ما تقوله البيانات حقاً عن مشهد الهجمات في 2025
كل عام تنشر IBM تقريراً استرجاعياً عن مشهد التهديدات المرصودة في عملياتها الأمنية العالمية خلال الـ12 شهراً الماضية. الطبعة 2026 — التي تغطي عام 2025 الميلادي — مبنية على بيانات من أكثر من 150 دولة وأكثر من 10,000 مشاركة عميلية. لا تعتمد على استطلاعات أو إبلاغ ذاتي؛ بل تعكس ما جرى فعلاً على شبكات المؤسسات.
الخلاصة: المهاجمون يتحركون بشكل أسرع، يعملون بنطاق أوسع، ويستهدفون سلسلة التوريد بمنهجية لم تُشهَد من قبل. أصبح استغلال الثغرات نقطة الدخول الرئيسية للهجمات في 2025، إذ أُسند إليه 40% من الحوادث — ارتفاع كبير مدفوع بأدوات الاستطلاع المدعومة بالذكاء الاصطناعي التي تُضغّط الفجوة الزمنية بين الإفصاح عن الثغرة والاستغلال النشط من أسابيع إلى ساعات. بلغت الثغرات المُتتبَّعة ما يقارب 40,000، وبرزت سمة مقلقة بشكل خاص: 56% من الثغرات المُفصَح عنها لا تتطلب أي مصادقة للاستغلال.
آلة سرقة بيانات الاعتماد
حتى مع تصدّر استغلال الثغرات قائمة ناقلات الدخول، استمر سرقة بيانات الاعتماد في إلحاق أضرار جسيمة في مرحلة ما بعد الاختراق. حصاد بيانات الاعتماد يمثّل 26% من تأثيرات الهجمات المرصودة. البيانات المسروقة أو المستخدَمة بشكل خاطئ كانت ناقل الوصول الأولي في 32% من الحوادث. وعلى الأسواق الإجرامية: برامج infostealer أفضت إلى الكشف عن أكثر من 300,000 بيانات اعتماد ChatGPT للبيع في 2025 — تتضمن مفاتيح API ورموز جلسات وبيانات اعتماد حسابات خدمة مُضمّنة في بيئات التطوير.
تحترف المنظومة الإجرامية لسرقة بيانات الاعتماد بسرعة. سلالات برامج infostealer متاحة كخدمة على المنتديات الإجرامية بما يصل إلى 50 دولاراً شهرياً. البيانات المُستخرَجة تُباع بالجملة لوسطاء الوصول، الذين يبيعون “الوصول الأولي” لشركاء برامج الفدية أو الجهات الحكومية. يمكن أن تُنجَز السلسلة كاملة — من الإصابة الأولية إلى اختراق المؤسسة — في أقل من 72 ساعة لمهاجم جيد التجهيز.
رصدت IBM X-Force ارتفاعاً يقارب أربعة أضعاف في أحداث الاختراق الكبيرة لسلسلة التوريد أو الطرف الثالث منذ 2020 — نمط متسق مع ما ترصده فرق الأمن حين يكتشف المهاجمون أن اختراق مورّد موثوق واحد يمنحهم وصولاً إلى عشرات أو مئات من عملاء المؤسسات في المرحلة النهائية.
إعلان
التوسع البنيوي لمنظومة برامج الفدية
دخلت منظومة برامج الفدية عام 2026 بعدد أكبر من المجموعات العاملة من أي وقت مضى. رصدت IBM X-Force 109 مجموعات فدية وابتزاز نشطة خلال 2025، مقارنة بـ73 في 2024 — ارتفاع بنسبة 49% سنوياً. ارتفع عدد الضحايا المُعلَن عنهم بنسبة 12% خلال نفس الفترة. التفسير البنيوي هو نضج نموذج برامج الفدية كخدمة (RaaS)، الذي خفّض حواجز الدخول لدرجة باتت معها الجهات غير المتطورة تقنياً قادرة على شن حملات ابتزاز بتأجير البنية التحتية والبرمجيات الضارة وحتى خدمات التفاوض.
ظل قطاع التصنيع الأكثر استهدافاً للسنة الخامسة على التوالي بنسبة 27.7% من الحوادث. تقدمت الخدمات المالية والتأمين إلى المرتبة الثانية بنسبة 27% من الهجمات، مقارنة بـ23% في 2024. جغرافياً، أصبحت أمريكا الشمالية الأكثر استهدافاً للمرة الأولى في ست سنوات بنسبة 29% من الحوادث.
ما يجب على قادة أمن المؤسسات تغييره الآن
1. جعل إدارة الثغرات وظيفة مستمرة لا تدقيقاً ربع سنوياً
الارتفاع بنسبة 44% في استغلال التطبيقات المكشوفة يعكس تغيراً بنيوياً في عمليات المهاجمين: أدوات الفحص المدعومة بالذكاء الاصطناعي تجد الأجهزة الضعيفة وتُعرّفها الآن بسرعة تفوق قدرة دورات التصحيح التقليدية. يجب على فرق الأمن التحول من فحص الثغرات الدوري إلى إدارة التعرض المستمرة — رؤية في الوقت الفعلي لما هو مكشوف على الإنترنت، وإطار تحديد أولويات يرفع مستوى الثغرات القابلة للاستغلال دون مصادقة، واتفاقيات مستوى الخدمة للتصحيح في التطبيقات المكشوفة تُقاس بالأيام.
2. معاملة نظافة بيانات الاعتماد كانضباط تشغيلي لا سياسة كلمات مرور
أكثر من 300,000 بيانات اعتماد مكشوفة على أسواق الويب المظلم لم تتسرب لأن المستخدمين اختاروا كلمات مرور ضعيفة. تسرّبت عبر برامج infostealer المثبّتة على أجهزة المستخدمين وأدوات التطوير المخترقة وسرقة رموز الجلسات التي تتجاوز ضوابط كلمات المرور كلياً. الدفاع عن بيانات الاعتماد في 2026 يتطلب كشفاً على الأجهزة الطرفية قادراً على رصد سلوك infostealer، وعزل المتصفح للبيئات التي تصل لخدمات حساسة، وتغذية مراقبة الويب المظلم.
3. رسم وتدقيق سطح الوصول لأطراف ثالثة فوراً
تضاعف اختراقات سلسلة التوريد أربع مرات منذ 2020 يعكس تحولاً استراتيجياً لدى المهاجمين. كل مؤسسة يجب أن تحتفظ بجرد حالي للاتصالات بأطراف ثالثة — تكاملات API، وصول عن بعد لمزودي الخدمات المُدارة، قنوات تحديث بائعي البرمجيات — وتخضع كل منها لتقييم أمني متدرج. الاتصالات من موردين لديهم وصول لأنظمة الإنتاج أو البيانات المالية أو البيانات الشخصية للعملاء يجب أن تخضع لمراقبة مخصصة وتجزئة شبكية.
4. نمذجة سيناريوهات الفدية مقابل تبعيات OT وسلسلة التوريد
مع 109 مجموعات فدية نشطة وقطاع التصنيع في صدارة الأهداف لخمس سنوات متتالية، يجب على المؤسسات ذات بيئات OT أو سلاسل التوريد المعقدة تجاوز تمارين الطاولة التي تفترض اضطراباً في IT فقط. يجب أن تُنمذَج سيناريوهات الفدية صراحةً تشفير أنظمة OT وتعطل منصات ERP. يجب أن يشمل تخطيط استمرارية الأعمال أهداف وقت استعادة OT — ويجب التحقق منها عبر تدريبات استعادة فعلية، ليس مراجعة وثائق فحسب.
الدرس البنيوي من خمس سنوات من بيانات سلسلة التوريد
الاستنتاج الأهم في تقرير X-Force 2026 ليس أي إحصاء منفرد — بل المسار. اختراقات سلسلة التوريد تضاعفت أربع مرات في خمس سنوات. مجموعات الفدية نمت بنسبة 49% في عام واحد. بيانات الاعتماد المُستخرَجة ببرامج infostealers تُغذّي صناعة وساطة وصول احترافية. هذه ظواهر غير مستقلة — إنها مكوّنات منظومة إجرامية ناضجة أضافت احترافاً لعملية اختراق المؤسسات.
الأثر على استراتيجية الأمن معماري: لا تستطيع المؤسسات الدفاع عن محيطها بفاعلية إذا عرّفته كحدودها الشبكية. يشمل سطح الهجوم الفعلي في 2026 كل مورّد لديه وصول API، وكل أداة مطور تحتوي بيانات اعتماد سحابية، وكل منصة SaaS تابعة لطرف ثالث لديها تكامل مميز. البرامج الأمنية التي لم ترسم وتُحكم هذا السطح الموسّع تعمل بنقطة عمياء بنيوية رصدها مجتمع التهديدات بالفعل.
الأسئلة الشائعة
ما هو IBM X-Force Threat Intelligence Index وكيف يُجمَّع؟
IBM X-Force Threat Intelligence Index تقرير سنوي يُجمَّع من العمليات الأمنية العالمية لشركة IBM، بما يشمل مشاركات الاستجابة للحوادث وتيليمتري الكشف والاستجابة المُدار واستخبارات الويب المظلم والبحث في الجهات التهديدية. طبعة 2026 تغطي النشاط المرصود خلال 2025 في أكثر من 150 دولة وأكثر من 10,000 مشاركة عميلية. على عكس التقارير المبنية على استطلاعات، تعكس بيانات X-Force الهجمات المرصودة فعلاً لا الحوادث المُبلَّغ عنها ذاتياً.
لماذا تجاوز استغلال الثغرات التصيّد كأول ناقل هجوم في 2025؟
أدوات الفحص المدعومة بالذكاء الاصطناعي تُمكّن المهاجمين من تحديد التطبيقات المكشوفة والكشف عن الثغرات القابلة للاستغلال بسرعة قصيرة بعد الإفصاح عن CVE. الارتفاع بنسبة 44% في استغلال التطبيقات المكشوفة يعكس هذا التسارع. بالإضافة إلى ذلك، 56% من CVE لعام 2025 لا تتطلب أي مصادقة للاستغلال — مما يعني أن مجرد التعرض للإنترنت كان كافياً للاختراق دون الحاجة لسرقة بيانات الاعتماد أولاً.
كيف يجب على فرق الأمن إعطاء الأولوية لاستجابتها حين تواجه 40,000 CVE جديد سنوياً؟
أعطِ الأولوية حسب تعرض سطح الهجوم ومتطلبات المصادقة. الثغرات في التطبيقات المكشوفة على الإنترنت التي لا تتطلب مصادقة للاستغلال يجب معاملتها كبنود طارئة تستوجب التصحيح خلال 24-72 ساعة. منصات إدارة التعرض المستمر (مثل Tenable وQualys وRapid7) يمكنها أتمتة هذا التحديد للأولويات من خلال ربط بيانات تعرض الأصول بخطورة CVE وحالة الاستغلال النشطة.
—
المصادر والقراءات الإضافية
- تقرير IBM X-Force لاستخبارات التهديدات 2026: التقرير الكامل — IBM
- IBM X-Force: ارتفاع 44% في استغلال التطبيقات المكشوفة — Industrial Cyber
- IBM X-Force 2026: الهجمات المدعومة بالذكاء الاصطناعي تتصاعد — IBM Newsroom
- IBM X-Force 2026: تأمين الهويات والكشف المُعزَّز بالذكاء الاصطناعي — IBM Think
- IBM X-Force 2026: الهجمات المدعومة بالذكاء الاصطناعي تتصاعد — Cybersecurity Asia
- التوقعات العالمية للأمن السيبراني 2026 — المنتدى الاقتصادي العالمي
