تشهد الساحة الرقمية تحولاً جذرياً مع بروز الهجمات السيبرانية التي تستعين بالذكاء الاصطناعي، حيث باتت البرمجيات الخبيثة قادرة على التكيف اللحظي وتغيير بنيتها لتفادي أنظمة الحماية التقليدية. تقارير حديثة من فرق استخبارات التهديدات في شركات كبرى مثل Google وAnthropic كشفت عن حملات تجسس إلكتروني منسقة بالكامل عبر أدوات الذكاء الاصطناعي، بدءاً من الوصول الأولي وحتى سرقة البيانات، ما يمثل نقلة نوعية في مستوى التعقيد والخداع.
كما ظهرت أساليب جديدة مثل إخفاء البرمجيات الخبيثة داخل ملفات صور عبر تقنيات steganography، أو استغلال ثغرات في إعدادات برامج مكافحة الفيروسات عبر الهندسة الاجتماعية وهجمات الوسط (MITM)، وهو ما يتيح للمهاجمين نشر برمجيات الوصول عن بُعد (RATs) وأدوات سرقة البيانات دون إثارة إنذارات أمنية.
حدود أنظمة EDR والحاجة إلى تكامل دفاعي
تعتمد الكثير من المؤسسات على أنظمة الكشف والاستجابة للنقاط الطرفية (EDR)، غير أن هذه الأنظمة وحدها أثبتت محدوديتها أمام الهجمات المدعومة بالذكاء الاصطناعي. فالمهاجمون باتوا قادرين على تعطيل برامج الحماية أو تجاوزها بطرق مبتكرة، ما يفرض ضرورة دمجها مع أنظمة الكشف والاستجابة للشبكات (NDR).
بينما يركز EDR على مراقبة ما يحدث داخل الأجهزة الطرفية، فإن NDR يوفر رؤية شاملة لحركة البيانات عبر الشبكة، ويكشف عن الأنماط غير الطبيعية التي قد تفلت من رصد الأنظمة التقليدية. هذا التكامل يتيح بناء طبقة دفاعية أكثر قوة قادرة على مواجهة الهجمات السريعة والمعقدة.
أمثلة على الهجمات المعقدة
من أبرز الأمثلة مجموعة Blockade Spider التي تنشط منذ 2024، حيث تعتمد على استغلال الأنظمة غير المُدارة للتحرك أفقياً داخل الشبكات وتنفيذ هجمات فدية واسعة النطاق. وقد ساعد الجمع بين NDR وEDR في كشف تحركاتها داخل البنى السحابية والافتراضية.
كذلك هجوم Volt Typhoon المنسوب إلى جهات صينية عام 2023، والذي استخدم تقنيات “العيش من موارد النظام” (LoTL) لتفادي الرصد، مستهدفاً أجهزة الشبكات الطرفية مثل الموجّهات المنزلية وأجهزة إنترنت الأشياء. ورغم نجاحه في تجاوز أنظمة EDR، فإن مراقبة حركة الشبكة عبر NDR كشفت التلاعب في حزم البيانات وأظهرت النشاط الخبيث.
إضافة إلى ذلك، أدى انتشار العمل عن بُعد إلى زيادة المخاطر، حيث يمكن للأجهزة المصابة المتصلة عبر شبكات VPN أن تنقل البرمجيات الخبيثة إلى بيئات الشركات بسهولة، وهو ما ظهر في اختراقات لسلاسل توريد مرتبطة بـ Salesforce عبر سرقة بيانات اعتماد OAuth باستخدام تقنيات الذكاء الاصطناعي.
نحو استراتيجية دفاعية متكاملة
تؤكد هذه الأمثلة أن مواجهة الهجمات السيبرانية الحديثة لم تعد ممكنة بالاعتماد على أداة واحدة، بل تتطلب استراتيجية دفاعية متكاملة تجمع بين EDR وNDR، مع مشاركة البيانات والإشارات الأمنية بين مختلف أنظمة الحماية. هذا النهج يتيح رصد الهجمات في مراحلها المبكرة والتعامل معها بسرعة وفعالية، في وقت يتطور فيه الذكاء الاصطناعي ليمنح المهاجمين قدرات غير مسبوقة.
منصات مثل Corelight Open NDR تقدم نموذجاً عملياً لهذا التكامل، عبر طبقات متعددة من الرصد السلوكي والكشف عن الشذوذ، ما يمنح فرق الأمن القدرة على مواجهة الهجمات الجديدة التي تتجاوز قدرات أنظمة EDR التقليدية.
