أكثر هجمات جوجل كلاود تبدأ باستغلال الثغرات

تتناول هذه المقالة التغيرات في أساليب الهجمات على جوجل كلاود، حيث أصبح استغلال البرمجيات السحابية هو الوسيلة الرئيسية للوصول إلى الموارد.

تجاوز استغلال البرمجيات السحابية التي يديرها المستخدمون إساءة استخدام بيانات الاعتماد كوسيلة للحصول على الوصول الأولي إلى موارد السحابة.

في تقرير “آفاق تهديدات السحابة” نصف السنوي، وجدت جوجل أن الهجمات على تطبيقات البرمجيات التي يديرها المستخدمون – مثل هجوم React2Shell الذي يستهدف ثغرة في مكونات خادم React – تفوقت على ثغرات البرمجيات لتصبح أكثر الطرق استغلالاً للحصول على الوصول الأولي. بشكل عام، شكل “الدخول القائم على البرمجيات”، الذي يشمل استغلال ثغرات البرمجيات مثل ثغرات تنفيذ التعليمات البرمجية عن بُعد، حوالي 44% من جميع أنشطة الوصول الأولي في جوجل كلاود، وفقًا لما ذكرته الشركة في التقرير.

من المحتمل أن يكون هذا التحول نتيجة لتركيز الشركة على استراتيجيات الأمان الافتراضية، واتخاذ مستخدمي السحابة تدابير لتقليل سطح الهجمات الناتجة عن بيانات الاعتماد المسروقة وسوء التكوين، كما تقول كريستال ليستر، مستشارة أمنية في مكتب CISO في جوجل كلاود.

مرتبط: ‘InstallFix’ هجمات تنشر مواقع مزيفة لشفرة Claude

“بينما يقوم المدافعون بمعالجة بعض القضايا المستمرة المتعلقة بالنظافة السحابية، يُجبر المهاجمون على التركيز على مسارات أكثر تطورًا وأتمتة،” كما تقول. “ليس بالضرورة أن الشركات تتجاوز المعايير، بل إن المحيط الدفاعي قد انتقل. المهاجمون يستهدفون الآن البرمجيات التي يديرها المستخدمون من طرف ثالث بدلاً من بنية السحابة نفسها.”

ومع ذلك، خارج بيئات جوجل السحابية، استمر المهاجمون في التركيز على نقاط ضعف الهوية وبيانات الاعتماد، حيث تمثل 83% من وسائل الوصول الأولي في الحوادث المستقلة عن المنصة التي تم التحقيق فيها بواسطة جوجل مانديانت. جاء ما يقرب من ثلث هذه الهجمات من التصيد، وثلثها بسبب علاقات الثقة المفقودة مع الأطراف الثالثة، وثلثها بسبب بيانات الاعتماد المسروقة، وعشرها من الداخلين الخبيثين وهجمات سلسلة التوريد البرمجية، وفقًا لتقرير جوجل. وشكلت الهجمات غير المتعلقة بالهوية 17% المتبقية، والتي شملت سوء التكوين واستغلال البرمجيات.

وجدت شركة الأمن السيبراني بالو ألتو نتوركس تركيزًا مشابهًا، حيث ارتبط ثلثا الوصول الأولي (65%) بطريقة ما بالهوية، وفقًا لتقرير “استجابة الحوادث العالمية 2026” للشركة.

“مع انتقال المنظمات إلى بيئات SaaS والسحابة والهجينة، أصبح المحيط الشبكي أقل أهمية،” كما ذكر تقرير بالو ألتو نتوركس. “الهوية – الربط بين المستخدمين والآلات والخدمات والبيانات – أصبحت المحيط العملي.”

إصلاح الهوية وتركز المهاجمين في أماكن أخرى

في الحالات التي قام فيها المدافعون بعمل جيد في التركيز على إساءة استخدام بيانات الاعتماد وسوء التكوين، ليس من المفاجئ أن المهاجمين قد غيروا تركيزهم، كما يقول ساوميتر داس، نائب رئيس الهندسة في كواليس.

مرتبط: استغلال خطأ في VMware Aria Operations، موارد السحابة في خطر

أصبح الاستغلال أسهل بسبب تحليل الثغرات المدفوع بالذكاء الاصطناعي، واختبار الاختراق، وتطوير الاستغلال، كما يقول.

“تكيّف المهاجمون وزادوا من تحولهم نحو استغلال البرمجيات غير المرقعة،” يقول داس. “لقد تسارعت تلك الانتقالة بفضل أدوات الاستغلال المدعومة بالذكاء الاصطناعي والقدرة على تسليح الثغرات التي تم الكشف عنها حديثًا على الفور.”

تتطلب نموذج المسؤولية المشتركة لأمان السحابة أن يقوم كلا الشريكين – مزود السحابة والعميل – بالوفاء بجانبهما من صفقة الأمن السيبراني. للأسف، تحتوي جميع هياكل السحابة على نقاط ضعف في الهوية التي، إذا لم يتم إدارتها بشكل صحيح، يمكن استغلالها، كما يقول كيث لوندن، مدير في مجموعة استخبارات التهديدات في جوجل.

“نتوقع أن يستمر المهاجمون في العثور على هذه الفجوات واستغلالها أثناء تطور أساليبهم من خلال استخدام الذكاء الاصطناعي،” يقول.

تؤدي هذه الفجوات في الأمان إلى أن معظم استغلال الثغرات في السحابة يميل إلى التركيز على البنية التحتية كخدمة (IaaS) بدلاً من المنصة كخدمة (PaaS)، لأن المسؤولية الأكبر في تأمين البنية التحتية تقع على العميل، وليس على خدمة الهيبرسكلر، كما يقول داس.

مرتبط: تحميل وكيل الذكاء الاصطناعي: كيف تحل أزمة هوية عبء العمل

“الأجهزة الطرفية هي بالطبع الأولى التي يتم استغلالها، بالإضافة إلى الأصول المعرضة بشكل علني مثل الآلات الافتراضية والحاويات والخدمات بدون خادم،” كما يقول.

الذكاء الاصطناعي يعني أن الوقت ينفد لإصلاح الثغرات

يعد اعتماد المهاجمين على خدمات الذكاء الاصطناعي سببًا رئيسيًا في التحولات في مشهد التهديدات. تتيح نماذج اللغة الكبيرة للمهاجمين الأقل كفاءة تقنيًا إنشاء أطر استكشاف واستغلال مصممة بشكل جيد، مما يؤدي إلى زيادة عدد المهاجمين القادرين على تنفيذ هجمات معقدة إلى حد ما، كما يقول داس.

“في الماضي، كان لدى المدافعين غالبًا المزيد من الوقت للاستجابة لثغرة،” يقول. “اليوم، انخفض وقت الاستجابة إلى ساعات – ومع ذلك، لم يتم تصميم معظم عمليات إدارة التصحيح للعمل بهذه السرعة.”

لهذا السبب، تحتاج الشركات إلى اتخاذ نهج أكثر عدوانية في التصحيح. يجب على الشركات أن تقوم بتصحيح الثغرات افتراضيًا في غضون 24 ساعة من الإبلاغ العام، وإصلاح المشكلة بالكامل في غضون 72 ساعة، كما تقول ليستر.

“يجب على المدافعين استبدال العمليات اليدوية بعمليات مركزية على الهوية وتطبيق الأوضاع الآلية،” كما تقول، مضيفة أن خدمات سياسة المنظمة في جوجل كلاود يمكن استخدامها لمنع إنشاء قواعد جدار ناري مفرطة السماح بشكل برمجي، على سبيل المثال.

“في عالم يتم قياس الاستغلال فيه بالساعات،” تقول، “يجب أن تكون دفاعاتنا آلية مثل الهجمات.”

مع تطور أساليب الهجوم، يتعين على الشركات تعزيز استراتيجيات الأمان الخاصة بها لضمان حماية فعالة ضد التهديدات المتزايدة.