تقرير Mandiant M-Trends 2026: المهاجمون يسلّمون الوصول خلال 22 ثانية والاستغلال يسبق التصحيح بأسبوع

أصدرت Mandiant (ذراع Google لاستخبارات التهديدات) تقريرها السنوي M-Trends 2026 المبني على أكثر من 450,000 ساعة تحقيق في حوادث سيبرانية حقيقية، وكشف التقرير عن تحوّل جذري في سلوك المهاجمين: الاستغلال يسبق التصحيح بأسبوع كامل، وتسليم الوصول بين المجموعات يتم خلال 22 ثانية فقط، فيما تتصاعد هجمات "منع التعافي" التي تستهدف البنية التحتية للنسخ الاحتياطي ذاتها.

الاستغلال يسبق التصحيح: نهاية نموذج "الترقيع أولاً"

للعام السادس على التوالي، تصدّر استغلال الثغرات قائمة نواقل الاختراق الأولي بنسبة 32% من جميع التحقيقات. لكن المفاجأة الأكبر تكمن في أن متوسط زمن الاستغلال انخفض إلى ما يعادل سالب 7 أيام — أي أن المهاجمين يستغلون الثغرات قبل أن يصدر البائع تصحيحاً لها بأسبوع كامل. هذا يعني أن النموذج التقليدي القائم على "رصد التصحيح ثم تطبيقه" أصبح غير كافٍ، وأن المؤسسات بحاجة إلى استراتيجية دفاعية استباقية لا تعتمد حصرياً على التحديثات.

أبرز الثغرات المستغلة في 2025 كانت جميعها ثغرات يوم صفر تستهدف خوادم التطبيقات المؤسسية المكشوفة على الإنترنت، مثل SAP NetWeaver (CVE-2025-31324) التي سمحت لمهاجمين غير مصادقين بتنفيذ كود عن بُعد. هذا النمط يؤكد أن الأجهزة الطرفية والخوادم المواجهة للإنترنت هي الحلقة الأضعف في معظم المؤسسات.

22 ثانية لتسليم الوصول: اقتصاد الجريمة السيبرانية المتسارع

وثّق التقرير ظاهرة مقلقة تتمثل في أن مجموعات الاختراق تسلّم الوصول المبدئي لشركائها (سواء مشغّلي برمجيات الفدية أو وسطاء الوصول) خلال 22 ثانية فقط من لحظة الاختراق. هذا التسليم الآلي يعني أن نافذة الاستجابة للحوادث تقلّصت بشكل غير مسبوق، وأن فرق مركز العمليات الأمنية (SOC) لم تعد تملك ساعات أو أياماً للتحقيق قبل أن يتصاعد الهجوم.

هذا التسارع يعكس تحوّل الجريمة السيبرانية إلى نموذج صناعي منظّم، حيث يتخصص كل طرف في مرحلة محددة: فريق يخترق، وآخر يستلم الوصول، وثالث ينشر برمجية الفدية أو يسرق البيانات. النتيجة: هجمات أسرع وأكثر تنسيقاً من أي وقت مضى.

هجمات منع التعافي: استهداف خطط استمرارية الأعمال

رصد M-Trends 2026 تحوّلاً استراتيجياً لدى مجموعات الفدية نحو ما يسمّى "إنكار التعافي" (Recovery Denial)، وهو استهداف متعمّد للبنية التحتية التي تحتاجها المؤسسة للتعافي من الهجوم. يشمل ذلك تشفير أو حذف النسخ الاحتياطية، تعطيل أنظمة التعافي من الكوارث (DR)، وإتلاف سجلات التدقيق لإعاقة التحقيق الجنائي الرقمي.

هذا التكتيك يضاعف الضغط على الضحية لدفع الفدية، لأنه يُلغي البديل الأساسي: استعادة الأنظمة من النسخ الاحتياطية. المؤسسات التي لا تملك نسخاً احتياطية معزولة (Air-Gapped Backups) ومختبرة بانتظام تجد نفسها أمام خيارين فقط: الدفع أو إعادة بناء كل شيء من الصفر.

التصيّد الصوتي والذكاء الاصطناعي: نواقل هجوم متصاعدة

قفز التصيّد الصوتي (Vishing) إلى المرتبة الثانية في نواقل الإصابة الأولية بنسبة 11% من التحقيقات، وبلغ 23% في الاختراقات المتعلقة بالبيئات السحابية تحديداً. المهاجمون يتصلون بموظفي الدعم الفني أو مسؤولي تقنية المعلومات منتحلين صفة موظفين شرعيين، ويستخدمون تقنيات التزييف الصوتي بالذكاء الاصطناعي لجعل المكالمات أكثر إقناعاً.

كما وثّق التقرير استخدام عائلات برمجيات خبيثة مثل PROMPTFLUX وPROMPTSTEAL التي تستعلم نماذج اللغة الكبيرة (LLMs) أثناء التنفيذ لدعم تقنيات التهرّب من أنظمة الكشف. هذا يمثل بداية حقبة جديدة حيث لا يستخدم المهاجمون الذكاء الاصطناعي فقط في التحضير، بل يدمجونه في البرمجيات الخبيثة ذاتها.

التأثير على المؤسسات المالية السعودية

نتائج M-Trends 2026 تحمل دلالات مباشرة للمؤسسات الخاضعة لرقابة مؤسسة النقد العربي السعودي (SAMA). إطار SAMA CSCC يُلزم المؤسسات بتطبيق إدارة الثغرات الاستباقية (القسم 3.3.3)، وصيانة قدرات الاستجابة للحوادث (القسم 3.3.8)، وحماية النسخ الاحتياطية وخطط استمرارية الأعمال (القسم 3.3.12). مع تقلّص نافذة الاستغلال إلى ما قبل صدور التصحيحات، فإن المؤسسات التي تعتمد فقط على دورة تحديثات شهرية تتعرّض لمخاطر متزايدة.

كذلك، يتطلب إطار NCA ECC (الضوابط الأساسية للأمن السيبراني) تطبيق مراقبة مستمرة وقدرات كشف متقدمة. ومع انتشار هجمات منع التعافي، يصبح اختبار خطط التعافي من الكوارث واستمرارية الأعمال (BCP/DR) ضرورة تشغيلية وليس مجرد متطلب تنظيمي. نظام حماية البيانات الشخصية (PDPL) أيضاً يفرض التزامات إضافية في ظل تصاعد سرقة البيانات كتكتيك ابتزاز مزدوج.

التوصيات والخطوات العملية

1. تبنّي نموذج "الافتراض بالاختراق" (Assume Breach): لا تعتمد على التصحيحات وحدها. طبّق تقسيم الشبكة (Microsegmentation)، وقيّد الحركة الجانبية، ونفّذ مبدأ أقل الصلاحيات بصرامة.
2. تطبيق نسخ احتياطية معزولة ومختبرة: احتفظ بنسخ احتياطية Air-Gapped لا يمكن الوصول إليها من الشبكة المؤسسية، واختبر عملية الاستعادة ربع سنوياً على الأقل وفق متطلبات SAMA CSCC.
3. تقليص زمن الاستجابة إلى ثوانٍ: استثمر في أدوات SOAR (التنسيق والأتمتة والاستجابة الأمنية) لأتمتة الاستجابة الأولية، فمع تسليم الوصول في 22 ثانية لم يعد التحقيق اليدوي كافياً.
4. تدريب الموظفين على التصيّد الصوتي: أضف سيناريوهات Vishing إلى برنامج التوعية الأمنية، مع التركيز على موظفي مكتب المساعدة والدعم الفني الذين يملكون صلاحيات إعادة تعيين كلمات المرور.
5. مراقبة الأصول المكشوفة على الإنترنت: نفّذ مسحاً مستمراً لسطح الهجوم الخارجي (External Attack Surface Management) لاكتشاف الخوادم والتطبيقات المكشوفة قبل أن يصل إليها المهاجمون.
6. تقييم نضج برنامج استخبارات التهديدات: تأكد من أن فريقك يتابع نشرات الثغرات ومؤشرات الاختراق (IoCs) من مصادر مثل Mandiant وCISA KEV وNCA بشكل يومي، لا أسبوعي.

الخلاصة

تقرير M-Trends 2026 يرسم صورة واضحة: الجريمة السيبرانية أصبحت صناعة متخصصة تعمل بسرعة تفوق قدرة معظم المؤسسات على الاستجابة. الاستغلال قبل التصحيح، والتسليم الآلي للوصول، واستهداف قدرات التعافي — كلها تكتيكات تتطلب إعادة تقييم جذرية لاستراتيجيات الدفاع السيبراني في القطاع المالي السعودي. المؤسسات التي تتمسك بالنهج التقليدي القائم على التصحيح الدوري والاستجابة اليدوية تُراهن على وقت لم يعد موجوداً.

هل مؤسستك مستعدة لمواجهة هذا المشهد المتسارع؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC واختبار جاهزية خطط التعافي من الكوارث.