عندما تُطفأ السجلات: المهاجمون السحابيون يحوّلون مسارات التدقيق إلى هدف

في البيئات السحابية، قد يكون الإنذار الأكثر قيمة هو ذلك الذي يحاول المهاجمون إسكاته أولاً. تتمحور الحالة هنا حول إساءة استخدام خدمات تسجيل السجلات السحابية مثل AWS CloudTrail وGoogle Cloud Logging، حيث لا يكون الهدف تدميراً صاخباً بل إخفاءً هادئاً: التلاعب بطبقة التدقيق، وتقليل الرؤية، وجعل الاستجابة للحوادث أصعب.

وتكتسب هذه المسألة أهمية لأن السجلات السحابية ليست مجرد أوراق امتثال. فهي غالباً السجل الموثوق الوحيد لاستدعاءات API والتغييرات الإدارية ونشاط الهوية عبر الخدمات الموزعة. وعندما يتم تعديل هذا السجل أو إعادة توجيهه أو تعطيله، يفقد المدافعون الجدول الزمني الذي يحتاجونه لإعادة بناء ما حدث.

حقائق سريعة

• يسجل AWS CloudTrail نشاط API ويمكنه دعم التحقق من سلامة السجلات المسلمة.
• يفصل Google Cloud Logging وCloud Audit Logs بيانات التدقيق الإلزامية عن الفئات الاختيارية وضوابط التوجيه.
• يتتبع MITRE ATT&CK تخريب سجلات السحابة على أنه T1562.008، تعطيل أو تعديل سجلات السحابة.
• تعد فجوات السجلات علامة تحذير دفاعية، لكنها لا تشكل دليلاً على نشاط خبيث بحد ذاتها.
• تشير إساءة استخدام التسجيل السحابي عادة إلى وصول إلى طبقة التحكم، وليس فقط إلى وصول إلى عبء عمل واحد.

لماذا يعد التسجيل هدفاً مغرياً إلى هذا الحد

التسجيل السحابي سطح تحكم، وليس أرشيفاً سلبياً. في AWS، يمكن لـ CloudTrail التقاط النشاط عبر استخدام وحدة التحكم وأدوات SDK وأدوات سطر الأوامر، بينما يمكن لمسارات المؤسسة أن توحد الرؤية عبر الحسابات. في Google Cloud، ينقسم التدقيق إلى فئات مثل سجلات نشاط الإدارة، والوصول إلى البيانات، وأحداث النظام، ورفض السياسات، مع كون بعض الفئات إلزامية وأخرى معتمدة على الإعدادات.

يخلق ذلك تصميماً يفتح منفذاً ضيقاً لكنه مهم أمام المتسللين. إذا وصل المهاجم إلى هوية ذات امتيازات أو إلى ضوابط إدارية، فقد يحاول إيقاف مسار، أو إضعاف وجهة تجميع، أو تغيير التوجيه، أو خفض دقة السجل بطرق أخرى. تدعم المعلومات المتاحة تحليلاً للمخاطر، لا ادعاءً حاسماً بشأن مسار تسلل محدد بعينه، لكن الدرس الدفاعي واضح: يمكن لطبقة التسجيل نفسها أن تصبح جزءاً من سطح الهجوم.

يضع MITRE ATT&CK هذا السلوك ضمن التهرب من الدفاع لأنه لا يهدف فقط إلى تجنب الكشف في اللحظة، بل أيضاً إلى عرقلة التحقيق اللاحق. وقد يؤدي ذلك إلى تأخير الاحتواء، وإرباك المحللين، وخلق نقاط عمياء في التحليل الجنائي حتى عندما تظل أدوات الأمن الأخرى قائمة.

هناك نقطة عملية يسهل إغفالها: في البيئات السحابية المُدارة جيداً، يصعب إسكات بعض السجلات أكثر من غيرها. إن التحقق من السلامة في AWS، والمسارات المركزية، وتصميم التخزين بعناية يرفع تكلفة العبث. وفي Google Cloud، تستمر فئات التدقيق الإلزامية في الوجود، ما يعني أن المدافعين قد يحتاجون إلى النظر في التوجيه، وأذونات الوصول، وفئات السجلات الاختيارية بدلاً من افتراض أن جميع القياسات عن بُعد يمكن ببساطة إيقافها.

حتى وقت كتابة هذا التقرير، لم تُحدِد المعلومات العامة بالكامل السبب التقني الجذري، أو النطاق الكامل للمستخدمين المتأثرين، أو ما إذا كانت الأنظمة اللاحقة قد تعرضت للاختراق. لكن ما يظهره الأمر هو مدى سرعة تحوّل الرؤية إلى ساحة معركة عندما يفهم الخصوم طبقة التحكم السحابية.

الخلاصة

الدرس الأوسع مقلق لكنه بسيط: في أمن السحابة، فإن تدفق السجلات جزء من الجواهر التاجية. فإذا تعامل المدافعون مع قابلية الملاحظة باعتبارها حدود ثقة، وراقبوا التغييرات غير المصرح بها، وتحققوا من السلامة بشكل مستمر، فإنهم يجعلون من الصعب جداً على المتسللين محو آثارهم. وعندما تبقى مسارات التدقيق موثوقة، تقل الأماكن التي يمكن للمهاجم الاختباء فيها.

TECHCROOK

مفتاح أمان مادي: لمديري السحابة، يضيف مفتاح الأمان المادي عاملاً ثانياً قوياً إلى تسجيلات الدخول إلى الحسابات، ويمكن أن يجعل كلمات المرور المسروقة أقل فائدة. وهو مناسب عملياً لحماية الوصول إلى وحدة التحكم، والحسابات ذات الامتيازات، وعمليات تسجيل الدخول الأخرى التي تتحكم في إعدادات التسجيل والتدقيق.

ورقة Techcrook: مفتاح أمان مادي

WIKICROOK

• مسار التدقيق: سجل زمني للإجراءات المتخذة في نظام ما، يُستخدم للمراجعة الأمنية والامتثال.
• CloudTrail: خدمة تسجيل التدقيق من AWS لتسجيل نشاط API وإجراءات الحساب.
• Cloud Audit Logs: إطار تسجيل من Google Cloud لتتبع النشاط الإداري والتشغيلي.
• التهرب من الدفاع: فئة من سلوك المهاجمين تهدف إلى تجنب الكشف أو تعطيل ضوابط الأمان.
• وجهة السجل: قاعدة توجيه ترسل السجلات إلى وجهة مختارة للتخزين أو التحليل أو الأرشفة.