في الوقت الذي ينشغل فيه قطاع الأمن السيبراني بمطاردة التهديدات المتقدمة مثل ثغرات Zero-Day، وهجمات سلسلة التوريد، والاستغلالات المدعومة بالذكاء الاصطناعي، يظل الباب الأكثر شيوعًا لدخول المهاجمين هو نفسه منذ سنوات: بيانات اعتماد مسروقة. فالهجمات القائمة على الهوية ما تزال تمثل المتجه الأولي الأكثر انتشارًا في الاختراقات الحديثة، حيث يعتمد المهاجمون على أسماء مستخدمين وكلمات مرور صحيحة للوصول إلى الأنظمة دون الحاجة إلى أي استغلال تقني معقد.
طبيعة الهجمات القائمة على الهوية
يحصل المهاجمون على بيانات الاعتماد عبر عدة طرق: هجمات الحشو بكلمات المرور باستخدام قواعد بيانات مسربة سابقًا، أو الرش بكلمات المرور ضد خدمات مكشوفة، أو عبر حملات التصيد الاحتيالي. بمجرد نجاح تسجيل الدخول، يبدو المهاجم وكأنه موظف شرعي، فلا تُطلق الإنذارات الأمنية المعتادة مثل عمليات المسح الشبكي أو استدعاءات البرمجيات الخبيثة. بعد ذلك يبدأ المهاجم في تفريغ كلمات المرور الإضافية وكسرها، ثم يعيد استخدامها للتحرك أفقيًا داخل الشبكة وتوسيع نطاق سيطرته. بالنسبة لعصابات الفدية، يقود هذا التسلسل إلى تشفير البيانات وابتزاز المؤسسة خلال ساعات، أما بالنسبة للجهات المدعومة من دول، فيوفر نفس المدخل وسيلة للبقاء طويلًا وجمع المعلومات الاستخباراتية.
دور الذكاء الاصطناعي في تسريع الهجمات
النمط الأساسي للهجوم لم يتغير كثيرًا، لكن الجديد هو السرعة والدقة التي يضيفها الذكاء الاصطناعي. المهاجمون يستخدمون تقنيات الذكاء الاصطناعي لتوسيع نطاق اختبار بيانات الاعتماد عبر مجموعات أكبر من الأهداف، ولتطوير أدوات مخصصة بسرعة، ولصياغة رسائل تصيد يصعب تمييزها عن الاتصالات الشرعية. هذا التسارع يضع ضغطًا إضافيًا على فرق الدفاع، حيث تتسع رقعة الاختراقات بسرعة وتشمل أنظمة الهوية والبنية السحابية ونقاط النهاية، بينما تجد فرق الاستجابة للحوادث أن إجراءاتها التقليدية لم تعد قادرة على مواكبة هذا الإيقاع.
نموذج الاستجابة الديناميكية للحوادث (DAIR)
في مواجهة هذا الواقع، يصبح التفكير في كيفية الاستجابة للحوادث بنفس أهمية الأدوات التقنية المستخدمة. هنا يبرز نموذج الاستجابة الديناميكية للحوادث (DAIR) الذي يُدرّس في دورة SEC504، كبديل أكثر فعالية من النموذج التقليدي الخطي. النموذج الكلاسيكي يتعامل مع الحوادث كسلسلة مراحل: التحضير، التعرف، الاحتواء، الاستئصال، الاستعادة، ثم المراجعة. لكن الواقع العملي أكثر تعقيدًا، إذ تظهر بيانات جديدة أثناء الاحتواء تغير نطاق الحادث، أو تكشف الأدلة أثناء الاستئصال عن تكتيكات لم تكن معروفة عند الاكتشاف الأولي.
نموذج DAIR يعالج هذه الطبيعة التكرارية عبر دورة مستمرة: تحديد نطاق الاختراق، احتواء الأنظمة المتأثرة، استئصال التهديد، واستعادة العمليات، ثم العودة مجددًا إلى التحديد مع ظهور معلومات جديدة. هذه الحلقة تتكرر حتى يقرر الفريق أن الحادث تمت معالجته بالكامل. هذا النهج يعترف بأن التحقيقات الواقعية فوضوية بطبيعتها، ويحول هذه الفوضى إلى جزء من العملية بدلًا من اعتبارها انحرافًا.
أهمية التواصل وبناء المهارات
عندما تتقاطع فرق متعددة في حادث واحد — من محللي مراكز العمليات الأمنية إلى مهندسي السحابة وقادة الاستجابة ومديري الأنظمة — يصبح الحفاظ على التنسيق تحديًا كبيرًا. العامل الأكثر أهمية هنا هو التواصل الفعّال، فهو الذي يضمن وصول بيانات النطاق إلى الأشخاص المناسبين، وتنسيق إجراءات الاحتواء، وتوفير معلومات دقيقة لصانعي القرار. إلى جانب ذلك، فإن التدريب المستمر والممارسة العملية ضروريان، كما أن القدرات التقنية للفريق تظل حاسمة. ومع دخول الذكاء الاصطناعي إلى أدوات الدفاع، يحتاج الأمر إلى خبراء قادرين على توجيه هذه القدرات بفعالية.
المنظمات التي تتعامل مع هجمات الهوية بكفاءة هي تلك التي استثمرت في فرقها قبل وقوع الحوادث، ودربتها على كيفية عمل المهاجمين عمليًا، لا نظريًا فقط. تنفيذ دورة DAIR بفعالية يتطلب ممارسين يفهمون كلا الجانبين: كيف يحصل المهاجمون على الوصول ويتحركون ويستمرون، وكيف يمكن التحقيق في الأدلة التي يتركونها وراءهم في كل مرحلة.
