في تقرير جديد صادر عن Bitdefender، يتضح أن أكبر المخاطر الأمنية التي تواجه المؤسسات لم تعد مرتبطة بالبرمجيات الخبيثة التقليدية، بل بالأدوات الموثوقة التي تُستخدم يوميًا داخل بيئات العمل. أدوات مثل PowerShell وWMIC وCertutil وMSBuild، التي يعتمد عليها مسؤولو تقنية المعلومات في الإدارة، أصبحت في الوقت نفسه أدوات مفضلة لدى المهاجمين. تحليل الشركة لأكثر من 700 ألف حادثة عالية الخطورة كشف أن 84% منها تضمنت إساءة استخدام أدوات شرعية.
لماذا الآن؟ ولماذا هذه الأدوات؟
وفقًا لبيانات Bitdefender، فإن تثبيتًا نظيفًا لنظام Windows 11 يتضمن 133 أداة “عيش على الأرض” (LOLBins) موزعة على 987 نسخة. كما أظهرت القياسات أن PowerShell نشط على 73% من الأجهزة الطرفية، غالبًا عبر تطبيقات طرف ثالث تعمل في الخلفية. هذا ليس “مشكلة برمجيات خبيثة”، بل مشكلة صلاحيات زائدة لا يمكن حلها عبر التحديثات الأمنية التقليدية.
توقعات Gartner تشير إلى أن الإنفاق على الأمن الاستباقي سيشكل 50% من ميزانيات الأمن السيبراني بحلول 2030، مقارنة بأقل من 5% في 2024. كما أن 60% من المؤسسات الكبرى ستتبنى تقنيات تقليص سطح الهجوم الديناميكي (DASR) بحلول 2030. السبب واضح: عندما لا يتضمن معظم الاختراقات برمجيات خبيثة، ويستطيع المهاجمون التحرك خلال دقائق، فإن نموذج “الكشف والاستجابة” يصبح بطيئًا للغاية.
كيف تعمل آلية التقييم؟
برنامج Internal Attack Surface Assessment الذي تقدمه Bitdefender مجانًا للمؤسسات التي تضم أكثر من 250 موظفًا، يمتد على 45 يومًا ويعمل عبر أربع مراحل باستخدام تقنية GravityZone PHASR:
- مرحلة التعلم السلوكي: بناء ملفات سلوكية لكل جهاز-مستخدم على مدى 30 يومًا.
- مراجعة لوحة التحكم: منح المؤسسة درجة تعرض (0–100) وقائمة أولويات عبر خمس فئات: أدوات LOLBins، أدوات الإدارة عن بُعد، أدوات العبث، أدوات التعدين، وأدوات القرصنة.
- مرحلة تقليص اختيارية: تطبيق الضوابط يدويًا أو عبر خاصية Autopilot، مع إمكانية طلب المستخدمين استعادة الوصول عبر آلية موافقة بنقرة واحدة.
- مراجعة نهائية: قياس حجم التقليص الذي تحقق وكشف الأدوات غير المصرح بها التي ظهرت خلال العملية.
عملاء مبكرون تمكنوا من تقليص سطح الهجوم بنسبة 30% خلال أول 30 يومًا، بينما وصل بعضهم إلى 70% عبر تقييد أدوات LOLBins وأدوات الإدارة عن بُعد دون تعطيل المستخدمين أو زيادة عبء التحقيقات.
ماذا يعني ذلك لأصحاب المصلحة؟
- لرئيس الأمن المعلوماتي (CISO): رقم تعرض يمكن الدفاع عنه أمام مجلس الإدارة، يتغير أسبوعيًا ويعكس سلوكيات حقيقية يستخدمها المهاجمون.
- لفرق الأمن والتقنية (SOC وIT Admin): تقليص يصل إلى 50% في عبء التحقيقات، لأن فئات كاملة من السلوكيات المشبوهة لم تعد موجودة على الأجهزة.
- لصناع القرار في الأعمال: تقليص موثق ومستمر لسطح الهجوم، وهو ما أصبح مطلبًا متزايدًا من الجهات التنظيمية وشركات التأمين السيبراني.
الرسالة الأساسية هنا أن المخاطر الكبرى لم تعد خارجية أو مجهولة، بل موجودة بالفعل داخل بيئة العمل. وخلال 45 يومًا فقط، يمكن للمؤسسة أن تحصل على خريطة دقيقة ومحددة لأولويات المخاطر، دون تكلفة إضافية أو تغيير في البنية التحتية القائمة.
