معظم أنظمة الأمن السيبراني التقليدية تركز على ما يحدث داخل الشبكة، إذ تنتظر إشارات من أدوات نقاط النهاية أو تحذيرات جدار الحماية أو سلوكاً مشبوهاً في الأنظمة. ومع ذلك، تغيّر هذا الواقع. في كثير من الهجمات، تكون العلامات الأولى موجودة خارج المؤسسة، حيث تُعرض بيانات الدخول للبيع، أو تنتشر في منصات مظلمة، أو تظهر مؤشرات استهداف قبل أن تُستخدم فعلياً ضد الجهات المستهدفة.
خلال جلسة تنفيذية ضمن مؤتمر Black Hat MEA 2025، أوضح أحمد حلبي، المدير العام في Resecurity، أن الهجمات قد تُكتشف من خارج محيط المؤسسة قبل أن تصل إلى الأنظمة الداخلية. وهذا يتطلب مراقبة السطح الخارجي بشكل مستمر، بدلاً من الاكتفاء بالتحذيرات المعتادة داخل الشبكة. بالتالي، أصبحت إدارة هذا السطح عنصراً أساسياً في الرصد المبكر.
بيانات الدخول صارت تباع، والهجمات تبدأ بتسجيل الدخول اعتماداً على بيانات صالحة
الهجمات الحديثة أصبحت تعتمد على شراء بيانات دخول جاهزة بدلاً من اختراق الأنظمة بأساليب تقليدية. تقرير Mandiant 2025 يُظهر أن أدوات سرقة المعلومات تسببت في ثاني أكثر طرق الدخول شيوعاً، مستخدمة في 16٪ من الحالات. بينما يوضح تقرير Verizon أن إساءة استخدام بيانات الاعتماد تمثل 22% من طرق الدخول، متفوقة على استغلال الثغرات.
وفي البيئات السحابية، تقرير Google Cloud Threat Horizons أشار إلى أن 47.1% من الحوادث بدأت نتيجة ضعف أو غياب بيانات الدخول. وغالباً ما تكون هذه البيانات متاحة في الويب المظلم قبل استخدامها الفعلي ضد المؤسسة.
هذا يعني أن أولى إشارات الهجوم تتمثل في تسريب معلومات الهوية، مثل كلمات المرور، أو الرموز، أو الجلسات النشطة، أو محاولات تجاوز المصادقة متعددة العوامل. وهذه الإشارات تبقى بعيدة عن رؤية الأنظمة الداخلية للرصد.
تجاهل الإشارات الخارجية يفتح فجوة خطيرة في الأداء الأمني
رغم أن الإنترنت يبدو مساحة واسعة وفوضوية، إلا أن مراقبته بفعالية ممكنة عند ربط الإشارات بالسياق التشغيلي للمؤسسة. أحمد حلبي يدعو إلى دمج مراقبة هذا السطح ضمن مهام الأمن السيبراني، لتحديد ما إذا كانت المؤسسة مستهدفة أو تواجه مؤشرات حقيقية للتهديد.
فمثلاً، قد تظهر بيانات اعتماد تابعة للشركة في أدوات سرقة المعلومات، أو تنتشر نطاقات مزيفة، أو تُعرض خدمات وصول إلى أنظمة الشركة للبيع. كل هذه الإشارات تدل على أن البيئة الداخلية قد تكون على وشك التعرّض للهجوم، حتى وإن لم تُسجّل أي مؤشرات داخلية بعد.
يمكن ملاحظة هذه الفجوة من خلال:
- بيانات دخول مسروقة مرتبطة بالشركة
- عروض بيع وصول إلى أنظمتها
- انتحال لهوية العلامة التجارية
- اختراق طرف ثالث له تأثير مباشر على الشركة
- تسجيل سلوك احتيالي من العملاء دون وجود نشاط داخلي واضح
الغاية ليست ملاحقة كل إشارة في الإنترنت، إنما تحويل ما يُكتشف إلى خطوات تنفيذية داخل بيئة العمل.
الإشكالية في غياب الإجراءات الفعالة
تملك بعض المؤسسات أدوات متقدمة لرصد السطح الخارجي، لكنها لا تستفيد منها بالشكل المطلوب. يعود ذلك إلى أن هذه الأدوات غالباً ما تقدم بيانات غير مترابطة أو لا تقود إلى خطوات واضحة. حتى Google قررت إيقاف خدمة Dark Web Reports بسبب محدودية فائدتها العملية للمستخدم.
لتكون هذه الإشارات ذات قيمة أمنية حقيقية، يجب ربطها بإجراءات قابلة للتنفيذ، مثل:
- تعطيل بيانات الدخول المسربة
- إلغاء الجلسات وتحديث المفاتيح
- فرض مصادقة مشددة للحسابات الحساسة
- إزالة النطاقات المنتحلة
- ربط الإشارات الخارجية بالتحقق الداخلي
- حماية العملاء من الاحتيال فور رصد إساءة الاستخدام
إذا لم تُربط هذه البيانات بإجراءات تشغيلية، فلن تكون سوى عبء إضافي من التنبيهات.
التنسيق بين الفرق الأمنية يجب أن يبدأ من نقطة الهوية
باتت الهجمات تعتمد بشكل رئيسي على استغلال بيانات الهوية، دون الحاجة إلى أدوات خبيثة. تقرير CrowdStrike 2025 أشار إلى أن 79% من هجمات الدخول لا تعتمد على برمجيات خبيثة، ولكن على بيانات دخول حقيقية. كما ارتفعت عروض وسطاء الوصول بنسبة 50%، ما يعكس سهولة شراء بيانات الوصول في الأسواق المظلمة.
وهذا يدفع إلى التنسيق بين فرق مركز العمليات الأمنية (SOC)، وإدارة الهوية (IAM)، وفِرق مكافحة الاحتيال، والعلامة التجارية، والشؤون القانونية. فالهجمات ليست مقتصرة على الجانب التقني، وتمتد إلى السمعة والعلاقات القانونية والمخاطر التشغيلية.
الخلاصة
الطريق الأسرع للهجمات الحديثة يعتمد على بيانات الهوية، وغالباً ما تظهر أولى إشاراته في الخارج. ومع أن هذه الإشارات متوفرة، إلا أن كثيراً من المؤسسات لا تملك النموذج التشغيلي الذي يحوّلها إلى قرارات فعالة.
ما يجعل هذا الخطر حقيقياً هو غياب نموذج العمل، وليس غياب البيانات ذاتها.
ويتلخص الطرح الذي قدّمه أحمد حلبي في ثلاث نقاط رئيسية:
- تعريف السطح الخارجي للمؤسسة بوضوح، بما يشمل النطاقات، الهويات، الموردين، والعملاء
- التعامل مع تسريب بيانات الدخول كحادثة أمنية تتطلب خطوات فورية ومرتبطة بزمن
- التركيز على النتائج الأمنية مثل تقليل حالات الاستيلاء على الحسابات أو سرعة الاستجابة، بدلاً من التركيز فقط على عدد التنبيهات أو حجم البيانات
