كشفت دراسة حديثة عن ثغرة أمنية كبرى في كيفية تعامل الشركات مع تنبيهات الأمن الرقمي، حيث يتم تجاهل تهديدات حقيقية بمعدل تهديد واحد أسبوعياً بسبب تصنيفها كمنخفضة الخطورة.
وفقاً لتقرير تيكبامين، فإن المؤسسات الأمنية في الشركات الكبرى باتت تتبع ممارسة خطيرة تتمثل في تجاهل التنبيهات التي لا تظهر كخطيرة للوهلة الأولى. هذا الاستنتاج جاء بعد تحليل ضخم شمل أكثر من 25 مليون تنبيه أمني في بيئات مؤسسية حقيقية، مما كشف عن فجوات برمجية يستغلها المهاجمون بشكل منهجي.
لماذا تتجاهل الشركات تهديدات الأمن الرقمي الحقيقية؟
تعتمد فرق الاستجابة للحوادث على تصنيف التهديدات بناءً على شدتها لتوفير الوقت والجهد، ولكن هذا النظام يخلق فجوات يمكن للمهاجمين استغلالها بسهولة. المهاجمون يدركون أن الفرق الأمنية مثقلة بالعمل، لذا يقومون بتنفيذ عملياتهم تحت رادار التنبيهات "منخفضة الخطورة".
بيانات ضخمة تكشف الحقيقة
اعتمد هذا التحليل على مجموعة بيانات هائلة شملت الجوانب التالية:
- مراقبة 10 ملايين نقطة نهاية (Endpoints) وهويات رقمية.
- إجراء 82 ألف تحقيق جنائي رقمي يشمل مسح الذاكرة الحية.
- تحليل 180 مليون ملف وفحص telemetry من 7 ملايين عنوان IP.
- فحص 3 ملايين نطاق (Domains) وعناوين URL.
- تحليل أكثر من 550 ألف رسالة تصيد إلكتروني.
مشكلة الـ 1%: خطر يتراكم أسبوعياً
أظهر تحليل 25 مليون تنبيه أن ما يقرب من 1% من الحوادث المؤكدة بدأت كتنبيهات تم تصنيفها في البداية على أنها "منخفضة الخطورة" أو "إعلامية" فقط. وعلى صعيد نقاط النهاية بشكل خاص، ارتفعت هذه النسبة لتصل إلى 2%، وهو ما يمثل خطراً داهماً يتسلل بصمت.
في تيكبامين، نجد أن هذه الأرقام ليست مجرد ضوضاء إحصائية؛ فالمؤسسة المتوسطة تولد حوالي 450 ألف تنبيه سنوياً. نسبة 1% تعني وجود 54 تهديداً حقيقياً كل عام، أي بمعدل تهديد واحد أسبوعياً لا يتم التحقيق فيه أبداً بسبب قيود الميزانية والوقت، مما يجعل التسلل أمراً ممكناً دون إطلاق أي إنذار عالي الخطورة.
هل يمكن الوثوق في أنظمة EDR لتأمين الأجهزة؟
تتحدى النتائج المتعلقة بنقاط النهاية افتراضاً أساسياً في معظم برامج الأمن، وهو أن معالجة أنظمة EDR (كشف واستجابة نقاط النهاية) للتهديدات تعني أن الجهاز أصبح نظيفاً تماماً. الواقع أثبت أن المهاجمين يطورون أساليبهم لتجاوز هذه الطبقات الأمنية التقليدية.
نتائج صادمة من مسح الذاكرة الحية
كشفت التحقيقات الجنائية التي شملت مسح الذاكرة عن حقائق مقلقة تضعف الثقة في الحلول المؤتمتة بالكامل:
- من بين 82 ألف تنبيه خضع لمسح الذاكرة، وُجدت 2600 إصابة نشطة.
- أكثر من 51% من هذه الأجهزة المصابة كانت قد صُنفت كـ "تمت معالجتها" (Mitigated) من قبل نظام EDR.
- أغلقت الأدوات الأمنية التذاكر وأعلنت زوال الخطر، بينما كانت الإصابة لا تزال نشطة ومختفية في الذاكرة.
- بدون مسح الذاكرة الحية، تظل هذه التهديدات غير مرئية تماماً للأنظمة التقليدية.
كيف تحمي مؤسستك من التهديدات المتخفية؟
إن الاعتماد الكلي على الأدوات الآلية دون إجراء تحليلات جنائية عميقة للذاكرة يترك المؤسسات عرضة للاختراق. المهاجمون يختبئون في الفئات التي تدربت فرق العمليات على تجاهلها، مما يستدعي تغييراً جذرياً في استراتيجيات الدفاع السيبراني.
في النهاية، يظل الأمن الرقمي عملية مستمرة تتطلب يقظة تتجاوز مجرد الاعتماد على الإشعارات التلقائية، فالمخاطر الحقيقية غالباً ما تختبئ خلف أهدأ التنبيهات وأقلها ضجيجاً.
