تشهد صناعة الأمن السيبراني تحولاً جذرياً مع دخول الذكاء الاصطناعي إلى مجال اكتشاف واستغلال الثغرات. لم يعد الأمر يستغرق أياماً أو أسابيع بين الإعلان عن ثغرة أمنية وبين استغلالها، بل أصبح يُقاس بالساعات. هذا الواقع الجديد يضع المؤسسات أمام تحدٍ غير مسبوق، حيث لم تعد استراتيجيات “الترقيع السريع” كافية لمجاراة سرعة المهاجمين.
تقرير Verizon DBIR 2026 أشار إلى أن متوسط زمن الترقيع للثغرات الحرجة ارتفع من 32 يوماً إلى 43 يوماً، في حين أن المهاجمين يستغلون الثغرات خلال ساعات قليلة. هذا الفارق الزمني هو ما يمنح المهاجمين اليد العليا.
عنق الزجاجة انتقل إلى فرق الدفاع
بينما يواصل المهاجمون تسريع عملياتهم باستخدام أدوات الذكاء الاصطناعي، تبقى فرق الدفاع مقيدة بمتطلبات التشغيل مثل اختبار الاستقرار، موافقات الأعمال، والالتزام باللوائح التنظيمية. حتى التوجيهات الرسمية مثل إرشادات CERT-IN في الهند التي تطالب بالترقيع خلال أقل من يوم، تصطدم بالواقع العملي الذي يجعل التنفيذ شبه مستحيل.
النتيجة أن بعض الثغرات ستظل مكشوفة قبل أن يتم إصلاحها، ما يفرض على الفرق الأمنية إعادة التفكير في نموذج التشغيل ليصبح قائماً على الاستباق، التحقق، والتخفيف بدلاً من الاعتماد على الترقيع وحده.
الخطوة الأولى: الاستباق وتحديد الثغرات الأكثر خطورة
ليس كل ثغرة معلنة ستُستغل فعلياً. المهاجمون يبحثون عن خصائص محددة: انتشار واسع، إمكانية الوصول عبر الإنترنت، سهولة الاستغلال، وإمكانية تحقيق وصول فعّال إلى بيئة الهدف.
في عالم تُعلن فيه مئات أو آلاف الثغرات يومياً، يصبح الاستباق ضرورة لتصفية الثغرات الأكثر احتمالاً للاستغلال في الساعات الأولى بعد الإعلان، قبل أن تغرق الفرق في قوائم طويلة من التنبيهات.
الخطوة الثانية: التفاعل السريع والتحقق من التعرض
عندما يُثبت أن ثغرة ما قابلة للاستغلال أو بدأ استغلالها فعلياً، يجب أن تتحرك الفرق بسرعة لتحديد مدى تعرض بيئتها الخاصة. الأسئلة الأساسية هنا: هل نستخدم هذه التقنية؟ أين توجد الأنظمة المتأثرة؟ هل يمكن استغلالها فعلياً في بيئتنا؟
التحقق السريع يميز بين ثغرة نظرية وأخرى قابلة للاستغلال، وهو ما يحدد ما إذا كان يجب التخفيف الفوري أو الاكتفاء بالمراقبة حتى اكتمال دورة الترقيع.
الخطوة الثالثة: التخفيف لكسب الوقت
حتى بعد التحقق، يبقى الترقيع بحاجة إلى اختبار وتنسيق. هنا يأتي دور التخفيف المؤقت لتقليل إمكانية الاستغلال. يشمل ذلك تقييد الوصول، تعطيل الوظائف المعرضة للخطر، تحديث قواعد WAF أو IDS/IPS، العزل، أو فرض تغييرات في الإعدادات.
التخفيف الفعّال يجب أن يستند إلى فهم طريقة الاستغلال، وليس مجرد ملخص عام للثغرة. الهدف هو جعل الاستغلال أبطأ وأقل موثوقية وأكثر صعوبة على المهاجمين، حتى يتم الترقيع بأمان.
منصة watchTowr: نموذج دفاعي جديد
قدمت منصة watchTowr نموذجاً يضغط الجدول الزمني للدفاع ليواكب سرعة الهجمات المدعومة بالذكاء الاصطناعي. المنصة تجمع بين:
- الاستباق عبر استخبارات التهديدات.
- إدارة السطح الخارجي للهجمات لتحديد ما يراه المهاجمون.
- التخفيف الذاتي الذي يعمل بشكل آلي لسد الفجوة بين سرعة المهاجمين وبطء الترقيع.
