وحدة الأمن السيبراني

تهديدات متزايدة: كيف يتم توظيف الاستخبارات السيبرانية لأغراض الدفاع السيبراني؟

تُمثّل الاستخبارات السيبرانية أحد مجالات الأمن السيبراني التي تركز على جمع وتحليل المعلومات حول الهجمات الحالية والمحتملة، ومن ثمّ فإنها تُعد أحد التدابير الأمنية الاستباقية التي تحول دون الاختراقات السيبرانية، وتتجنب التكاليف المالية اللازمة لإصلاح الضرر حال وقوعه، من خلال تحليل التهديدات المحتملة التي تشكل خطرًا على البنية التحتية، مع تحديد ما يمكن القيام به لمواجهتها.  في هذا الإطار، تُعد الاستخبارات السيبرانية إحدى الآليات التي يتمكن بها مختلف الفاعلين من حماية أنفسهم من الجرائم والتهديدات السيبرانية؛ فمن الممكن تتبع الأدوات والسجلات الرقمية التي يستخدمها مرتكبو تلك الجرائم من قبل شركات الأمن السيبراني، التي تقوم بدورها بجمع وبيع تلك المعلومات للمؤسسات…

د رغدة البهي
رئيس وحدة الأمن السيبراني

تُمثّل الاستخبارات السيبرانية أحد مجالات الأمن السيبراني التي تركز على جمع وتحليل المعلومات حول الهجمات الحالية والمحتملة، ومن ثمّ فإنها تُعد أحد التدابير الأمنية الاستباقية التي تحول دون الاختراقات السيبرانية، وتتجنب التكاليف المالية اللازمة لإصلاح الضرر حال وقوعه، من خلال تحليل التهديدات المحتملة التي تشكل خطرًا على البنية التحتية، مع تحديد ما يمكن القيام به لمواجهتها. 

في هذا الإطار، تُعد الاستخبارات السيبرانية إحدى الآليات التي يتمكن بها مختلف الفاعلين من حماية أنفسهم من الجرائم والتهديدات السيبرانية؛ فمن الممكن تتبع الأدوات والسجلات الرقمية التي يستخدمها مرتكبو تلك الجرائم من قبل شركات الأمن السيبراني، التي تقوم بدورها بجمع وبيع تلك المعلومات للمؤسسات المختلفة، بما يُمكّنها من اتخاذ التدابير الأمنية اللازمة ضد التهديدات المختلفة.

جوهر المفهوم

بداية يجب التفرقة بين المعلومات الاستخباراتية والبيانات؛ إذ تشير الأولى إلى عملية جمع وتحليل وتفسير المعلومات التكتيكية لتقديمها إلى السلطات السياسية، بينما تشير الثانية إلى عملية جمع المعلومات الأولية من مصادر عدة، وإن كانت مضللة أو غير ذات صلة أو غير دقيقة. ومن ثم، تتزايد أهمية تحليل ومعالجة المعلومات التي يتم تعريفها على أنها معلوماتٌ استخباراتية.

وفي السياق ذاته، يجب التمييز أيضًا بين كلٍّ من: الاستخبارات، واستخبارات التهديد السيبراني، والاستخبارات السيبرانية؛ حيث تُعرّف وزارة الدفاع الأمريكية الاستخبارات بوصفها العملية الناتجة عن: جمع، ومعالجة، ودمج، وتقييم، وتحليل، وتفسير المعلومات المتاحة المتعلقة بالدول الأجنبية أو القوى أو العناصر المعادية أو مناطق العمليات. أما مفهوم “استخبارات التهديد السيبراني”، فيشير إلى عشرات المنصات التي يمكن من خلالها الحصول على معلوماتٍ عن التهديدات السيبرانية دون مقابل، بيد أنها لا تُعد في تلك الحالة “استخبارات سيبرانية”، ما لم يتم تحليل ومعالجة وتفسير التهديدات المختلفة، وفقًا لطبيعة الشركات والمؤسسات المستهدفة.

ومن ثم، تتطلب “الاستخبارات السيبرانية” وضوح طرق جمع المعلومات ومصادرها للتأكد من مصداقيتها بجانب توظيف فرقٍ متخصصة من الخبراء ذوي تخصصاتٍ مختلفة. بعبارةٍ أخرى، تشير “الاستخبارات السيبرانية” إلى عملية تحويل البيانات التي يتم جمعها من خلال “الأساليب التقليدية للاستخبارات” من منصات المهاجمين، وتقديمها إلى الدول والمؤسسات المستهدفة من خلال تقارير محكمة، تتضمن متابعة دقيقة للهجمات المحتملة، والمهاجمين، وأساليبهم المستخدمة، وجميع التفاصيل التشغيلية الأخرى، مما يتطلب درجةً عالية من المعرفة والخبرة.

أهمية متزايدة

تعتبر “الاستخبارات السيبرانية” ضرورةً لتعزيز “الأمن السيبراني”، وتقويض الجانب المظلم من الإنترنت. فقد دعت الحاجة إلى إنشاء منصاتٍ استخباراتية في الفضاء السيبراني، لعدم قدرة الدول والمنظمات على التنبؤ بالهجمات السيبرانية قبل وقوعها، خاصةً مع تزايد احتمالات وقوعها في أي وقت، بفعل البيئة الضبابية المحيطة بتلك الهجمات.

وتعد “الاستخبارات السيبرانية” وسيلةً لإدارة التهديدات السيبرانية، بل واستباقها، للحيلولة دون عواقبها المحتملة، بهدف مساعدة الدول والمنظمات على فهم المخاطر والتهديدات الخارجية الأكثر شيوعًا، وإن تمثل أبرزها في تهديدات “اليوم صفر” Day Zero. وعليه، تتضمن تلك الاستخبارات معلوماتٍ متعمقة حول التهديدات المتوقعة أو المرتقبة لمساعدة أي منظمة أو دولة على حماية نفسها من الهجمات التي يمكن أن تصيبها بالضرر. 

وفي السياقات العسكرية والتجارية والأمنية، توفر المعلومات للدول والشركات ميزاتٍ استراتيجية لحماية أمنها القومي من التهديدات الخارجية بل والداخلية، بما يجنبها سباق التسلح السيبراني الهجومي، الذي يستنزف موارد ضخمة. وفي هذا الإطار، توصي السلطات المالية في المملكة المتحدة -على سبيل المثال- بعدد من الخطوات لحماية المؤسسات المالية من التهديدات السيبرانية، بما في ذلك تلقّي المشورة من مزودي المعلومات الاستخباراتية داخل الحكومة البريطانية. 

المزايا المتوقعة

تتسبب البرامج الضارة غير المكتشفة في سرقة كمٍ هائل من المعلومات؛ حيث يمكن لبرامج التجسس الحصول على بيانات المستخدمين، وبطاقات الائتمان، والمعلومات الشخصية للعملاء والموظفين.. إلخ. فقد تسبب Mydoom، وهو أحد البرامج الضارة، في أضرارٍ تقدر بنحو 38.7 مليار دولار. وكان من الممكن الحيلولة دون حدوث تلك الأضرار بمعرفة كيفية انتشاره عبر البريد الإلكتروني بواسطة الاستخبارات السيبرانية. 

ومن ثم، تتمثل إحدى مزايا تلك الاستخبارات في سرعة استجابة المؤسسات للتهديدات المتوقعة من خلال برامج الحماية والتأمين. غير أن الهجمات الكبرى واسعة النطاق تتطلب بطبيعة الحال مزيدًا من الوقت. وعليه، توفر تلك الاستخبارات كمياتٍ كبيرة من البيانات، وتُمكن المؤسسات من استباق التهدديات المحتملة، مما يعزز من فعالية إدارة المخاطر الشاملة. ويفيد الاستخبار السيبراني كذلك في تحديد طبيعة القرارات المناسبة أثناء وبعد اكتشاف التسلل السيبراني.

أنواع متباينة

يميز المركز القومي للأمن السيبراني في المملكة المتحدة NCSC بين أربعة أنواع من “الاستخبارات السيبرانية”؛ يُشير أولها إلى الاستخبارات التكتيكية التي تتصل بمنهجيات المهاجمين وأدواتهم وتكتيكاتهم. ولذا، يتضمن ذلك النوع إجراءاتٍ معينة لمواجهة العناصر التي تتزايد خطورة تسللها. بينما يتصل النوع الثاني في “الاستخبارات التقنية”، ويرتبط بالبرامج الضارة تحديدًا. أما النوع الثالث، فهو “الاستخبارات التشغيلية” ويتصل بتفاصيل الهجوم المحتمل، وقدرة المؤسسات على تحديد التهديدات السيبرانية المستقبلية. أما النوع الرابع والأخير فيشير إلى “الاستخبارات الاستراتيجية”، أي المعلومات المتصلة بمخاطر التهديد، وطبيعة القيادة العليا المطلوبة لتقييمها. 

وعلى صعيدٍ آخر، تتعدد فئات التخصصات الاستخباراتية تبعًا لمصادر المعلومات؛ والتي تشمل: الاستخبارات البشرية، والمصادر المفتوحة، ومراقبة الأعمال التجارية، والوسائط الإلكترونية (كالأقمار الصناعية، وصور الطائرات، وبيانات الرادار، وقراءات الإشعاع النووي، وغيرها).

نماذج معاصرة

تتعدد شركات الاستخبارات السيبرانية لتشمل ما يلي: 

1- منصة GPACT الاستخباراتية: وتعد أولى المنصات الاستخباراتية في العالم، حيث تم إنشاؤها في عام 2013. وتعرف أيضًا باسم Cyber ​​Intelligence Network. وتضم أكثر من 20 محللًا سيبرانيًّا. وتعمل على تحديد وتقييم التهديدات الجديدة بصفةٍ دورية، ورفع التقارير إلى المؤسسات المعنية. ويتركز نشاطها على القطاع المصرفي. وقد تم تقديمها في مؤتمر الاستخبارات الإلكترونية الذي شارك فيه حلف الناتو. 

2- FireEye: وهي من رواد المخابرات السيبرانية والأمن السيبراني بشكلٍ عام. وتستهدف الشركات الكبرى بالأساس. وتقدم استشاراتٍ بشأن التهديدات التي تطال الدول، وتقدم آليات لتعزيز الأمن السيبراني. ومن ثم، تتعاقد معها الشركات التي ترغب في تأمين بياناتها الحساسة مقابل دفع مبالغ طائلة، مثل: الخدمات السرية الحكومية، والمؤسسات المالية، وشركات الرعاية الصحية، وغيرها.

3- IBM X-Force: تشتهر شركة IBM بأجهزة الحاسب وبرامجها المتطورة، بيد أنها طورت برامج مهمة مصممة خصيصًا للشركات لأغراض الاستخبارات السيبرانية. وهو ما يسمح للشركات الكبرى بالوقوف على التهديدات، من خلال نظامٍ أساسي لمشاركة المعلومات. 

4- Threat-Tracer: وهي شركة مصممة للشركات الصغيرة ومتوسطة الحجم، وتهدف للحفاظ على حماية الأمن السيبراني للشركات التي لا تملك فرقًا أمنيةً كبيرة بداخلها، وهو ما يساعد الشركات الأصغر على تعويض نقص القوى العاملة المدربة على الأمن السيبراني، وتوجيه مواردها إلى قضايا أخرى هامة بخلاف أمن المعلومات.

المراحل المتعاقبة

تتكون الاستخبارات السيبرانية من عدة مراحل، والتي يمكن إجمالها على النحو التالي:

1- التخطيط الاستخباراتي: وتنهض تلك المرحلة على تقييم التهديدات؛ بمعنى تحديد نقاط الضعف وأنواع التهديدات المحتملة، سواء كانت بسيطة كتلك التي تستهدف البريد الإلكتروني، أو معقدة كتلك التي تهدف للتصيّد الاحتيالي. وتتضمن تلك المرحلة كذلك تحديد أهداف المؤسسات والدول وغاياتها.

2- جمع الاستخبارات: وتشمل تلك المرحلة الأدلة الموثوقة على وقوع الهجوم وطبيعته المحتملة، مع تحديد مصادر المعلومات، سواء كانت سجلات الخوادم الشائعة، أو سجلات البريد الإلكتروني، أو برامج المراقبة. 

3- معالجة الاستخبارات: وتشمل معالجة المعلومات وتحليلها وتفسيرها، وفصل البيانات الشائعة عن المميزة. وتتزايد أهمية تلك المرحلة بالمقارنة بالمراحل السابقة، وبموجبها تتم معالجة وتحويل كمياتٍ كبيرة من البيانات والمعلومات الخام إلى معلوماتٍ استخبارية تبعًا للنواتج المطلوبة. وفي نهاية المطاف، تقديم التوصيات اللازمة لمواجهة التهديدات التي تم تحديدها.

بعبارةٍ أخرى، تنطوي الاستخبارات السيبرانية على عملية تحليل البيئة المحيطة، بهدف تحديد طبيعة المعلومات الاستخباراتية المطلوبة، وجمع ما يتطلبه ذلك من بياناتٍ من مصادرها الموثوقة، بغرض تحليلها تحليلًا وظيفيًّا مصممًا خصيصًا لتعزيز الأمن السيبراني، متضمنًا مختلف جوانب التهديد السيبراني بما في ذلك توقيته وطبيعته، وصولًا لعرض تلك المعلومات على صانع القرار، لاتخاذ ما يلزم من إجراءات.

إشكاليات مركبة

لا يحظى مفهوم الاستخبارات السيبرانية بالإجماع بين الشركات التكنولوجية الكبرى والمنظمات والدول؛ فهناك تعريفات مختلفة له، ويتداخل مع مفاهيم أخرى، مثل: استخبارات التهديدات السيبرانية، والأمن السيبراني، إلى حد استخدامها بالتبادل. ومن شأن الافتقار إلى تعريفاتٍ واضحة أن يسفر عن الارتباك عند تحديد الأدوار، وتقييم التهديدات، ووضع استراتيجية للدفاع، وفهم المعلومات التي يجب الإبلاغ عنها.

كما تواجه أبحاث الاستخبارات السيبرانية إشكالياتٍ تتصل بقيمتها ومدى فعاليتها، وموضوعيتها، وتوقيتاتها، ومصادرها. فقد تباينت الآراء بين من يرى عدم فعاليتها حين تقدم معلوماتٍ استخبارية غير موثوقة وغير دقيقة، تلحق الضرر بالدول والمؤسسات المختلفة وصناع القرار من جانب، ومن يؤكد على قدرتها على تحديد نقاط الضعف وآليات حلها من جانبٍ آخر.

وقد تقوض البيروقراطية إمكانية تقديم البيانات الصحيحة إلى القيادة العليا في الوقت المناسب. وفي المقابل، قد تقدم بعض فرق الاستخبارات السيبرانية تقارير إلى قادةٍ يفتقرون لخلفياتٍ تقنية. ولذا، يُعد التأكد من فهم صانعي القرار لأهمية المعلومات التي يقدمها الاستخبار السيبراني أمرًا ضروريًّا لضمان تمويله ودعمه.

ختامًا، تُعد الاستخبارات السيبرانية أحد العوامل الحاسمة في حسم الصراع السيبراني على الرغم من تنامي حدته. وعلى الرغم أيضًا من ارتباط الاستخبارات بالتجسس عمومًا، إلا أن الاستخبارات السيبرانية تجد جذورها في الدفاع السيبراني، لقدرتها على استباق التهديدات، وبناء آلياتٍ دفاعيةٍ فعالة لتخفيف المخاطر. وتتزايد أهميتها بطبيعة الحال لحماية المؤسسات السيادية والمالية الحساسة في الدول من التهديدات السيبرانية، بل وحماية الدول ذاتها من تلك التهدديدات السيبرانية، مما يحافظ على أمنها السيبراني، ومن ثم أمنها القومي.

د رغدة البهي
رئيس وحدة الأمن السيبراني