يُعدّ الحفاظ على نموذج مراقبة حركة البيانات التقليدي، القائم على تحليل الحزم واكتشاف الحالات الشاذة وفحص الحدود، مضيعة لوقت فريق تقنية المعلومات الثمين. ويعود ذلك إلى التطور المستمر لتقنيات متقدمة تُمكّن هذه التقنيات من تجنب الكشف عنها بواسطة الأنظمة التقليدية، مستغلةً ثغرات أمنية تبقى خفية عن أدوات الأمان التي تعتمد فقط على حركة بيانات الشبكة.
في الواقع، 72% من المشاركين في استطلاع عالمي أجراه المنتدى الاقتصادي العالمي عام 2025 بزيادة في مخاطر الأمن السيبراني التي تواجهها مؤسساتهم، مما يعكس تطور التهديدات لتفادي وسائل الدفاع التقليدية. علاوة على ذلك، فإن احتمالية نجاح الهجمات التي لا تعتمد على الملفات تزيد عشرة أضعاف عن احتمالية نجاح هجمات البرامج الضارة التقليدية التي تعتمد على الملفات.
لم يعد مجرمو الإنترنت يعملون وفق أسلوب التجربة والخطأ. اليوم، يتصرفون بدقة متناهية ولا يتركون أي أثر. يستخدمون بكثافة الهجمات التي لا تعتمد على الملفات، ويستغلون أدوات النظام المشروعة مثل PowerShell وWMI لتنفيذ أوامر خبيثة دون إثارة الشكوك، ويتنقلون عبر الشبكة بصمت، كما لو كانوا جزءًا لا يتجزأ من البيئة.
يُصمّم هذا النوع من الهجمات عمدًا ليبدو مشروعًا؛ فالحركة لا تثير الشكوك، والأدوات ليست مجهولة، والأحداث لا تتبع أنماط التهديدات الشائعة. في هذا السياق، ووفقًا لتقرير المنتدى الاقتصادي العالمي لعام 2025، تعتقد 66% من المؤسسات أن الذكاء الاصطناعي سيكون له التأثير الأكبر على الأمن السيبراني ، سواءً للدفاع أو للهجمات، مما يعكس تحولًا جذريًا في المفاهيم.
تعجز الحلول التقليدية، كجدران الحماية وأنظمة كشف التسلل وأنظمة الربط البسيطة، عن توفير الحماية اللازمة، لا سيما وأن 47% من المؤسسات تُشير إلى التطورات الخبيثة المدعومة بالذكاء الاصطناعي التوليدي باعتبارها مصدر قلقها الرئيسي. إضافةً إلى ذلك، تُشير 54% من المؤسسات الكبيرة إلى ثغرات سلسلة التوريد باعتبارها العائق الأكبر أمام المرونة السيبرانية، مما يزيد من تعقيد التحدي.
دور الرؤية التفصيلية
في ضوء هذا السيناريو، تبرز الرؤية التفصيلية كشرط أساسي لاستراتيجية فعالة للأمن السيبراني. وهي تشير إلى القدرة على مراقبة سلوك نقاط النهاية والمستخدمين والعمليات والتدفقات الداخلية والأنشطة بين الأنظمة، بشكل مفصل ومستمر، ضمن سياق محدد.
يتطلب هذا النهج استخدام تقنيات أكثر تطوراً، مثل EDR (الكشف والاستجابة لنقاط النهاية)، وXDR (الكشف والاستجابة الموسعة)، وNDR (الكشف والاستجابة للشبكة). تجمع هذه الأدوات بيانات القياس عن بُعد على مستويات مختلفة، من الشبكة إلى نقطة النهاية، وتُطبّق تحليل السلوك والذكاء الاصطناعي وربط الأحداث للكشف عن التهديدات التي قد تمر دون ملاحظة في بيئات تُراقَب فقط بحجم حركة البيانات.
تقنيات تستغل خاصية الاختفاء
من بين أكثر التكتيكات شيوعاً المستخدمة في الهجمات الخفية ما يلي:
- نفق نظام أسماء النطاقات (DNS)، وهو تغليف البيانات في استعلامات نظام أسماء النطاقات (DNS) التي تبدو عادية؛
- التشفير الرقمي الخفي، وهو إخفاء الأوامر الخبيثة داخل ملفات الصور أو الصوت أو الفيديو؛
- توفر قنوات القيادة والتحكم المشفرة اتصالاً آمناً بين البرامج الضارة ومتحكميها، مما يجعل عملية الاعتراض صعبة.
- لا تقتصر هذه التقنيات على تجاوز الأنظمة التقليدية فحسب، بل تستغل أيضًا الثغرات في الربط بين طبقات الأمان. قد تبدو حركة البيانات نظيفة، لكن النشاط الحقيقي مخفي وراء عمليات مشروعة أو أنماط مشفرة.
مراقبة ذكية وسياقية
للتصدي لهذا النوع من التهديدات، من الضروري أن يتجاوز التحليل مؤشرات الاختراق ليشمل مؤشرات السلوك. وهذا يعني مراقبة ليس فقط "ما" تم الوصول إليه أو نقله، بل أيضاً "كيف" و"متى" و"من" و"في أي سياق" حدث هذا الإجراء.
علاوة على ذلك، فإن التكامل بين مصادر البيانات المختلفة، مثل سجلات المصادقة وتنفيذ الأوامر والتحركات الجانبية واستدعاءات واجهة برمجة التطبيقات، يسمح باكتشاف الانحرافات الطفيفة والاستجابة بشكل أسرع وأكثر دقة للحوادث.
ماذا يعني كل هذا؟
يتطلب التطور المتزايد للهجمات الإلكترونية إعادة تقييم عاجلة لممارسات الدفاع الرقمي. لا تزال مراقبة حركة البيانات ضرورية، لكنها لم تعد الركيزة الوحيدة للحماية. باتت الرؤية الدقيقة، مع التحليل المستمر والسياقي والمترابط، أساسيةً لاكتشاف التهديدات الخفية والتخفيف من آثارها.
إن الاستثمار في تقنيات واستراتيجيات الكشف المتقدمة التي تأخذ في الاعتبار سلوك الأنظمة في العالم الحقيقي هو، اليوم، الطريقة الفعالة الوحيدة لمواجهة الخصوم الذين يعرفون كيف يختبئون في وضح النهار.
