الأرقام لا لبس فيها. وفقاً لتقرير Sophos Active Adversary لعام 2026، تجذرت 67% من جميع الحوادث المحققة في هجمات مرتبطة بالهوية. يؤكد تقرير Mandiant M-Trends 2026 أن بيانات الاعتماد المسروقة تجاوزت التصيد الاحتيالي كثاني أكثر ناقل وصول أولي شيوعاً. وتُظهر البيانات المجمعة عبر تقارير صناعية متعددة أن 65% من الوصول الأولي في الخروقات مدفوع بتقنيات قائمة على الهوية. تكلف بيانات الاعتماد المسروقة المنظمات متوسط 4.81 مليون دولار لكل خرق. رغم سنوات من الاستثمار في المصادقة متعددة العوامل (MFA)، يظل أمن الهوية سطح الهجوم الأكثر استغلالاً.
لماذا لا تزال بيانات الاعتماد مهيمنة
تتحدى استمرارية الهجمات القائمة على بيانات الاعتماد التوقع بأن MFA وبنيات انعدام الثقة ستحل المشكلة. ثلاثة عوامل هيكلية تفسر السبب:
إعادة استخدام بيانات الاعتماد مستوطنة. رغم نمو اعتماد مديري كلمات المرور، لا يزال معظم المستخدمين يعيدون استخدام كلمات المرور عبر الخدمات. عندما يكشف خرق قاعدة بيانات عن بيانات اعتماد، يختبرها المهاجمون ضد شبكات VPN المؤسسية وتطبيقات SaaS ولوحات تحكم السحابة.
MFA لم يعد دفاعاً موثوقاً. أدوات التصيد adversary-in-the-middle (AiTM) مثل EvilProxy وEvilginx تعترض الآن جلسات المصادقة في الوقت الفعلي، ملتقطة كلمات المرور ورموز MFA في آن واحد. هجمات إرهاق MFA — حيث يقصف المهاجمون المستخدمين بإشعارات الدفع حتى يوافقوا على واحدة — تستمر في النجاح.
رموز الجلسة تحل محل بيانات الاعتماد بعد المصادقة. تستهدف الهجمات الحديثة بشكل متزايد رموز الجلسة بدلاً من بيانات الاعتماد ذاتها. بمجرد مصادقة المستخدم، يصبح رمز الجلسة بيان الاعتماد الجديد. تحصد برمجيات سرقة المعلومات هذه الرموز من المتصفحات، ويعيد المهاجمون تشغيلها لتجاوز المصادقة كلياً.
إعلان
تشريح خرق قائم على الهوية
يفصّل تقرير Sophos Active Adversary سلسلة خرق هوياتي نموذجية: بيانات اعتماد مخترقة، استخدام حسابات صالحة للدخول عبر الباب الأمامي، حركة جانبية، تصعيد الامتيازات، ثم تسريب البيانات أو نشر برامج الفدية. أكثر من 90% من خروقات البيانات تمكّنت بسبب أخطاء التكوين أو ثغرات تغطية الأمن وليس بسبب استغلالات جديدة.
ما يجب أن تفعله المنظمات
نشر MFA مقاوم للتصيد. مفاتيح FIDO2 المادية و passkeys محصنة ضد هجمات وكيل AiTM لأنها تربط المصادقة بالنطاق المحدد.
تنفيذ مراقبة بيانات الاعتماد. الاشتراك في خدمات إخطار الخروقات ومراقبة الويب المظلم لنطاقات البريد الإلكتروني المؤسسية.
تقليص عمر رموز الجلسة. فترات جلسة أقصر تحد من النافذة التي تكون فيها الرموز المسروقة مفيدة.
اعتماد ITDR (كشف تهديدات الهوية والاستجابة لها). منصات ITDR تراقب تحديداً البنية التحتية للهوية بحثاً عن أنماط الهجوم التي تفوتها أدوات الأمن التقليدية.
تدقيق حسابات الخدمة. حسابات الخدمة ذات بيانات الاعتماد الثابتة والامتيازات المفرطة من بين الأصول الأكثر استهدافاً.
الأسئلة الشائعة
لماذا لا يوقف MFA هذه الهجمات؟
تقنيات تجاوز MFA الحديثة مثل تصيد adversary-in-the-middle تلتقط كلمات المرور ورموز MFA في الوقت الفعلي عبر التوكيل لجلسة المصادقة. فقط الطرق المقاومة للتصيد مثل مفاتيح FIDO2 و passkeys تقاوم هذه التقنيات لأنها تربط المصادقة بالنطاق المحدد ولا يمكن توكيلها.
ما أكثر خطوة أولى فعالة من حيث التكلفة للمنظمات ذات ميزانيات الأمن المحدودة؟
مراقبة بيانات الاعتماد والاشتراك في قواعد بيانات الخروقات توفر أعلى عائد بأقل تكلفة. الخدمات التي تفحص أسواق الويب المظلم بحثاً عن نطاق بريدكم المؤسسي تكلف جزءاً بسيطاً مما يكلفه خرق واحد.
كيف تساعد بنية انعدام الثقة ضد الهجمات القائمة على بيانات الاعتماد؟
انعدام الثقة يزيل الثقة الضمنية من الجلسات المصادق عليها. حتى مع بيانات اعتماد صالحة، تأخذ قرارات الوصول بالاعتبار صحة الجهاز وسلوك المستخدم والموقع وحساسية المورد.
