على مدار عقود، واجه عالم الفن تحديات كشف المزورين، ومن أبرز الأمثلة الفنان المزور إلمير دي هوري الذي اشتهر في الستينيات ببيع لوحات مزيفة تحمل توقيعات بيكاسو وماتيس ورينوار. أكثر من ألف عمل مزيف مرّ على خبراء ومتاحف كبرى دون أن يُكتشف.
اليوم، يواجه مراكز عمليات الأمن (SOCs) تحديًا مشابهًا في “عصر التقليد”، حيث يتقن المهاجمون المدعومون بالذكاء الاصطناعي فن التظاهر بأنهم مستخدمون موثوقون، ويخفون نشاطهم داخل العمليات الشرعية وحركة الشبكة العادية.
تقنيات التقليد في الهجمات الحديثة
وفقًا لتقرير CrowdStrike 2026، فإن 81% من الهجمات أصبحت بلا برمجيات خبيثة، وتعتمد بدلًا من ذلك على أدوات شرعية وتقنيات “العيش من موارد النظام” (LotL).
كما أن وكلاء الذكاء الاصطناعي المستقلون أو شبه المستقلين باتوا قادرين على توليد هويات مزيفة، وكتابة شيفرات استغلال، وتقليد السلوكيات على نطاق واسع. هذه الوكلاء تتعلم من حركة الشبكة وتعدل أنماطها لتتماشى مع الزيادات الطبيعية في النشاط، ما يجعل اكتشافها أكثر صعوبة.
سلاسل التوريد والسحابة: انتحال الثقة
الهجمات على سلاسل التوريد أصبحت أكثر تعقيدًا مع دخول الذكاء الاصطناعي. فالوكلاء الخبيثون يمكنهم استبدال تحديثات البرامج ببرمجيات ضارة تبدو طبيعية، كما حدث مع دودة Shai Hulud v2 التي عدلت مئات الحزم البرمجية لسرقة بيانات المطورين.
أما في السحابة، فقد تسارعت عمليات الخداع عبر صفحات تسجيل دخول مزيفة ومستودعات مقلدة، حيث يمكن للأدوات المدعومة بالذكاء الاصطناعي إنتاج مواقع مزيفة بسرعة وبكميات ضخمة.
أنفاق مخفية وبنية تحتية مزورة
المهاجمون يستخدمون بروتوكولات مسموحة وقنوات مشفرة لإخفاء نشاطهم، مثل نفق IP الذي يخفي البيانات داخل حركة تبدو شرعية. كما يستغلون طلبات غير متطابقة لإخفاء سرقة البيانات، ويبقون كامنين داخل الشبكات لشهور قبل الهجوم.
إلى جانب ذلك، يقومون بإنشاء خوادم ونطاقات وخدمات تشبه البنية التحتية الموثوقة، مثل رسائل اجتماعات Teams المزيفة التي تقود إلى مواقع سرقة بيانات الدخول. هذه البنية المزورة تُستخدم لاحقًا لاستخراج البيانات الحساسة وشن هجمات فدية.
التصيّد: قلب الخداع
التصيّد يبقى في صميم كل عمليات التقليد، حيث تُستخدم عناوين بريدية مزيفة وهجمات Homoglyph/Homograph لتقليد النطاقات الشرعية. هذه الأساليب تعكس براعة دي هوري في تقليد ضربات الفرشاة والألوان والأنماط الفنية.
دور NDR في كشف المزيفين
كما تم كشف دي هوري عبر مقارنة أعماله واكتشاف بصمات أسلوبية لم يستطع إخفاءها، يمكن لتقنيات Network Detection and Response (NDR) كشف المهاجمين عبر:
- رصد الانحرافات السلوكية مثل تسجيل الدخول في أوقات غير معتادة أو تحركات جانبية غير مبررة.
- كشف التناقضات في البروتوكولات والبيانات الوصفية مثل الاتصالات مع نطاقات جديدة أو شهادات مشبوهة.
- توفير سياق يوضح مصدر الاتصالات وسلوكها على المدى الطويل، ما يساعد المحللين على التمييز بين التهديدات الحقيقية والضوضاء.
منصات مثل Corelight’s Open NDR تقدم طبقات متعددة من الكشف السلوكي والشذوذ، ما يمنح فرق الأمن القدرة على رؤية ما وراء الضوضاء وكشف التهديدات المبكرة قبل أن تسبب أضرارًا جسيمة>
