كل شيكات من وزارة الخارجية مرت بنجاح. كل تسجيل دخول كان قانونيًا. كانت لوحة الامتثال باللون الأخضر عند كل عملية فحص للهوية. كان المهاجم موجودًا بالفعل داخل Active Directory ويتحرك عبره باستخدام رمز جلسة صالح، مما يؤدي إلى تصعيد الامتيازات نحو وحدة تحكم المجال.
يحدث هذا السيناريو في المؤسسات التي استثمرت بكثافة في المصادقة وافترضت أن المهمة قد أنجزت. وكانت الشهادة صحيحة. تمت الإجابة على التحدي متعدد العوامل بشكل صحيح. لقد عمل النظام تمامًا كما تم تصميمه. لقد قام بالمصادقة على المستخدم عند الباب الأمامي ولم يتحقق منه مرة أخرى. ولم تستثنِ وزارة الخارجية المخالفة. بدأت بعد نجاح وزارة الخارجية.
المصادقة تؤكد الهوية في لحظة واحدة. ثم يصبح أعمى. كل ما يلي ذلك، الحركة الجانبية، وتصعيد الامتيازات، والتسلل الصامت من خلال Active Directory، يتجاوز ما تم تصميم MFA للقيام به على الإطلاق.
وجد مدير تقنية المعلومات ثغرة في الإنتاج
حدد Alex Philips، مدير تكنولوجيا المعلومات في NOV، الثغرة الأمنية من خلال الاختبار التشغيلي. وقال لـ VentureBeat: “لقد وجدنا خللًا في قدرتنا على إبطال الرموز المميزة لجلسة الهوية الشرعية على مستوى الموارد. ولم تعد إعادة تعيين كلمة المرور كافية. يجب عليك إبطال الرموز المميزة للجلسة على الفور لإيقاف حركة المرور الجانبية”.
ما اكتشفته شركة Philips لم يكن خطأً في التكوين. لقد كانت هذه نقطة معمارية عمياء موجودة في كل مجموعة هوية مؤسسية تقريبًا. بعد مصادقة المستخدم بنجاح، يقوم رمز الجلسة الناتج بنقل الثقة دون إعادة التقييم. يصبح الرمز المميز أوراق اعتماد حامله. من يمتلكها، مهاجمًا أو موظفًا، يرث جميع الامتيازات المرتبطة بالجلسة. أكد تحقيق NOV أن سرقة الرمز المميز لجلسة الهوية هي ناقل للهجمات الأكثر تقدمًا التي يتتبعونها، مما يجبر الفريق على تشديد سياسات الهوية، وفرض الوصول المشروط، وإلغاء الرموز المميزة بسرعة من الصفر.
متوسط زمن الهروب من الجرائم الإلكترونية انخفض إلى 29 دقيقة في 202وفقًا لـ.، استمر أسرع اختراق مسجل لمدة 27 ثانية تقرير التهديدات العالمية CrowdStrike لعام 2026 في 82% من الاكتشافات في عام 2025، لم يتم نشر أي برامج ضارة. لا يحتاج المهاجمون إلى عمليات استغلال إذا كان لديهم رموز الجلسة.
توقف المهاجمون عن كتابة البرامج الضارة لأن الهويات المسروقة تعمل بشكل أفضل
قال آدم مايرز، نائب الرئيس الأول لعمليات الخصومة في CrowdStrike، لـ VentureBeat: “لقد وجد الخصوم أن إحدى أسرع الطرق للوصول إلى البيئة هي سرقة بيانات الاعتماد الشرعية أو استخدام الهندسة الاجتماعية”. إن الجوانب الاقتصادية صارخة: لقد أدى الكشف الحديث عن نقطة النهاية إلى زيادة تكاليف ومخاطر نشر البرامج الضارة. وفي المقابل، فإن بيانات الاعتماد المسروقة لا تؤدي إلى أي تنبيه، ولا تتطابق مع أي توقيع، وترث حق الوصول الذي كان يتمتع به المستخدم الحقيقي.
زادت هجمات التصيد الاحتيالي بنسبة 442% بين النصف الأول والثاني من عام 2024، في حين زادت محاولات الاحتيال باستخدام التزييف العميق بأكثر من 1300% في عام 2024، وفقًا لتقرير التهديدات العالمية الصادر عن CrowdStrike Global Threat Report 2025 تقرير Pindrop للاستخبارات الصوتية والأمن 2025. وفقًا للبيانات المذكورة في نفس التقرير، زادت هجمات تبديل الوجه بنسبة 704% في عام 2023. ووجدت دراسة أجريت عام 2024 مذكورة في تقرير التهديدات العالمية لعام 2025 الصادر عن CrowdStrike أن رسائل البريد الإلكتروني التصيدية التي أنشأها الذكاء الاصطناعي تطابقت مع رسائل البريد الإلكتروني التصيدية البشرية المعدة بخبرة مع معدل نقر يصل إلى 54%، متفوقة بشكل كبير على التصيد الاحتيالي العام الذي يبلغ 12%.
التهديد لا يكمن في أن الذكاء الاصطناعي يجعل أحد المهاجمين أكثر خطورة. ويكمن التهديد في أن الذكاء الاصطناعي يزود أي مهاجم بالهندسة الاجتماعية على مستوى الخبراء بتكلفة هامشية تقارب الصفر. تعمل سلسلة توريد بيانات الاعتماد الآن على نطاق صناعي.
تؤدي الفجوة بين IAM وSecOps إلى توقف الجلسات
ب2026 30% من المؤسسات لن أفكر في الأمر بعد الآن حلول التحقق من الهوية القائمة على الوجه والمصادقة البيومترية التي تكون قوية بمعزل عن التزييف العميق الناتج عن الذكاء الاصطناعي، كما توقعت شركة جارتنر في تقرير عام 2024. أشار ريمر إلى ملكية إيفانتي تقرير حالة الأمن السيبراني لعام 2026 قياس الفرق. ووجد التقرير، الذي شمل أكثر من 1200 متخصص في مجال الأمن، أن فجوة الاستعداد الأمني للتهديدات زادت بمعدل 10 نقاط في عام واحد.
قام كاين ماك جلادري، أحد كبار زملاء معهد مهندسي الكهرباء والإلكترونيات (IEEE)، بتعريف الفشل التنظيمي بمصطلحات الأعمال. قال ماكجلادري لـ VentureBeat: “أي شيء يبدو أنه يشبه الأمن السيبراني يميل إلى أن يتم دمجه في فئة مخاطر الأمن السيبراني، وهو خيال كامل. يجب أن يكون التركيز على مخاطر الأعمال لأنه إذا لم تؤثر على الأعمال، مثل الخسارة المالية، فلن ينتبه أحد، ولن يضعوا الميزانية بشكل مناسب، أو لن ينفذوا الضوابط المناسبة لمنعها”. يشرح هذا المنطق سبب إنشاء إدارة الجلسة وإدارة دورة حياة الرمز المميز وارتباط الهوية عبر النطاق فجوة بين IAM وSecOps. لا أحد يملكها لأنه لم يحددها أحد على أنها خسارة تجارية.
قال مايرز لـ VentureBeat: “يمكنك رؤية أجزاء من الاختراق على جانب الهوية، وعلى الجانب السحابي، وعلى جانب نقطة النهاية. أنت بحاجة إلى رؤية عبر النطاقات لأنه، في أحسن الأحوال، لديك حوالي 29 دقيقة لإيقاف هذه الانتهاكات”.
لقد شاهد مايك ريمر، رئيس قسم تكنولوجيا المعلومات في شركة Ivanti، هذا الانفصال يتكشف على مدار عقدين من النماذج المتغيرة. قال ريمر لـ VentureBeat: “أنا لا أعرفك حتى أتحقق منك. وإلى أن أعرف ما هو ومن هو الموجود على الطرف الآخر من لوحة المفاتيح، لن أتواصل معه حتى يعطوني الفرصة لفهم من هو”.
يتعلق هذا السؤال مباشرة بجلسة ما بعد المصادقة. إذا استخدم المهاجمون الذكاء الاصطناعي لاختلاق هوية تمسح MFA، فسيحتاج المدافعون إلى الذكاء الاصطناعي لمراقبة النشاط الإضافي لتلك الهوية. وجهة نظر Riemer الأوسع هي أن وضع محيط أمني في موقع حدث تسجيل دخول واحد يشجع أي مهاجم يفتح تلك البوابة للسيطرة على المنزل.
نوفمبر أغلق الفجوة. معظم الشركات لم تبدأ عملياتها بعد.
وقال فيليبس لـ VentureBeat: “هذا يمنحنا بوابة لإنفاذ السياسة الأمنية. يمكن للمستخدمين والمهاجمين على شبكة مسطحة استخدام الرموز المميزة لجلسة الهوية المسروقة، ولكن في بوابات الثقة المعدومة، يتم فرض الوصول المشروط وإعادة التحقق من الثقة”.
قامت NOV بتقصير عمر الرمز المميز، وإنشاء وصول مشروط يتطلب شروطًا متعددة، وفرض الفصل بين الواجبات بحيث لا يتمكن أي شخص أو حساب خدمة واحد من إعادة تعيين كلمة المرور، أو تجاوز الوصول متعدد العوامل، أو تجاوز الوصول المشروط. وقال فيليبس لـ VentureBeat: “لقد قمنا بتحديد عدد الأشخاص الذين يمكنهم إجراء عمليات إعادة تعيين كلمة المرور أو إعادة التعيين متعدد العوامل بشكل كبير. ولا ينبغي لأحد أن يتمكن من تجاوز عمليات التحقق هذه”. لقد طبقوا الذكاء الاصطناعي استنادًا إلى سجلات SIEM لتحديد الحوادث في الوقت الفعلي تقريبًا، وأطلقوا شركة ناشئة خصيصًا لإنشاء إلغاء سريع للرمز المميز لأهم أصولهم.
أبلغت شركة Philips أيضًا عن وجود فجوة في سلسلة الثقة التي تتجاهلها معظم الفرق. وقال لـ VentureBeat: “نظرًا لأنه لا يمكن الوثوق بالصوت أو الصورة أو حتى أساليب الكتابة بفضل التقدم في الذكاء الاصطناعي، يتعين عليك إما مشاركة الأسرار أو أن تكون قادرًا على تأكيد سؤال لا يعرفه أحد سواك وهم يعرفونه”. إذا كانت الاستجابة للحادث تتضمن مكالمة هاتفية أو رسالة Slack DM لتأكيد الحساب المخترق، فيمكن للمهاجمين الذين يستخدمون رسالة صوتية أو نصية مخادعة أيضًا استغلال قناة التأكيد هذه.
ثمانية أشياء للقيام بها هذا الأسبوع
لقد أثبت نوفمبر أن هذه الفجوات يمكن سدها. إليك ما يجب تحديد أولوياته.
-
احصل على تقرير مدى الحياة للرمز المميز لكل حساب مميز وحساب خدمة ومفتاح واجهة برمجة التطبيقات. تقليل الرموز المميزة للجلسة التفاعلية إلى ساعات بدلاً من أيام. ضع بيانات اعتماد حساب الخدمة الخاص بك على جدول زمني محدد للتناوب. مفاتيح واجهة برمجة التطبيقات (API) التي ليس لها تاريخ انتهاء صلاحية هي دعوات مفتوحة لا تُغلق أبدًا.
-
قم بإجراء تمرين إلغاء الجلسة تحت النار. هذه ليست إعادة تعيين كلمة المرور. جلسة قتل. وقت. إذا لم يتمكن فريقك من تذكر جلسة مباشرة تم اختراقها في أقل من خمس دقائق، فهذه هي الثغرة الأمنية التي سيستغلها المهاجم لأول مرة بعد 27 ثانية من بدء السباق. NOV لم يستطع فعل ذلك أيضًا. لقد جلبوا موارد مخصصة وبنوا القدرات من الألف إلى الياء.
-
رسم خريطة لجميع القياسات عن بعد عبر المجال. يجب أن يكون المحلل الفردي قادرًا على ربط شذوذ الهوية في خدمة الدليل بتسجيل الدخول إلى منصة التحكم السحابية وعلامة سلوكية لنقطة النهاية دون الحاجة إلى تبديل وحدات التحكم. إذا كان سير العمل هذا يتطلب أربع لوحات معلومات وسلسلة رسائل Slack، فإن استراحة مدتها 29 دقيقة ستكون الأفضل بالنسبة لك في كل مرة.
-
قم بتوسيع تطبيق الوصول المشروط إلى ما بعد الباب الأمامي. يجب أن يؤدي كل تصعيد للامتيازات وكل طلب لمورد حساس إلى إعادة التحقق. يجب أن تؤدي الهوية التي تتم مصادقتها في هيوستن وتغادر بوخارست بعد 20 دقيقة إلى تشغيل المصادقة المتداولة تلقائيًا أو إنهاء الجلسة.
-
استبدل الرسائل النصية القصيرة وMFA المستندة إلى الدفع بمصادقة FIDO2 وكلمة مرور مقاومة للتصيد الاحتيالي حيثما أمكن ذلك. كل إشعار دفع يمكن للمهاجم أن يقصفه هو جلسة يمكنه سرقتها. ويظل هذا أرخص ترقية تسد الفجوة الأكبر.
-
التحكم في الفصل بين الواجبات في سير عمل الهوية. إذا تمكن شخص واحد أو حساب خدمة واحد من إعادة تعيين بيانات الاعتماد، والموافقة على الوصول المميز، وتجاوز MFA، فهذه نقطة فشل واحدة سيجدها المهاجمون. لقد ألغى NOV هذا التكوين.
-
إنشاء بروتوكول للتحقق من الحوادث خارج النطاق باستخدام الأسرار المشتركة مسبقًا. إذا كان فريقك لا يزال يؤكد الحسابات المخترقة عبر مكالمة هاتفية أو رسالة Slack، فإن الرسائل الصوتية والنصية المخادعة يمكن أن تعرض هذه القناة للخطر أيضًا. قم ببناء البروتوكول قبل أن تحتاج إليه.
-
قم بإنشاء بند ميزانية مخصص لإدارة طبقة الهوية. تتطلب إدارة الجلسة وإدارة دورة حياة الرمز المميز والتحقق المستمر من الهوية والمعايير مثل CAEP وإطار عمل الإشارات المشتركة مالكًا واحدًا بميزانية واحدة. إذا لم يكن هذا المالك موجودًا، فهذا يعني أن المهاجمين يمتلكون الثغرة الأمنية بالفعل.
انتقل فريق Philips من اكتشاف أنه من المستحيل إنهاء جلسة مخترقة إلى معارضة الإبطال السريع للرمز المميز في ظل ظروف الهجوم الحقيقية. لقد قاموا بتقليل عمر الرمز المميز، والقضاء على عمليات إعادة تعيين بيانات الاعتماد لشخص واحد، وتنفيذ تحليل السجل المدعوم بالذكاء الاصطناعي، وإنشاء ميزة إلغاء مخصصة لأهم أصولهم. استغرق هذا التحول أشهرا وليس سنوات.
الثغرة التي أغلقتها NOV موجودة في كل المؤسسات تقريبًا التي تتعامل مع المصادقة كخط نهاية وليس كسلاح بداية. وقد أوضحت شركة Philips الأمر بوضوح: “لم تعد إعادة تعيين كلمة المرور كافية. ولإيقاف الحركة الجانبية، يجب إبطال الرموز المميزة للجلسة على الفور.” وجد فريقه الجواب. والسؤال الذي يطرحه كل رئيس أمناء أمن آخرين هو ما إذا كانوا سيجدون هذه الثغرة الأمنية بشروطهم الخاصة، أو ما إذا كان المهاجم الذي يتحرك خلال 27 ثانية سيجدها لهم.
-1.png "من العيادات الريفية إلى التعافي عن بعد: كيف تعمل الرعاية الصحية عن بعد على تحويل الرعاية الصحية الأمريكية")
:quality(85):upscale()/2026/06/04/935/n/49352476/23d3ab8d6a21ed823e4fa3.93673033_.png "أفضل مجموعات كأس العالم 2026، من مستحضرات العناية بالبشرة إلى ملابس الشارع")
