى قاعدة البيانات مباشرة والاستعلام عنها للحصول على معلومات العملاء الحساسة مثل عناوين البريد الإلكتروني وكلمات المرور وغيرها من معلومات تحديد الهوية الشخصية (PII).
لم يستغل هذا الهجوم ثغرة يوم الصفر؛ في الواقع، لقد استهدفت نقاط الضعف القديمة المعروفة. ومع ذلك، فقد كان ملحوظًا بحجمه.
في ذروته، كان الهجوم يمثل 75% من جميع الهجمات ضد WordPress، مما يعني أن حجم الهجوم كان أعلى بثلاث مرات من جميع مهاجمي WordPress الآخرين مجتمعين.
4 أشياء مذهلة يجب أن تعرفها عن شبكات VPN3] تحديات إدارة نقاط الضعف في تطبيقات الويب
تم اكتشاف هجوم WordPress بواسطة Wordfence، الذي كان قادرًا على اكتشاف ومنع الهجمات ضد مواقع WordPress التي يحميها. ومع ذلك، فإن العديد من المواقع الأخرى ليست محمية بواسطة Wordfence وربما تم استغلالها بنجاح.
كما ذكرنا سابقًا، يستفيد هذا الهجوم من نقاط الضعف المعروفة في منصة WordPress، مما يعني أنه يجب أن يكون معدل نجاحه قريبًا من الصفر. إذا قامت إحدى المؤسسات بتصحيح نقاط الضعف في منصات WordPress الخاصة بها عن طريق الحفاظ على تحديث البرنامج، فسوف يفشل الاستغلال.
ومع ذلك، فإن إدارة الثغرات الأمنية بشكل عام (وإدارة الثغرات الأمنية في تطبيقات الويب بشكل خاص) تمثل تحديًا لمعظم المؤسسات.
يتم اكتشاف الثغرات الأمنية الجديدة والإبلاغ عنها يوميًا، ويجب على المؤسسة تحديد الثغرات الأمنية التي تؤثر على أنظمتها، واختبارها للتأكد من أن التحديثات لا تؤدي إلى تعطل البرامج الحالية، ونشر التصحيحات في بيئات الإنتاج. كل هذا يستغرق وقتًا وموارد، مما يجعل من الصعب على العديد من المنظمات مواكبة ذلك.
4] حماية البيانات الحساسة المخزنة في تطبيقات الويب
تفرض لوائح حماية البيانات، مثل اللائحة العامة لحماية البيانات (GDPR) وقانون خصوصية المستهلك في كاليفورنيا (CCPA) حماية البيانات الشخصية للأفراد. في حين أنه يمكن استهداف هذه البيانات واختراقها بعدة طرق مختلفة، فإن استغلال الثغرات الأمنية في تطبيقات الويب يعد طريقة شائعة لأن هذه التطبيقات مكشوفة للعامة ولديها إمكانية الوصول المباشر إلى البيانات الحساسة.
أظهر الهجوم الذي تعرض له مستخدمو WordPress ذكاء مجرمي الإنترنت الذين يحاولون الوصول إلى المعلومات الحساسة.
استغل المهاجمون نقاط الضعف المعروفة في محاولة للوصول إلى الملفات التي تحتوي على بيانات اعتماد قاعدة البيانات. يمكن استخدام بيانات الاعتماد هذه للوصول إلى قواعد البيانات التي تحتوي على معلومات تحديد الهوية الشخصية للعميل.
أظهر استخدام هذا الهجوم للهجمات المعروفة أهمية إدارة الثغرات الأمنية وعدم قدرة العديد من المؤسسات على مواكبة عمليات التصحيح المطلوبة. وهذا يؤكد أهمية نشر جدار حماية قوي لتطبيقات الويب (WAF) قادر على التصحيح الافتراضي.
من خلال منع الهجمات قبل وصولها إلى التطبيقات الضعيفة، يمكن لـ WAF القوي القضاء على التهديد الذي يتعرض له التطبيق دون تحمل الحمل المرتبط بعمليات إدارة التصحيح اليدوية.
