تُظهر تقارير الصناعة لعام 2025 أن ما بين 50 و61 في المئة من الثغرات المكتشفة حديثاً يجري تسليحها خلال 48 ساعة فقط من الإعلان عنها. وبالاستناد إلى قائمة CISA للثغرات المستغلة فعلياً، باتت مئات الثغرات تُستهدف في غضون أيام قليلة، ما يحوّل كل إعلان جديد إلى سباق عالمي بين المهاجمين والمدافعين. يعتمد الطرفان على المصادر نفسها، لكنّ المهاجمين يتحركون بسرعة الآلة، فيما لا تزال فرق الأمن تعمل وفق إيقاع بشري. وقد طورت جهات التهديد عملياتها إلى مستوى صناعي بالكامل، إذ تقوم خوارزميات آلية بجمع وفحص وتقييم كل CVE لحظة ظهوره، مستفيدة من قدرات الذكاء الاصطناعي، بينما تتأخر الفرق التقنية في قراءة التنبيهات وتصنيفها وتنظيم دورات التحديث. وهنا تماماً ينشأ الفارق الذي يستغله المهاجمون، فإيقاع التحديث الشهري أو الربع سنوي لم يعد صالحاً في بيئة تُسَلّح فيها الثغرات خلال ساعات.
اقتصاد استغلال الثغرات وسرعة الهجوم
يعتمد المشهد التهديدي الحديث على الأتمتة والحجم الكبير. تعمل شبكات وسطاء الاستغلال والمجموعات التابعة ضمن سلسلة إمداد متكاملة، يستخدم كل طرف فيها أدوات المسح والتبصيم لتحديد الأهداف المحتملة لكل CVE جديد قبل بدء الهجوم. وتُظهر أبحاث Mandiant أن معظم عمليات الاستغلال تبدأ خلال 48 ساعة من الإعلان، بينما تعمل فرق التقنية عادة وفق دوام يمتد ثماني ساعات يومياً، ما يمنح المهاجمين 32 ساعة إضافية من النشاط بلا منافسة. وبمجرد إثبات فاعلية الاستغلال، يجري نشره خلال ساعات عبر منتديات الويب المظلم وقنوات التهديد الداخلية وحزم البرمجيات الخبيثة.
الفشل ميزة هجومية… وعبء دفاعي
يملك المهاجمون ميزة لا تتوفر للمدافعين: قبول الفشل. يمكن للمهاجم أن يتسبب في انهيار ألف نظام ليصل إلى مئة، ويعد ذلك مكسباً. أما فرق الأمن فلا تملك ترف المخاطرة، ففشل تحديث واحد قد يؤدي إلى توقف واسع وخسائر كبيرة في الثقة. وهذا التباين في معايير النجاح والفشل يتيح للمهاجمين هامش حركة خطِراً بينما يقيد المدافعين بأعباء الاستقرار. النتيجة: فجوة عملياتية تتسع باستمرار لصالح المهاجم.
الانتقال من الدفاع البشري إلى المرونة بسرعة الآلة
التحدي لم يعد في الوعي بالتهديدات بل في سرعة التنفيذ. لا تستطيع المؤسسات مواكبة التسارع الهجومي دون أتمتة واسعة. لقد أصبح الانتقال من إدارة التذاكر والتحديثات اليدوية إلى المعالجة المؤتمتة والمبنية على السياسات ضرورة أمنية. ويمكن للأنظمة المؤتمتة أن تقلّص نافذة التعرض عبر تطبيق الترقيعات الحرجة باستمرار، وتحديث الضبط الأساسي، واستخدام آليات التراجع الشرطي عند الحاجة. ويؤكد خبراء الأمن أن الخسائر الناتجة عن تحديث متسرع تكون، في الغالب، أقل وأسرع إصلاحاً من آثار هجوم ناجح، ما يفرض إعادة النظر في التردد والمؤسساتية البطيئة. المطلوب هو إعادة توجيه القرارات والسياسات لمصلحة سرعة الإجراء بدل بطء المراجعات، مع مراعاة حساسية الأنظمة الحرجة.
إعادة تشكيل ما لا يمكن أتمتته
ما يزال جزء من البنية التقنية غير قابل للأتمتة الكاملة، سواء بسبب الحساسية التشغيلية أو الالتزامات التنظيمية. لكن حتى هذه الاستثناءات يجب أن تُفحَص بهدف زيادة قابليتها للأتمتة أو تحسين كفاءتها. وقد يتطلب ذلك توحيد التكوينات، أو عزل الأنظمة القديمة، أو تقليل الاعتمادية التي تُبطئ سير التحديثات. فكل خطوة يدوية تمثل زمناً مهدوراً، والزمن هو العامل الأهم الذي يستغله المهاجمون. كما يجب أن تُراجَع سياسات الموافقات والسلاسل الإدارية التي تبطئ عمليات الإصلاح، كي تتوافق وتيرة الدفاع مع وتيرة الهجوم.
تطبيق الدفاع المُسرّع في المؤسسات
بدأت العديد من المؤسسات المتقدمة في اعتماد نهج الدفاع المسرّع، الذي يجمع بين الأتمتة والتنظيم والتحكم بالتراجع مع الحفاظ على الاستقرار. وتتيح منصات مثل Action1 تحديد الثغرات ونشر التحديثات والتحقق منها بشكل تلقائي عبر بيئات المؤسسة، الأمر الذي يلغي الخطوات اليدوية التي تطيل زمن المعالجة. ويجسد هذا النهج صورة الأمن السيبراني بسرعة الآلة: إصلاح فوري، ومنضبط، وقابل للحوكمة. فجوهر الأمن الحديث ليس الأتمتة وحدها بل الأتمتة المستندة إلى السياسات، حيث يحدد البشر القواعد وتنفذ الآلات المهمة فوراً.
