تقرير يكشف حدود الاستجابة البشرية أمام تسارع استغلال الثغرات الأمنية عالمياً

يكشف تحليل تقني موسع، استند إلى أكثر من مليار سجل لمعالجة الثغرات الأمنية، عن واقع تشغيلي معقد تواجهه المؤسسات في إدارة المخاطر السيبرانية. اعتمدت الدراسة على بيانات سجل “CISA KEV” للثغرات المستغلة فعلياً، وشملت فحص بيانات 10 آلاف مؤسسة على مدار 4 أعوام. ويظهر التقرير أن النموذج التقليدي القائم على التدخل البشري لم يعد قادراً على مواكبة السرعة المتزايدة للهجمات الرقمية.

تشير النتائج بوضوح إلى وصول متوسط زمن الاستغلال إلى “سالب 7 أيام”؛ ما يعني أن المهاجمين يبدأون استغلال الثغرات قبل أسبوع كامل من صدور التصحيحات الرسمية (Patches). وقد تضاعف عدد الثغرات الحرجة بمقدار 6.5 مرة منذ عام 2022، بينما ظلت 63% من الثغرات دون معالجة بعد مرور 7 أيام على اكتشافها، رغم تنفيذ الأقسام التقنية مئات الملايين من عمليات المعالجة سنوياً.

تتجاوز هذه التحديات حدود الكفاءة المهنية للأفراد، حيث يواجه العنصر البشري عوائق تشغيلية تمنعه من مجاراة الأتمتة الهجومية. وقد أثبت تتبع 52 ثغرة عالية الأثر أن 88% منها جرت معالجتها بوتيرة أبطأ بكثير من سرعة استغلالها الفعلي، مع تسجيل استغلال لنصف هذه الثغرات وتجهيزها للاختراق قبل توفر أي حلول برمجية لها.

معضلة الضريبة اليدوية وتفاوت زمن المعالجة في الأنظمة المعقدة

تتجسد الفوارق الزمنية بين الهجوم والدفاع في أمثلة عملية رصدتها الدراسة؛ حيث جرى استغلال ثغرة Spring4Shell قبل يومين من الإفصاح الرسمي عنها، بينما استغرق متوسط إغلاقها في المؤسسات نحو 266 يوماً. وتكرر السيناريو ذاته مع ثغرة Cisco IOS XE التي بدأ استغلالها قبل شهر كامل من الإعلان عنها، واستمرت عمليات المعالجة بمتوسط زمن بلغ 232 يوماً في بيئات البنية التحتية.

يبرز هنا مفهوم “الضريبة اليدوية”، وهو مصطلح يصف العبء التراكمي الناتج عن صعوبة الوصول إلى الأصول الطرفية أو البيئات التقنية الممتدة وتحديثها يدوياً. تؤدي هذه الصعوبات التشغيلية إلى إطالة فترة تعرض الأنظمة للخطر من أسابيع إلى أشهر طويلة، لا سيما في الأنظمة الأساسية المعقدة، وذلك مقارنة بالأجهزة الطرفية (Endpoints) كأجهزة الحاسوب الشخصية التي تستغرق معالجتها عادةً أقل من 14 يوماً.

استحدثت الدراسة مقاييس جديدة لتقييم حجم التهديد الفعلي، من أهمها “كتلة المخاطر” التي تدمج بين عدد الأصول المكشوفة ومدة بقائها دون حماية. كما قدمت مقياس “متوسط نافذة التعرض” (Average Exposure Window – AEW) لقياس المدة الزمنية من لحظة تحويل الثغرة إلى أداة هجومية حتى إغلاقها نهائياً.

توضح حالة ثغرة Follina هذا المقياس بدقة؛ فقد بدأ استغلالها قبل 30 يوماً من الإفصاح، واستمرت عمليات الإغلاق حتى اليوم 55، لتصل نافذة التعرض الإجمالية إلى 85 يوماً. مثلت فترة ما قبل الإفصاح 36% من هذه المدة، بينما استحوذت عمليات التصحيح المتأخرة على 44% منها. وتؤكد هذه الأرقام أن تركيز المؤسسات ينصب غالباً على مرحلة ما بعد الإفصاح فقط، وهو ما يمثل جزءاً محدوداً من إجمالي المخاطر الحقيقية التي تهدد أمن البيانات.

الذكاء الاصطناعي وضرورة التحول نحو الدفاع الذاتي الآلي

تشير البيانات الصادرة عن عام 2025 إلى خلل واضح في ترتيب أولويات الاستجابة؛ فمن بين أكثر من 48 ألف ثغرة كُشف عنها، لم يتجاوز عدد الثغرات القابلة للاستغلال عن بُعد والمستغلة فعلياً 357 ثغرة. ورغم ذلك، تستهلك الفرق الأمنية موارد ضخمة في معالجة ثغرات ذات طابع نظري، بينما تظل الثغرات القابلة للاختراق الفعلي غير معالجة لفترات طويلة.

يتزامن هذا الخلل مع تصاعد استخدام الذكاء الاصطناعي في العمليات الهجومية، إذ تمنح هذه التقنيات المهاجمين قدرة فائقة على اكتشاف الثغرات وتسليحها آلياً. وفي المقابل، لا تزال نماذج الدفاع التقليدية تعتمد على تسلسل يدوي بطيء يبدأ بالاكتشاف والتقييم، وصولاً التواصل مع الدعم الفني والمعالجة اليدوية، وهو مسار لا يمكنه الصمود أمام هذه السرعة الآلية.

تؤكد تقارير Google Cloud أن بلوغ زمن الاستغلال مستويات سالبة يفرض تحولاً جذرياً في استراتيجيات الحماية الرقمية. يتطلب هذا الواقع الجديد الانتقال نحو نموذج تشغيلي متكامل يعتمد على قرارات برمجية قابلة للقراءة آلياً، وتفعيل إجراءات استجابة ذاتية تختصر زمن التدخل البشري؛ بحيث يقتصر دور العنصر البشري على الإشراف العام ورسم السياسات الأمنية العليا بدلاً من الانخراط في المهام التنفيذية اليومية.

خلصت الدراسة إلى أن أعداد الثغرات ستستمر في النمو، وأن النموذج التفاعلي الحالي باهظ التكلفة وضعيف الأثر. وتظل المؤسسات التي تنجح في إزالة العوائق البشرية من المسارات الحرجة لمعالجة البيانات هي الأكثر قدرة على تأمين بنيتها التحتية، وفق المعايير العالمية الحديثة للحوكمة وإدارة المخاطر.