///
الأرقام لا لبس فيها. وفقاً لتقرير Sophos Active Adversary لعام 2026، تجذرت 67% من جميع الحوادث المحققة في هجمات مرتبطة بالهوية. يؤكد تقرير Mandiant M-Trends 2026 أن بيانات الاعتماد المسروقة تجاوزت التصيد الاحتيالي كثاني أكثر ناقل وصول أولي شيوعاً. وتُظهر البيانات المجمعة عبر تقارير صناعية متعددة أن 65% من الوصول الأولي في الخروقات مدفوع بتقنيات قائمة على الهوية. تكلف بيانات الاعتماد المسروقة المنظمات متوسط 4.81 مليون دولار لكل خرق. رغم سنوات من الاستثمار في المصادقة متعددة العوامل (MFA)، يظل أمن الهوية سطح الهجوم الأكثر استغلالاً.
لماذا لا تزال بيانات الاعتماد مهيمنة
تتحدى استمرارية الهجمات القائمة على بيانات الاعتماد التوقع بأن MFA وبنيات انعدام الثقة ستحل المشكلة. ثلاثة عوامل هيكلية تفسر السبب:
إعادة استخدام بيانات الاعتماد مستوطنة. رغم نمو اعتماد مديري كلمات المرور، لا يزال معظم المستخدمين يعيدون استخدام كلمات المرور عبر الخدمات. عندما يكشف خرق قاعدة بيانات عن بيانات اعتماد، يختبرها المهاجمون ضد شبكات VPN المؤسسية وتطبيقات SaaS ولوحات تحكم السحابة.
MFA لم يعد دفاعاً موثوقاً. أدوات التصيد adversary-in-the-middle (AiTM) مثل EvilProxy وEvilginx تعترض الآن جلسات المصادقة في الوقت الفعلي، ملتقطة كلمات المرور ورموز MFA في آن واحد. هجمات إرهاق MFA — حيث يقصف المهاجمون المستخدمين بإشعارات الدفع حتى يوافقوا على واحدة — تستمر في النجاح.
رموز الجلسة تحل محل بيانات الاعتماد بعد المصادقة. تستهدف الهجمات الحديثة بشكل متزايد رموز الجلسة بدلاً من بيانات الاعتماد ذاتها. بمجرد مصادقة المستخدم، يصبح رمز الجلسة بيان الاعتماد الجديد. تحصد برمجيات سرقة المعلومات هذه الرموز من المتصفحات، ويعيد المهاجمون تشغيلها لتجاوز المصادقة كلياً.
تشريح خرق قائم على الهوية
يفصّل تقرير Sophos Active Adversary سلسلة خرق هوياتي نموذجية: بيانات اعتماد مخترقة، استخدام حسابات صالحة للدخول عبر الباب الأمامي، حركة جانبية، تصعيد الامتيازات، ثم تسريب البيانات أو نشر برامج الفدية. أكثر من 90% من خروقات البيانات تمكّنت بسبب أخطاء التكوين أو ثغرات تغطية الأمن وليس بسبب استغلالات جديدة.
إعلان
ما يجب أن تفعله المنظمات
نشر MFA مقاوم للتصيد. مفاتيح FIDO2 المادية و passkeys محصنة ضد هجمات وكيل AiTM لأنها تربط المصادقة بالنطاق المحدد.
تنفيذ مراقبة بيانات الاعتماد. الاشتراك في خدمات إخطار الخروقات ومراقبة الويب المظلم لنطاقات البريد الإلكتروني المؤسسية.
تقليص عمر رموز الجلسة. فترات جلسة أقصر تحد من النافذة التي تكون فيها الرموز المسروقة مفيدة.
اعتماد ITDR (كشف تهديدات الهوية والاستجابة لها). منصات ITDR تراقب تحديداً البنية التحتية للهوية بحثاً عن أنماط الهجوم التي تفوتها أدوات الأمن التقليدية.
تدقيق حسابات الخدمة. حسابات الخدمة ذات بيانات الاعتماد الثابتة والامتيازات المفرطة من بين الأصول الأكثر استهدافاً.
الخلاصة الرئيسية
المصادقة ليست مجرد ضابط أمني من بين عدة ضوابط. إنها الضابط الأساسي. مع 65% من الخروقات الناشئة عن هجمات قائمة على الهوية وتكلفة سرقة بيانات الاعتماد 4.81 مليون دولار لكل حادث، فإن أمن الهوية هو الاستثمار الأعلى عائداً. الانتقال من كلمة المرور فقط إلى MFA كان ضرورياً لكنه غير كافٍ. الخطوة التالية هي المصادقة المقاومة للتصيد والتحقق المستمر من الجلسات وتحليلات السلوك.
