في السنوات الأخيرة، لم يعد كافياً أن تنظر فرق الأمن السيبراني إلى التهديدات والثغرات بشكل منفصل. فالمعادلة الحقيقية تكمن في نقطة الالتقاء بين ما يمكن أن يحدث من ثغرات، ومن قد يستغلها، وكيفية تفاعلها مع بيئة العمل الفعلية لتشكّل تعرضاً قابلاً للاستغلال. هنا يبرز مفهوم إدارة التعرض المستمر للتهديدات (CTEM) كنهج استراتيجي يهدف إلى توحيد الرؤية بين التهديدات والثغرات وإدارة سطح الهجوم، مع التركيز على ما هو قابل للاستغلال فعلياً وليس مجرد احتمالات نظرية.
ما الذي يعنيه CTEM حقاً
بحسب تعريف مؤسسة “جارتنر”، يقوم CTEM على دورة مستمرة من خمس خطوات رئيسية:
- التحديد (Scoping): تقييم الأصول والعمليات والخصوم الأكثر أهمية.
- الاكتشاف (Discovery): رسم خريطة للتعرضات ومسارات الهجوم المحتملة داخل البيئة الرقمية.
- الأولوية (Prioritization): التركيز على ما يمكن للمهاجمين استغلاله واقعياً وما يجب إصلاحه فوراً.
- التحقق (Validation): اختبار الافتراضات عبر محاكاة آمنة للهجمات.
- التعبئة (Mobilization): دفع عمليات الإصلاح والتحسين بناءً على أدلة عملية.
هذا النموذج ليس مجرد فحص لمرة واحدة، بل هو إطار تشغيلي متكامل يهدف إلى تحسين الوضع الأمني العام للمؤسسة بشكل مستمر.
الفائدة الحقيقية من CTEM
تكمن قوة CTEM في أنه يحوّل التركيز من إدارة الثغرات بشكل تقليدي إلى إدارة التعرضات وفقاً لمستوى المخاطر. فهو يدمج بين تقييم الثغرات، وإدارة سطح الهجوم، والاختبارات والمحاكاة، ليمنح الفرق الأمنية رؤية موحدة حول ما يمكن أن يشكّل خطراً فعلياً. المشكلة لم تكن يوماً في نقص الأدوات، بل في كثرتها وتعددها، مما خلق عزلة بين الفرق والأنظمة. وهنا يأتي دور CTEM لتحدي هذا الواقع عبر كسر الحواجز وتوحيد الرؤية، بحيث يصبح الهدف النهائي هو تقليل المخاطر السيبرانية بشكل ملموس وقابل للقياس.
دور استخبارات التهديدات في CTEM
يتم الإبلاغ عن عشرات الآلاف من الثغرات سنوياً، لكن أقل من 10% منها يتم استغلالها فعلياً. لذلك، فإن استخبارات التهديدات أصبحت ضرورة لا غنى عنها. فهي تساعد المؤسسات على تحديد الثغرات التي يتم تسليحها بالفعل في الحملات الهجومية، وربطها بتكتيكات وأساليب الخصوم. عبر تحديد متطلبات الاستخبارات ذات الأولوية (PIRs)، يمكن للفرق الأمنية معرفة أي الثغرات تستهدف بيئتها، وأي الأصول الأكثر عرضة، وتحت أي ظروف يتم الاستغلال. هذا يتيح تركيز جهود الإصلاح على ما هو قابل للاستغلال فعلياً، بدلاً من الانشغال بما هو نظري فقط.
التحقق كأداة لتقليل المخاطر
لا يكفي أن تحدد الثغرات ذات الأولوية، بل يجب اختبار فعالية الضوابط الأمنية ضدها. هنا يظهر مفهوم التحقق المبني على المخاطر، الذي يتجاوز التكنولوجيا ليشمل العمليات والأشخاص أيضاً. فحتى أفضل أنظمة الكشف والاستجابة (EDR) أو إدارة الأحداث الأمنية (SIEM) أو جدران الحماية (WAF) لن تكون فعالة إذا كانت إجراءات الاستجابة غير واضحة أو إذا تعطلت مسارات التصعيد تحت الضغط. لذلك، تتجه المؤسسات نحو دمج محاكاة الهجمات، والاختبارات الآلية، وتمارين الطاولة، في إطار موحد يُعرف بـ التحقق من التعرض العدائي (AEV).
كسر المصطلحات الرنانة واعتماد نهج عملي
من المهم التأكيد أن CTEM ليس منتجاً جاهزاً، بل هو نهج استراتيجي قائم على مقاييس عملية لإدارة التعرضات. تطبيقه لا يقتصر على فريق واحد، بل يتطلب قيادة من أعلى الهرم المؤسسي لكسر العزلة بين الفرق وتحسين سير العمل الأمني. البداية تكون من مرحلة “التحديد”، عبر طرح أسئلة جوهرية مثل:
- ما هي أبرز المخاطر التجارية التي يمكن للأمن السيبراني التأثير عليها مباشرة؟
- أي بيئات وأصول يجب أن تكون ضمن نطاق الإدارة؟
- هل لدينا رؤية دقيقة لمخزون الأصول؟
- أي الجهات المهاجمة وأساليبها أكثر ارتباطاً بصناعتنا؟
- كيف نعرّف “التعرض الحرج” وفقاً لقابلية الاستغلال والأثر التجاري وحساسية البيانات؟
هذه الأسئلة تساعد على صياغة نطاق واقعي ومتماسك لبرنامج CTEM، يمكن تنفيذه وقياس نتائجه، بعيداً عن الجهود الواسعة غير القابلة للإدارة.
