أظهرت دراسة حديثة أن العمليات الأمنية في المؤسسات باتت تعاني من فجوة خطيرة: تجاهل التنبيهات منخفضة الشدة أو المعلوماتية، وهو ما يؤدي إلى تسرب تهديد واحد على الأقل كل أسبوع. التقرير، الذي حلل أكثر من 25 مليون تنبيه أمني عبر بيئات مؤسسية حية، كشف أن المهاجمين يستغلون هذه الفجوات بشكل منهجي.
مشكلة الـ 1% التي تتحول إلى اختراق أسبوعي
من بين التنبيهات التي جرى تحليلها، تبين أن نحو 1% من الحوادث المؤكدة بدأت بتنبيهات منخفضة الشدة أو معلوماتية، بينما ارتفعت النسبة إلى 2% على مستوى نقاط النهاية. في مؤسسة تولد نحو 450 ألف تنبيه سنويًا، فإن هذا يعني أن حوالي 54 تهديدًا حقيقيًا — أي بمعدل تهديد واحد أسبوعيًا — يتم تجاهله بسبب سياسات الفرز التقليدية في مراكز العمليات الأمنية (SOC) أو مزودي خدمات الكشف والاستجابة المدارة (MDR).
نقاط النهاية ليست نظيفة كما يُعتقد
التحليل أظهر أن الاعتماد على تقارير EDR ليس كافيًا. من أصل 82 ألف تنبيه خضع لفحص الذاكرة الحي، وُجدت 2600 إصابة نشطة، نصفها تقريبًا كان قد تم تصنيفها مسبقًا على أنها “مُعالجة”. هذا يعني أن أدوات الحماية تغلق التذاكر بينما تظل البرمجيات الخبيثة مثل Mimikatz، Cobalt Strike، Meterpreter، StrelaStealer تعمل في الذاكرة دون كشف.
تحولات في هجمات التصيّد
بيانات التصيّد أظهرت أن أقل من 6% من الرسائل الخبيثة تحتوي على مرفقات، بينما يعتمد معظمها على روابط ولغة مقنعة. الأخطر أن المهاجمين باتوا يستخدمون منصات موثوقة مثل Vercel، CodePen، OneDrive، PayPal لإخفاء حملاتهم. إحدى الحملات استغلت نظام الفواتير الشرعي في PayPal لإرسال رسائل تهديد تمر بجميع اختبارات التحقق لأنها صادرة فعلًا من نطاق PayPal.
كما تم رصد تقنيات جديدة لتجاوز بوابات البريد الإلكتروني، منها:
- إخفاء الحمولة في صور SVG باستخدام ترميز Base64.
- روابط مخفية في بيانات التعليقات داخل ملفات PDF.
- صفحات تصيّد ديناميكية عبر مشاركات OneDrive شرعية.
- ملفات DOCX تحتوي على محتوى HTML مخفي مع رموز QR.
تكتيكات المهاجمين في السحابة
في بيئات السحابة، أظهر التقرير أن المهاجمين يركزون على التلاعب بالرموز واستخدام ميزات شرعية لتجنب الكشف، مع هدف أساسي هو البقاء طويلًا دون إثارة ضجيج.
كما أن سوء إعدادات AWS S3 شكّل 70% من الانتهاكات، خصوصًا في إدارة الوصول وتسجيل الخوادم والقيود بين الحسابات. هذه الثغرات غالبًا ما تُصنّف منخفضة الشدة، لكنها تُستغل لاحقًا لتسريع الهجمات.
لماذا لا تكفي النماذج التقليدية
النموذج التشغيلي التقليدي في SOC وMDR يعتمد على فرز عدواني للتنبيهات بسبب محدودية قدرة المحللين البشر. النتيجة أن 60% من التنبيهات لا تتم مراجعتها. حتى مع أدوات الأتمتة مثل SOAR، يبقى التنفيذ الفعلي للتحقيق ناقصًا. المشكلة الأعمق أن التنبيهات منخفضة الشدة لا تُحقق، وبالتالي لا تُغذى قواعد الكشف بملاحظات تصحيحية، ما يمنع النظام من التحسن الذاتي.
ما الذي يتغير عند التحقيق في كل التنبيهات
التقرير أظهر أنه عند استخدام Intezer AI SOC للتحقيق في جميع التنبيهات، تم تحقيق دقة بنسبة 98% وزمن فرز أقل من دقيقة، مع تصعيد أقل من 2% إلى محللين بشريين. هذا النموذج سمح بكشف التهديدات المبكرة قبل أن تتطور، وأعاد تغذية قواعد الكشف بملاحظات مستمرة، مما أدى إلى تحسن متواصل في الوضع الأمني للمؤسسات.
