في السنوات الأخيرة، تغيّر المشهد الأمني السيبراني بشكل ملحوظ. فبدلاً من الاعتماد على البرمجيات الخبيثة التقليدية، أصبح المهاجمون يفضلون استغلال الأدوات المدمجة داخل الأنظمة نفسها. تحليل حديث لأكثر من 700 ألف حادثة عالية الخطورة أظهر أن 84% من الهجمات تستغل أدوات شرعية مثل PowerShell وWMIC وCertutil، وهي الأدوات نفسها التي يستخدمها مسؤولو تقنية المعلومات يومياً. هذا الأسلوب المعروف باسم Living off the Land (LOTL) يجعل الأنشطة الخبيثة تبدو وكأنها عمليات طبيعية، مما يخلق فجوة خطيرة في الرؤية الأمنية. وبحلول الوقت الذي يظهر فيه الخطر بوضوح، يكون المهاجم قد رسّخ وجوده داخل البيئة المستهدفة.
سطح الهجوم الداخلي أكبر مما تتصور
الأنظمة الحديثة مثل Windows 11 تأتي محملة بمئات الملفات التنفيذية الأصلية، كثير منها يمكن استغلاله في هجمات LOTL. هذه الأدوات موثوقة افتراضياً، ومطلوبة لأداء مهام شرعية، لكن هذا لا يمنع المهاجمين من إساءة استخدامها. المشكلة أن المؤسسات لا تستطيع حظرها دون تعطيل سير العمل، ولا يمكن مراقبتها بسهولة دون توليد ضوضاء هائلة في سجلات المراقبة. الدراسات تشير إلى أن 95% من الوصول إلى هذه الأدوات غير ضروري، ما يعني أن كل إذن إضافي يمنح المهاجمين مساراً جديداً للهجوم. وهكذا، يصبح الدفاع أصعب عندما لا يحتاج المهاجم إلى إدخال أي عنصر خارجي جديد.
الاكتفاء بالكشف لم يعد كافياً
أنظمة الكشف مثل EDR وXDR أثبتت فعاليتها في مواجهة البرمجيات الخبيثة، لكنها تواجه تحدياً متزايداً مع هجمات LOTL. فالسؤال لم يعد “هل هذا ملف خبيث؟” بل أصبح “هل هذا السلوك طبيعي أم خبيث؟”. ومع تسارع الهجمات المدعومة بالذكاء الاصطناعي، يصبح الوقت عاملاً حاسماً. بحلول اللحظة التي يتم فيها تأكيد السلوك المشبوه، يكون المهاجم قد نفذ بالفعل حركة جانبية أو رسّخ وجوده. لذلك، الاعتماد على الكشف وحده لم يعد كافياً، بل يجب الانتقال إلى رؤية استباقية لسطح الهجوم الداخلي.
