أساليب إساءة استخدام بيانات الاعتماد تتصدر قائمة أكثر أساليب المجرمين السيبرانيين فعالية
أظهر تقرير عالمي حديث أعدّته خدمات كاسبرسكي الأمنية (Kaspersky Security Services) أن تخمين كلمات المرور واستغلال الحسابات الشرعية يُعدّان من أنجح الأساليب التي استخدمها المجرمون السيبرانيون في عام 2025. ويشير هذا الأمر إلى تغير في نهج المجرمين؛ إذ يتجنبون الهجمات المعتمدة على البرمجيات الخبيثة التي تُطلق إنذارات أمنية واضحة على الأجهزة الطرفية، مفضلين الاعتماد على الوصول المشروع كوسيلة أكثر فعالية للتخفي وتجاوز آليات الكشف.
يُعد تقرير «تشريح العالم السيبراني» (Anatomy of a Cyber World) تقريراً عالمياً متعمقاً يستند إلى البيانات التي جمعتها كاسبرسكي من خدمات الاكتشاف والاستجابة المُدارة (MDR)، والاستجابة للحوادث (IR)، وتقييم الاختراقات، واستشارات مركز العمليات الأمنية (SOC) خلال عام 2025. ويتناول التقرير أكثر الأساليب والأدوات وحالات الرصد شيوعاً لدى الجهات المهاجمة، كما يبرز السمات الفريدة للحوادث المكتشفة.
وبحسب ما ورد في التقرير، فإن قسماً كبيراً من أساليب الهجوم التي يتم رصدها بشكل متكرر يتمحور حول استغلال بيانات الاعتماد وأنظمة إدارة الهوية. ويستعرض هذا التحليل، الذي يتناول معدلات التحويل* الخاصة بمختلف مؤشرات الهجوم (IoA)، أكثر الأساليب انتشاراً لدى المجرمين السيبرانيين، وتشمل:
تخمين كلمات المرور (34.8%): يقوم المهاجمون في هذه الآلية بتجربة عدد كبير من كلمات المرور المحتملة بصورة منظمة حتى ينجحوا في اختراق حساب ما. وتتصدر هذه الطريقة قائمة التحويل، نظراً لانتشارها في الهجمات الحقيقية وكذلك في التقييمات الأمنية المعتمدة؛ مما يجعلها تهديداً مستمراً في مشهد الأمن السيبراني الحالي. كما أن استخدام كلمات مرور ضعيفة أو مكررة داخل المؤسسات ما يزال عاملاً رئيسياً في إنجاح هذه الآلية التقليدية.
إنشاء حسابات محلية (34.7%): بعد اختراق النظام، يعمد المهاجمون في كثير من الأحيان إلى إنشاء حسابات محلية جديدة للحفاظ على وصول دائم حتى في حال اكتشاف نقطة الدخول الأولية وتعطيلها. ورغم إمكانية رصد هذه التقنية خلال التقييمات الأمنية، إلا إن اكتشافها الفعلي يعتمد على توفر بيانات القياس عن بُعد المناسبة، وهي في الغالب لا تكون متاحة.
إساءة استخدام الحسابات الموثوقة (34.5%): يعتمد المهاجمون في هذه الآلية على استخدام بيانات دخول مسروقة أو تم اختراقها سابقاً ويتصرفون كالمستخدمين العاديين داخل النظام. وهذه الطريقة تعقد عمليات الرصد بشكل ملحوظ لأن النشاط يبدو مشروعاً. ويؤكد معدل التحويل المرتفع على أن اختراق بيانات الاعتماد يظل أحد أخطر أساليب الهجوم السيبراني.
التلاعب بالحسابات (32%): يعمد المهاجمون إلى إجراء تعديلات على الحسابات الموجودة بهدف توسيع صلاحياتهم، مثل إعادة تفعيل الحسابات غير النشطة، أو تعديل عضويات المجموعات، أو رفع مستويات الصلاحيات. ويبرز هذا السلوك نمطاً متقدماً لدى المهاجمين يقوم على تعزيز السيطرة باستخدام الموارد المتاحة داخل النظام بدلاً من الاعتماد على أدوات خارجية جديدة.
اكتشاف خدمات الشبكة (31.2%): قبل الانتقال إلى مراحل أعمق داخل الشبكة، يلجأ المهاجمون غالباً إلى استكشاف المنافذ والخدمات المفتوحة القابلة للوصول. وتمثل هذه المرحلة الاستطلاعية إشارة واضحة على احتمالية حدوث تحركات جانبية والتوسع في الاستغلال لاحقاً. ويُعد رصد هذا السلوك في وقت مبكر عنصراً حاسماً يمكّن فرق الأمن السيبراني من التدخل في الوقت المناسب والحد من توسع التهديد.
يصنف هذا التقرير أساليب المهاجمين وفقاً لمدى تكرار الأنشطة التي تم رصدها والتي أدت في النهاية إلى حوادث خبيثة مؤكدة. ويشير خبراء كاسبرسكي، إلى أنه رغم شمولية إطار MITRE ATT&CK® لعدد كبير من أساليب الهجوم، إلا إن نجاعة الكشف ترتبط بتركيز الجهود على السلوكيات ذات الاحتمالية الأعلى لارتباطها بنشاط ضار، مع الحد من الإنذارات الكاذبة.
ويقول سيرجي سولداتوف، رئيس مركز العمليات الأمنية لدى كاسبرسكي: «لا يحتاج المهاجمون في كثير من الأحيان إلى برمجيات خبيثة معقدة لتحقيق أهدافهم. إذ تُعد الأدوات الإدارية المشروعة والحسابات المخترقة من أسرع وأكثر الوسائل فعالية للتنقل داخل شبكات المؤسسات مع تجنب الكشف الأمني. ويبرز الانتشار المستمر لهذا الأسلوب الحاجة إلى رؤية معمقة لسلوك المهاجمين، إضافة إلى القدرة على ربط الأنشطة المشبوهة عبر مراحل الهجوم المختلفة. ولمواجهة هذه التحديات، يمكن للمؤسسات تعزيز أمنها باستخدام بعض حلولنا الأمنية مثل: الاكتشاف والاستجابة المدارة، والاستجابة للحوادث، اللذين يغطيان دورة إدارة الحوادث بشكل كامل من اكتشاف التهديدات وحتى الحماية المستمرة والمعالجة.»
يمكنكم التعرّف بشكل أعمق على أساليب وتقنيات المهاجمين، وخصائص الحوادث المكتشفة ومدى انتشارها حسب المناطق والقطاعات، من خلال مراجعة التقرير الكامل الذي أعدّته كاسبرسكي.
*يشير مصطلح التحويل (conversion) إلى النسبة بين عدد التنبيهات التي ثبتت صحتها كإنذارات حقيقية، وبين إجمالي التنبيهات الخاصة بآلية محددة ضمن إطار MITRE ATT&CK.