كاسبرسكي: الأجسام المشبوهة تنطوي على الخطر في ثلاثة أرباع الحالات

أجرى خبراء كاسبرسكي تحليلًا لإحصاءات مجهولة المصدر وأخرى مجمّعة من طلبات واردة إلى بوابة كاسبرسكي لمعلومات التهديدات Kaspersky Threat Intelligence Portal، وهي خدمة ويب تتيح الوصول إلى أحجام هائلة من المعلومات الأمنية العالمية التي يجري تحديثها لحظة بلحظة تقريبًا.

وأظهر التحليل أن طلب الباحثين الأمنيين تفاصيل إضافية عن جسم إلكتروني مشبوه ما، يكشف عن كونه جسمًا خبيثًا في 72% من الحالات، وأن بوسعه في هذه الحالات تعريض أمن الشركات للخطر إذا لم يتم التحقيق فيه والاستجابة لوجوده.

 

وفي المتوسط، لا يجري التحقيق في 44% من التنبيهات الأمنية التي تواجهها الشركات. وربما يكمن السبب في الحجم الهائل لتلك التنبيهات الواردة التي تسعى الفرق الأمنية جاهدة للتعامل معها بشكل كامل. ولذلك، يتعيّن على المحللين أن ينتبهوا بعناية للتنبيهات التي عليهم التحقيق فيها، والتفريق بينها وبين تلك التي لا تستحق اهتمامهم. لذلك سيكون من المفيد أن يكون لديهم إطار يساعدهم في اتخاذ القرار بهذا الشأن.

 

وأظهرت الإحصاءات، سواء مجهولة الهوية أو المجمعة من بوابة Kaspersky Threat Intelligence Portal أنه يثبت في معظم الحالات أن الدعوة الأولية للتحقق في تنبيه ما تكون مبرّرة في الغالب، فسبعة من كل عشرة طلبات للتحليل جرى تقديمها عبر الخدمة كشفت عن كون الجسم المشبوه خبيثًا. وترتفع هذه النسبة في الأجسام المشبوهة ذات الصلة بالويب؛ فتصل إلى 86% في أسماء النطاق، و75% في عناوين بروتوكول الإنترنت، و73% في عناوين مواقع الويب، في حين تقلّ النسبة قليلاً في الملفات التي يتبيّن بعد التحقيق فيها أن 61% منها فقط تنطوي على خطر.

 

وتشير النتائج الإحصائية هذه إلى صعوبة تمييز الباحثين بين الملفات السليمة وتلك الخبيثة دون استشارة مصدر مناسب من مصادر المعلومات المتعلقة بالتهديدات.

 

ويهتم الباحثون عمومًا بمعرفة المصادر التي تتواصل معها النقاط الطرفية في شبكاتهم، إذ تندرج 41% من إجمالي الطلبات تحت هذه الفئة. ويمكن لفرق الأمن، من خلال المعلومات المتعلقة بسمعة عناوين بروتوكول الإنترنت والمواقع والملفات المرتبطة بها على الإنترنت، اتخاذ قرار بشأن ما إذا كان ينبغي لها رفض الوصول إلى هذا المصدر أو حظر أي اتصال به. وعلاوة على ذلك كان ثلث الطلبات (31%) يتعلّق بفئة تجزئة الملفات، بمعنى اهتمام المحللين في تحقيقاتهم بأية معلومات إضافية حول الملف (مثل التوزيع الجغرافي والشهرة وعلاقاته بأية أجسام أخرى).

 

وقال أنتولي سيموننكو مدير المجموعة لإدارة منتجات حلول التقنية لدى كاسبرسكي، إن الإحصاءات تُظهر أن اشتباه محللي الأمن في الشركات في جسم ما وفق تنبيه أمني "غالبًا ما يكون في محلّه" وأن الجسم المشتبه "غالبًا ما يتبيّن أنه يمثل خطرًا على الأمن وقد يحتاج إلى مزيد من التحقيق"، وأضاف: "لا يتعلق الأمر فقط بالتحقق من الفرضيات، فالمحللون بحاجة إلى رؤية صورة التهديد الشاملة بسرعة، ليصبحوا قادرين على تسريع الاستجابة للحوادث وتعزيز قدرات التحليل الجنائي، وهو تمامًا ما يتيحه الوصول إلى معلومات التهديدات، الأمر الذي يوفّر كثيرًا من الوقت والجهد لفرق الأمن التي عادة ما تعاني نقصًا في الموظفين".

 

يُذكر أن بوابة Kaspersky Threat Intelligence Portal عبارة عن خدمة ويب تتيح للعملاء المعرفة بشأن التهديدات الرقمية التي تجمعها كاسبرسكي. وتتيح الشركة وصولًا مجانيًا إلى معلومات أساسية حول الملفات المشبوهة والتجزئة وعناوين بروتوكول الإنترنت وغيرها، وذلك عبر https://opentip.kaspersky.com.