المحيط تلاشى. الهوية بقيت.
في نموذج الأمان التقليدي، كان محيط الشبكة بمثابة سور القلعة. كانت جدران الحماية (Firewalls) تفصل الشبكة الداخلية الموثوقة عن الإنترنت غير الآمن. إذا كنت داخل السور — متصلاً بالشبكة المحلية للشركة، مُصادقاً على النطاق — فأنت موثوق.
هذا النموذج مات. الحوسبة السحابية (Cloud Computing) نقلت التطبيقات خارج المحيط. العمل عن بُعد نقل المستخدمين خارج المحيط. البرمجيات كخدمة (SaaS) نقلت البيانات خارج المحيط. الأجهزة المحمولة وواجهات برمجة التطبيقات (APIs) والاتصالات بين الأجهزة والتكاملات مع أطراف ثالثة تعني أنه لم يعد هناك “داخل” و”خارج”. محيط الشبكة أصبح في كل مكان ولا مكان.
ما تبقى هو الهوية. كل طلب وصول — سواء من مستخدم بشري أو حساب خدمة أو مفتاح API أو سير عمل مؤتمت — يبدأ بسؤال “من أنت وماذا يُسمح لك أن تفعل؟”. إدارة الهوية والوصول (Identity and Access Management – IAM) لم تعد وظيفة مساندة ضمن الأمن السيبراني. إنها مستوى التحكم الرئيسي.
الأرقام تؤكد هذا التحول. وفقاً لـتقرير التهديدات العالمي 2025 من CrowdStrike، 79% من اكتشافات الهجمات السيبرانية كانت بدون برمجيات خبيثة — اعتمد المهاجمون على إساءة استخدام بيانات الاعتماد وتقنيات التحكم اليدوي بدلاً من نشر البرمجيات الخبيثة. ووجد تقرير Verizon DBIR 2025 أن إساءة استخدام بيانات الاعتماد كانت المتجه الرئيسي للوصول الأولي، مسؤولة عن 22% من الاختراقات، بينما 88% من اختراقات تطبيقات الويب الأساسية تضمنت بيانات اعتماد مسروقة. نشاط وسطاء الوصول (Access Brokers) — السوق السوداء حيث تُباع بيانات الاعتماد المسروقة — قفز بنسبة 50% على أساس سنوي في 2024. أكثر متجهات الوصول الأولي شيوعاً — التصيد الاحتيالي وحشو بيانات الاعتماد واختطاف الجلسات وهجمات إرهاق المصادقة متعددة العوامل — تستهدف جميعها الهوية.
سطح هجوم الهوية
تقدم البنية التحتية الحديثة للهوية أسطح هجوم متعددة:
اختراق بيانات الاعتماد
أبسط هجمات الهوية: سرقة أسماء المستخدمين وكلمات المرور. أكثر من 24 مليار بيان اعتماد مسروق كانت متداولة في أسواق الويب المظلم وفقاً لبحث Digital Shadows (الآن ReliaQuest) في 2022، وهذا الرقم استمر في النمو مع تصاعد برمجيات سرقة المعلومات. سرقت برمجيات Infostealers (مثل Redline وRaccoon وLumma وVidar) 1.8 مليار بيان اعتماد في 2025 وحده، مستخرجة إياها من المتصفحات ومديري كلمات المرور ومخازن التطبيقات إلى خوادم القيادة والتحكم حيث تُباع بالجملة.
وجد تقرير Verizon DBIR 2025 أن 49% فقط من كلمات مرور المستخدم عبر الخدمات المختلفة كانت فريدة — مما يعني أن النصف يُعاد استخدامه. إعادة استخدام كلمات المرور تضاعف التأثير: عندما تُختبر بيانات الاعتماد المسروقة من اختراق واحد على خدمات أخرى (حشو بيانات الاعتماد – Credential Stuffing)، تتراوح معدلات النجاح بين 0.5% و2%، مما يعني أن تسريب مليون بيان اعتماد يُنتج 5,000 إلى 20,000 تسجيل دخول ناجح على خدمات غير مرتبطة. الحجم اليومي المتوسط لحشو بيانات الاعتماد يمثل الآن 19% من جميع محاولات المصادقة في المؤسسات الكبرى.
تجاوز المصادقة متعددة العوامل
كان من المفترض أن تحل المصادقة متعددة العوامل (Multi-Factor Authentication – MFA) مشكلة اختراق بيانات الاعتماد. لقد ساعدت — لكنها لم تحلها. طوّر المهاجمون تقنيات متعددة لتجاوز MFA:
- تصيد AiTM (الخصم في المنتصف – Adversary-in-the-Middle): يعترض رموز الجلسة بعد إكمال المستخدم لـ MFA، مما يجعله بلا فائدة
- إرهاق MFA / قصف الإشعارات (Push Bombing): يرسل إشعارات MFA متكررة حتى يوافق المستخدم على واحدة بدافع الإحباط أو الارتباك
- تبديل شريحة SIM (SIM Swapping): يُقنع شركة الاتصالات بنقل رقم هاتف الضحية إلى شريحة SIM المهاجم، معترضاً رموز MFA عبر الرسائل القصيرة
- الهندسة الاجتماعية (Social Engineering): تستهدف مكاتب المساعدة التقنية لإعادة تعيين MFA لصالح المهاجم (التقنية المستخدمة في اختراق MGM Grand من قبل Scattered Spider في 2023)
- التصيد الصوتي (Vishing): قفز بنسبة 442% بين النصف الأول والثاني من 2024 وفقاً لـ CrowdStrike، حيث حققت رسائل التصيد المُولّدة بالذكاء الاصطناعي التوليدي (GenAI) معدل نقر 54% مقارنة بـ 12% فقط للرسائل المُولّدة بشرياً
هجمات الرموز والجلسات
بعد المصادقة، يتلقى المستخدمون رموز جلسة (Session Tokens) تمنح وصولاً مستمراً دون إعادة المصادقة. هذه الرموز — المخزنة في المتصفحات والتطبيقات والخدمات السحابية — تُستهدف بشكل متزايد:
- هجمات Pass-the-cookie: تسرق ملفات تعريف ارتباط الجلسة من المتصفح عبر النقاط الطرفية (عبر برمجيات خبيثة أو وصول فعلي) وتُعيد تشغيلها على أجهزة يتحكم بها المهاجم
- سرقة الرموز (Token Theft): تستخرج رموز OAuth أو رموز التحديث من التطبيقات المخترقة
- Golden SAML: تُزوّر تأكيدات SAML باستخدام شهادات توقيع مسروقة، مما يسمح للمهاجمين بإنشاء رموز مصادقة صالحة لأي مستخدم (التقنية المستخدمة في هجوم SolarWinds)
انتشار هويات الآلات
الهويات البشرية ليست سوى جزء من المشكلة. وفقاً لاستطلاع CyberArk 2025 حول مشهد أمن الهوية، تفوق هويات الآلات الآن الهويات البشرية بنسبة 82 إلى 1. حسابات الخدمة ومفاتيح API والشهادات والأسرار والهويات المُدارة وهويات أحمال العمل (Workload Identities) انفجرت: نمت هويات الآلات من حوالي 50,000 لكل مؤسسة في 2021 إلى 250,000 في 2025 — بزيادة 400%، بينما نمت الهويات البشرية بنسبة 16% فقط.
هويات الآلات أصعب في الإدارة: غالباً ما تمتلك صلاحيات مفرطة، ونادراً ما يتم تدويرها، وتُشارك بين الفرق، ولا تخضع لنفس إدارة دورة الحياة (الانضمام والمغادرة) كالهويات البشرية. ومع ذلك، لا تزال 88% من المؤسسات تُعرّف الهويات البشرية فقط كـ “مستخدمين مميزين”، رغم أن الآلات تملك معدلات وصول حساسة أعلى. مفتاح API مُسرّب في مستودع GitHub يمكن أن يوفر وصولاً مستمراً للبنية التحتية السحابية لأشهر أو سنوات قبل اكتشافه.
إعلان
IAM: مستوى التحكم
إدارة الهوية والوصول (IAM) هي النظام الذي يدير من (الهوية) يمكنه فعل ماذا (الوصول) على أي موارد (التخويل). بلغ سوق IAM العالمي حوالي 23 إلى 26 مليار دولار في 2025 ومن المتوقع أن يتجاوز 42 مليار دولار بحلول 2030. تشمل منصات IAM الحديثة:
Microsoft Entra ID (المعروف سابقاً بـ Azure Active Directory) هو منصة IAM السحابية المهيمنة، يدير الهويات لـ Microsoft 365 وAzure وآلاف تطبيقات SaaS المتكاملة. يوفر Entra ID تسجيل الدخول الموحد (SSO) وسياسات الوصول المشروط وحوكمة الهوية وإدارة الهوية المميزة.
Okta هي منصة IAM المستقلة الرائدة، توفر SSO وMFA التكيفي لبيئات السحابة المتعددة وSaaS. تكمن قوة Okta في اتساع تكاملاتها — أكثر من 7,000 موصل تطبيقات جاهز. (تعرضت Okta نفسها لاختراق عبر نظام الدعم الخاص بها في أكتوبر 2023 — أعلنت في البداية أن 1% من العملاء تأثروا، ثم أكدت لاحقاً أن بيانات جميع مستخدمي نظام الدعم تم الوصول إليها، مما يؤكد أن مزودي IAM هم أهداف عالية القيمة.)
Google Cloud Identity وAWS IAM يوفران إدارة الهوية لمنصاتهما السحابية المعنية، مع تقديم Google أيضاً Cloud Identity كخدمة دليل مستقلة.
Ping Identity متخصصة في IAM المؤسسي للبيئات المعقدة (الخدمات المالية، الرعاية الصحية) التي تتطلب إدارة هوية محلية ومختلطة.
انعدام الثقة والتقييم المستمر للوصول
يستبدل نموذج أمان انعدام الثقة (Zero Trust) الثقة الضمنية (أنت على الشبكة، إذاً أنت موثوق) بالتحقق المستمر. يتم تقييم كل طلب وصول بناءً على:
- الهوية — من يطلب الوصول؟ هل الحساب مخترق؟
- الجهاز — هل الجهاز مُدار ومتوافق وسليم؟
- الموقع — هل الطلب من موقع متوقع؟
- درجة المخاطر — بناءً على التحليلات السلوكية، هل هذا الطلب غير طبيعي؟
- حساسية البيانات — هل المورد المطلوب حساس بما يكفي لتتطلب تحققاً إضافياً؟
بروتوكول التقييم المستمر للوصول (Continuous Access Evaluation Protocol – CAEP) يمتد بهذا المنطق إلى ما بعد المصادقة الأولية. بدلاً من منح رمز جلسة صالح لساعات أو أيام، يُمكّن CAEP من الإلغاء شبه الفوري — إذا خرج جهاز من حالة الامتثال أو تم تصنيف حساب كمخترق أو تغيرت درجة مخاطر المستخدم، يتم إنهاء الجلسة فوراً. وجد تقرير CrowdStrike 2025 أن متوسط وقت “الانطلاق” (Breakout Time) للمهاجمين — الوقت قبل بدء الحركة الجانبية — كان 48 دقيقة فقط، وأسرع وقت مُسجل كان 51 ثانية، مما يجعل التقييم المستمر ضرورة حتمية.
PAM: حماية مفاتيح المملكة
إدارة الوصول المميز (Privileged Access Management – PAM) هي مجموعة فرعية متخصصة من IAM تركز على حماية أقوى الحسابات في المؤسسة — حسابات المسؤولين وحسابات الجذر (Root) وحسابات الخدمة ذات الصلاحيات المرتفعة وأي هوية يمكنها إجراء تغييرات جوهرية على البنية التحتية أو البيانات أو تكوينات الأمان. بلغ سوق PAM حوالي 4.5 إلى 5.5 مليار دولار في 2025 وهو أحد أسرع القطاعات نمواً في الأمن السيبراني.
تُنفذ حلول PAM:
خزنة بيانات الاعتماد (Credential Vaulting): تُخزن بيانات الاعتماد المميزة في خزنة مشفرة. لا يرى المسؤولون كلمات المرور الفعلية أبداً — يقومون بـ “استعارة” بيانات اعتماد مؤقتة من الخزنة لمدة مهمتهم. يتم تدوير بيانات الاعتماد تلقائياً بعد كل استخدام.
الوصول في الوقت المناسب (Just-in-Time – JIT): بدلاً من وصول المسؤول الدائم (“الامتيازات القائمة”)، يطلب المستخدمون وصولاً مرتفعاً لمهمة ومدة محددتين. تتم الموافقة على الطلب (يدوياً أو تلقائياً)، وتُمنح الامتيازات، ويُلغى الوصول تلقائياً عند انتهاء المدة.
تسجيل الجلسات: تُسجل جميع الجلسات المميزة — كل أمر يُكتب، وكل شاشة تُعرض، وكل ملف يُوصل إليه. توفر التسجيلات أدلة جنائية للتحقيق في الحوادث وتعمل كرادع ضد سوء الاستخدام.
تطبيق مبدأ الحد الأدنى من الامتيازات (Least Privilege): تحليلات PAM تحدد الحسابات ذات الصلاحيات المفرطة وتوصي بتعديلها — تقليل الوصول إلى ما هو ضروري فقط لكل دور.
أبرز مزودي PAM في 2026: تظل CyberArk الشركة الرائدة في السوق، حيث وسّعت تغطيتها لتشمل الهويات البشرية والآلية وهويات الذكاء الاصطناعي بعد استحواذها على Venafi بمبلغ 1.54 مليار دولار في 2024 وZilla Security بمبلغ 175 مليون دولار في 2025. تجاوزت BeyondTrust 400 مليون دولار من الإيرادات المتكررة السنوية في 2025. تواصل Delinea (المعروفة سابقاً بـ Thycotic + Centrify) المنافسة في مجال PAM السحابي. يوفر Microsoft Entra Privileged Identity Management (PIM) الوصول في الوقت المناسب وسير عمل الموافقة لبيئات Azure وMicrosoft 365.
بدون كلمة مرور: الوجهة النهائية
موت كلمة المرور المتوقع منذ زمن طويل بدأ أخيراً بالتحقق. مفاتيح المرور (Passkeys) — المبنية على معيار FIDO2/WebAuthn — تستبدل كلمات المرور بأزواج مفاتيح تشفير مُخزنة على جهاز المستخدم:
- أثناء التسجيل، يُولّد الجهاز زوج مفاتيح عام/خاص. يُشارك المفتاح العام مع الخدمة؛ المفتاح الخاص لا يغادر الجهاز أبداً.
- أثناء المصادقة، ترسل الخدمة تحدياً. يوقع الجهاز التحدي بالمفتاح الخاص بعد تأكيد المستخدم عبر القياسات الحيوية (Face ID، بصمة الإصبع) أو رمز PIN الجهاز.
- تتحقق الخدمة من التوقيع باستخدام المفتاح العام المُخزن. تكتمل المصادقة — لم يتم إرسال أو تخزين أو اعتراض أي كلمة مرور.
لماذا مفاتيح المرور تحويلية:
- مقاومة للتصيد الاحتيالي: المصادقة مرتبطة بالنطاق الشرعي. موقع تصيد على نطاق مختلف لا يمكنه تفعيل مفتاح المرور.
- لا توجد قاعدة بيانات اعتماد للاختراق: تخزن الخدمات المفاتيح العامة فقط، وهي عديمة الفائدة للمهاجمين.
- لا إعادة استخدام لكلمات المرور: كل خدمة تحصل على زوج مفاتيح فريد.
- تجربة مستخدم أفضل: المصادقة البيومترية (مسح الوجه، بصمة الإصبع) أسرع وأسهل من كتابة كلمة مرور وانتظار رمز MFA.
الاعتماد بالأرقام: وفقاً لـ FIDO Alliance Passkey Index 2025، أكثر من مليار شخص فعّلوا مفتاح مرور واحداً على الأقل، وأكثر من 15 مليار حساب عبر الإنترنت يدعم الآن المصادقة بمفاتيح المرور. 48% من أكبر 100 موقع إلكتروني يدعم مفاتيح المرور — أكثر من ضعف العدد مقارنة بـ 2022. تُبلغ Google عن أكثر من 800 مليون حساب يستخدم مفاتيح المرور، ووصلت Amazon إلى 175 مليون مستخدم لمفاتيح المرور في عامها الأول، وجعلت Microsoft مفاتيح المرور طريقة تسجيل الدخول الافتراضية للحسابات الجديدة في مايو 2025، مسجلة زيادة بنسبة 120% في مصادقات مفاتيح المرور. في المؤسسات، 87% من المؤسسات المُستطلعة نشرت أو تنشر بنشاط حلول مفاتيح المرور.
بيانات الأداء تعزز هذا التحول: تحقق مفاتيح المرور معدل نجاح تسجيل دخول 93% مقارنة بـ 63% للمصادقة التقليدية. يستغرق تسجيل الدخول 8.5 ثانية بمفتاح مرور مقابل 31.2 ثانية مع MFA التقليدي — تخفيض بنسبة 73% — وتُبلغ المؤسسات عن تخفيض بنسبة 81% في مكالمات مكتب المساعدة المتعلقة بتسجيل الدخول.
التحدي يكمن في الانتقال: ستتعايش كلمات المرور مع مفاتيح المرور لسنوات. معظم الخدمات تقدم مفاتيح المرور كطريقة تسجيل دخول اختيارية إلى جانب كلمة المرور + MFA، مما يخلق فترة تتعايش فيها كلتا طريقتي المصادقة — ونقاط ضعفهما — معاً.
إعلان
رادار القرار (من منظور جزائري)
| البُعد | التقييم |
|---|---|
| الصلة بالجزائر | عالية جداً — هجمات الهوية هي المتجه التهديدي الأول عالمياً والجزائر ليست استثناءً؛ الخدمات الحكومية والقطاع المصرفي وأنظمة المؤسسات جميعها تعتمد على أمن الهوية |
| جاهزية البنية التحتية؟ | جزئية — المؤسسات التي تستخدم Microsoft 365 لديها وصول إلى Entra ID؛ Active Directory المحلي شائع لكن غالباً ما يكون مُعدّاً بشكل خاطئ؛ حلول PAM تظل نادرة خارج المؤسسات الكبرى وشركات الاتصالات |
| المهارات المتوفرة؟ | محدودة — إدارة IAM وPAM تتطلب مهارات متخصصة نادرة في الجزائر؛ معظم المؤسسات تمتلك إدارة أساسية لـ Active Directory لكن تفتقر لخبرة أمن الهوية؛ لا توجد برامج تدريب محلية على FIDO2/Passkeys |
| الجدول الزمني للعمل | فوري — تفعيل الوصول المشروط وMFA المقاوم للتصيد في مستأجري Microsoft 365 الحاليين الآن؛ التخطيط لنشر PAM للحسابات المميزة خلال 6 إلى 12 شهراً؛ بدء تجارب مفاتيح المرور خلال 12 شهراً |
| أصحاب المصلحة الرئيسيون | الإدارات الحكومية لتكنولوجيا المعلومات، البنوك الجزائرية (BNA, BEA, CPA)، مشغلو الاتصالات (Djezzy, Mobilis, Ooredoo)، تكنولوجيا المعلومات الجامعية، فرق تكنولوجيا المعلومات المؤسسية، CERT.dz |
| نوع القرار | استراتيجي-تشغيلي — الهوية هي الطبقة الأمنية الأساسية؛ إتقانها يُمكّن كل شيء آخر |
خلاصة سريعة: بالنسبة للمؤسسات الجزائرية التي تستخدم بالفعل Microsoft 365 (معظم المؤسسات والجهات الحكومية)، الإجراء الفوري الأعلى تأثيراً هو تفعيل سياسات الوصول المشروط في Entra ID ونشر MFA مقاوم للتصيد الاحتيالي (مفاتيح المرور أو مفاتيح أمان FIDO2) لجميع حسابات المسؤولين. هذا متاح ضمن التراخيص الحالية (Entra ID P1/P2 مع Microsoft 365 Business Premium أو E3/E5) ويعالج المتجه الهجومي الأول. للوصول المميز، يوفر Microsoft Entra PIM الوصول في الوقت المناسب وسير عمل الموافقة المضمنة في التراخيص الحالية. يجب على المؤسسات ذات البنية التحتية الحرجة المحلية تقييم CyberArk أو BeyondTrust لحلول PAM الشاملة. ثورة مفاتيح المرور تتسارع عالمياً — مع أكثر من مليار مستخدم و48% من أكبر المواقع الإلكترونية مشاركة بالفعل — ويجب على المؤسسات الجزائرية إطلاق برامج تجريبية لمفاتيح المرور للأنظمة الداخلية الآن للتأقلم قبل أن تصبح مفاتيح المرور معيار المصادقة الافتراضي.
المصادر
- Verizon — 2025 Data Breach Investigations Report
- CrowdStrike — 2025 Global Threat Report
- CyberArk — 2025 Identity Security Landscape Survey
- FIDO Alliance — Passkey Index 2025
- Microsoft — Entra ID Documentation
- CyberArk — Privileged Access Management
- Okta — October 2023 Security Incident Update
- NIST — Digital Identity Guidelines (SP 800-63)
- CISA — Zero Trust Maturity Model
- MarketsandMarkets — IAM Market Forecast
إعلان