CTEM 2026: توقّع Gartner بخفض الاختراقات ثلاثة أضعاف يصل

نُشر في مايو 10, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

يبلغ توقّع CTEM من Gartner لعام 2022 مرحلته المحورية في 2026: المؤسسات ذات برامج CTEM التشغيلية تُظهر رؤية أفضل بنسبة 50% لسطح الهجوم مقارنة بفرق الفحص الدوري. مع انكماش نوافذ استغلال CVE إلى 44 يوماً وسطياً و45% من ثغرات المؤسسات تبقى دون معالجة في البرامج التقليدية، فإن أولوية CTEM القائمة على قابلية الاستغلال هي الإصلاح الهيكلي الذي تتقارب نحوه صناعة الأمن.

الخلاصة: يجب على فرق الأمن البدء فوراً في تشغيل CTEM بدمج درجات EPSS وبيانات CISA KEV في قائمة انتظار الثغرات الحالية — هذا التغيير المجاني لمدة أسبوع يُقلّص عادةً عبء العمل في المعالجة بنسبة 80-90% مع تركيز الجهد على التعرّضات ذات مخاطر الاختراق الفعلية.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية للجزائر
عالية
▾

70 مليون هجوم سيبراني سنوياً تواجهها الجزائر ونافذة استغلال 44 يوماً يجعلان رقع التصحيح التفاعلية غير كافية هيكلياً؛ إطار CTEM الخماسي يتوافق مباشرةً مع التزام “المراقبة المستمرة” في الاستراتيجية الوطنية للأمن السيبراني الجزائرية 2025-2029.

البنية التحتية جاهزة؟
جزئياً
▾

أدوات CTEM المجانية (EPSS وCISA KEV وTenable Nessus Essentials ونسخة AttackIQ المجتمعية) متاحة للمؤسسات الجزائرية؛ المنصات التجارية لـ EASM تستلزم الاتصال السحابي والميزانية المتاحة للمؤسسات الأكبر.

المهارات متوفرة؟
جزئياً
▾

الفرق الأمنية الجزائرية تمتلك خبرة متنامية في تحليل SOC (وفق برامج تدريب DZ-CERT)، لكن الأولوية القائمة على EPSS والتحقق عبر BAS تبقى مهارات نادرة مركّزة في شركات أمن متخصصة ومجتمع OWASP الجزائر.

الجدول الزمني للتنفيذ
6-12 شهراً
▾

مرحلتا الاكتشاف والأولوية في CTEM باستخدام الأدوات المجانية يمكن أن تكونا تشغيليتين في غضون أسابيع؛ التشغيل الكامل لخمس مراحل بما يشمل التحقق وحوكمة التعبئة يستغرق واقعياً 6-12 شهراً من التطوير التنظيمي.

أصحاب المصلحة الرئيسيون
المديرون الأمنيون وقادة مركز عمليات الأمن وفرق الأمن المؤسسية ورؤساء وحدات الأمن السيبراني والمؤسسات الخاضعة لتنظيم ASSI

نوع القرار
استراتيجي
▾

CTEM إطار برامجي يستلزم الحوكمة وسلسلة الأدوات والتغيير التنظيمي — ليس شراء أداة واحدة. التزام القيادة بالدورة المستمرة هو الشرط المسبق لتحسين أمني ذي معنى.

خلاصة سريعة: يجب على فرق الأمن المؤسسية البدء في تشغيل CTEM بمرحلة الأولوية: اشترك في تغذية KEV من CISA ودمج درجات EPSS في سير عمل إدارة الثغرات الحالي هذا الأسبوع. التأثير الفوري — قائمة معالجة مُقلَّصة بشكل كبير ومُركَّزة على مخاطر الاستغلال الفعلية — يُثبت قيمة CTEM دون الحاجة لأدوات جديدة أو ميزانية. ابنِ نحو التشغيل الكامل لخمس مراحل على مدى 6-12 شهراً، مستخدماً نتائج التحقق عبر BAS كدليل على عمل البرنامج.

السنة المحورية لتحوّل نموذج أمني

Gartner لا تُصدر في الغالب توقّعات بسنة محددة. كان توقّع 2022 بأن مُتبنّي CTEM سيكونون أقل عرضة للاختراق ثلاثة أضعاف بحلول 2026 التزاماً غير مألوف — و2026 هي السنة التي يمكن فيها تقييم ذلك التوقّع. التقييم الصادق، من دراسة 2026 على 128 متخصصاً أمنياً أجرتها Vectra AI: يدعمه التوجه العام، معقّد القياس تجريبياً. لم تُجرَ تجربة عشوائية محكومة كبيرة تُقارن مُتبنّي CTEM بغيرهم على نطاق واسع. لكن المؤسسات ذات برامج CTEM التشغيلية تُظهر رؤية أفضل بنسبة 50% لسطح الهجوم وعلاجاً أكثر تركيزاً ومقاييس وضع أمني أفضل بشكل ملموس مقارنة بتلك التي لا تزال تشغّل سير عمل الفحص الدوري التقليدي.

ما الذي تغيّر في بيئة التهديد بين 2022 و2026 مما يجعل CTEM ليس مجرد ممارسة مثلى بل ضرورة هيكلية؟ ثلاثة تطوّرات ضغطت الجدول الزمني لنموذج الفحص والتصحيح التقليدي إلى حدود التقادم:

انهار الوقت حتى الاستغلال. انخفض متوسط الوقت من الكشف عن CVE إلى الاستغلال النشط من أكثر من 700 يوم في 2020 إلى 44 يوماً في 2025. والأهم، 28.3% من CVEs قيد الاستغلال النشط استُغلّت في غضون 24 ساعة من الإفصاح العلني. دورة التصحيح الشهرية باتت استجابة متأخرة شهراً كاملاً لهجمات تبدأ في غضون ساعات.

تجاوز سطح الهجوم نطاق CVE. يُظهر تحليل أنماط الاختراق باستمرار أن الإعدادات الخاطئة وسوء إدارة الهوية والأذونات المفرطة — لا شيء منها يظهر في فحوصات الثغرات القائمة على CVE — تُشكّل أكثر من 60% من مسارات الهجوم المستخدمة في الاختراقات الناجحة.

الخصوم المعتمدون على الذكاء الاصطناعي غيّروا اقتصاديات الأمر. وثّق تحليل Hacker News في مايو 2026 أن مشغّلاً واحداً يستخدم أدوات ترميز الذكاء الاصطناعي نفّذ ابتزازاً ضد 17 مؤسسة. ثلاثة مراهقين بدون خلفية ترميز استخدموا ChatGPT لمهاجمة Rakuten Mobile 220,000 مرة في فبراير 2025. الموارد البشرية اللازمة لشنّ هجمات متطورة هي جزء يسير مما كانت عليه قبل ثلاث سنوات.

CTEM هو هذا الإطار.

المراحل الخمس — وأين تتعثّر معظم البرامج

يُعرَّف إطار CTEM من Gartner بدورة خماسية المراحل: التحديد والاكتشاف والأولوية والتحقق والتعبئة. معظم المؤسسات التي تحاول CTEM تُشغّل المرحلتين الأوليين بمعقولية وتفشل في الثالثة.

المرحلة 1: التحديد. حدّد مجموعة الأصول والجهات المهدِّدة التي سيُركّز عليها البرنامج في دورة معيّنة. الخطأ الأكثر شيوعاً في التحديد هو محاولة تحديد كل شيء في آنٍ واحد. مؤسسة خدمات مالية لديها 15,000 أصل لا ينبغي لها بدء CTEM بمحاولة المراقبة المستمرة لجميع الـ 15,000. ابدأ بأعلى سطح هجوم قيمةً — تطبيقات الويب المواجهة للخارج ومخازن الهوية ذات الامتياز وأنظمة البيانات التاجية — ووسّع النطاق مع نضوج البرنامج.

المرحلة 2: الاكتشاف. اكشف التعرّضات عبر الأصول المحدّدة باستمرار. هذا يعني نتائج CVE من ماسحات الثغرات وتنبيهات الإعدادات الخاطئة من أدوات إدارة وضع الأمان السحابي (CSPM) ونتائج وضع الهوية من منصات أمان الهوية ورصد سطح الهجوم الخارجي للأصول التي قد تكون معرّضة بدون علم فريق الأمن.

المرحلة 3: الأولوية — حيث تفشل معظم البرامج. يُصنّف تحديد الأولوية التقليدي النتائج حسب درجة CVSS. تحديد أولوية CTEM يطرح سؤالاً مختلفاً: من بين آلاف التعرّضات في قائمة الانتظار، أيّ 10-15 تعرّضاً هي الأكثر احتمالاً للاستغلال في الـ 30 يوماً القادمة نظراً لبيئتنا المحددة والجهات المهدِّدة التي تستهدف صناعتنا؟ الأدوات التي تُمكّن هذا السؤال — درجات EPSS وكتالوج CISA للثغرات المستغلّة المعروفة وربط أساليب الجهات المهدِّدة بـ MITRE ATT&CK — مجانية ومتاحة للعموم.

المرحلة 4: التحقق. تأكّد أن المعالجات ذات الأولوية تُغلق مسار الهجوم فعلاً. صحّح CVE، ثم تحقق عبر BAS (محاكاة الاختراق والهجوم) أن النظام المُصحَّح لم يعد قابلاً للاستغلال عبر تقنية الهجوم المتوقّعة. معظم المؤسسات تتخطّى هذه المرحلة كلياً — تُغلق التذكرة عند تطبيق التصحيح، لا عند تأكيد إغلاق مسار الهجوم.

المرحلة 5: التعبئة. ترجمة الأولويات المتحقَّق منها إلى إجراءات معالجة تملكها فرق محاسَبة بمواعيد نهائية. نمط الفشل هنا هو فرق الأمن التي تُحدّد وتتحقق من التعرّضات الحرجة لكن لا تستطيع جعل فرق الهندسة تتصرف بناءً عليها.

ما يجب على قادة الأمن فعله لتشغيل CTEM في 2026

1. أنشئ حزمة الأولوية باستخدام مصادر الاستخبارات المجانية

قاعدة بيانات EPSS (نظام التنبؤ بالاستغلال) المنشورة بواسطة FIRST توفر درجات احتمالية محدَّثة يومياً لكل CVE معروف: احتمالية استغلال الثغرة في الـ 30 يوماً القادمة بناءً على استخبارات التهديدات الحالية وتوافر إثباتات المفهوم وأنماط الاستغلال. كتالوج CISA للثغرات المستغلّة المعروفة (KEV) يوفر قائمة منتقاة من CVEs المستغلّة بشكل نشط في البرية. كلاهما مجاني. دمجهما يحوّل قائمة انتظار الثغرات المرتّبة حسب CVSS إلى قائمة عمل مُرتَّبة حسب قابلية الاستغلال.

التطبيق العملي: عندما يُنتج ماسح الثغرات نتائج، صنّف كل نتيجة حسب احتمالية EPSS. النتائج ذات درجات EPSS فوق 0.5 (50% احتمالية استغلال في 30 يوماً) أو الظاهرة في كتالوج CISA KEV فقط هي التي تستوجب المعالجة الفورية. وجد بحث CyCognito أن تطبيق أولوية EPSS على قائمة انتظار ثغرات مؤسسة نموذجية يُقلّل عبء المعالجة الفورية بنسبة 80-90%، دون زيادة ملموسة في مخاطر الاختراق.

2. نشر إدارة سطح الهجوم الخارجي لاكتشاف الأصول الخارجية

تفترض إدارة الثغرات التقليدية جرداً معروفاً: افحص هذه النطاقات وهذه التطبيقات وهذه الخوادم. مرحلة الاكتشاف في CTEM تستلزم الفحص عن الأصول التي لا يعرف عنها فريق الأمن — التطبيقات المواجهة للخارج التي نشرتها وحدات الأعمال بدون مراجعة تكنولوجيا المعلومات والموارد السحابية التي أطلقها المطورون خارج عملية التوفير وبنية تحتية للشركات المستحوَذ عليها لم تُدمج بعد في الجرد الشركاتي.

منصات إدارة سطح الهجوم الخارجي (EASM) — CyCognito وCensys وShodan Enterprise وCloudflare Radar — تفحص الإنترنت باستمرار للأصول المرتبطة ببنية النطاق وشبكات IP للمؤسسة. تكشف الخادم التجريبي المنسيّ الذي يشغّل إصداراً غير مُصحَّح ونقطة نهاية API المنشورة من متعاقد بدون مصادقة وحاوية التخزين السحابي للفرع ذات الوصول العام.

وجد بحث Tenable للتهديدات لعام 2026 أن 44% من الاختراقات الكبيرة تبدأ باستغلال أصول مواجهة للإنترنت لم تكن المؤسسة المخترَقة تعلم بإمكانية الوصول العام إليها. EASM هو آلية الاكتشاف التي تسدّ هذه الفجوة.

3. شغّل اختبارات التحقق بعد كل معالجة جوهرية

محاكاة الاختراق والهجوم (BAS) هي تشغيل مرحلة التحقق. منصات BAS — AttackIQ (نسخة مجتمعية مجانية) وCymulate وPicus Security — تُنفّذ تقنيات خصوم حقيقية بأمان ضد بيئات الإنتاج دون إحداث ضرر، ثم تُبلّغ عما إذا اكتشفت الضوابط الدفاعية (EDR وقواعد SIEM وضوابط الشبكة) التقنية وأوقفتها.

حالة الاستخدام في التحقق: تقنية مجموعة برامج الفدية الحرجة — الحركة الجانبية عبر WMI من محطة عمل مخترقة — تظهر في استخبارات التهديدات كذات صلة بصناعة المؤسسة. يتحقق فريق الأمن مما إذا كان ضبط EDR الحالي يكتشف التقنية بتشغيل اختبار AttackIQ الذي يُنفّذ تقنية الحركة الجانبية WMI في محاكاة آمنة للإنتاج. إذا أظهر الاختبار أن التقنية لا تُكتشف، تنتقل النتيجة إلى قائمة انتظار الهندسة كثغرة تحكّم بأولوية عالية — ليست مخاطرة نظرية بل ضعف مُتحقَّق منه وقابل للاستغلال.

وجد دليل BizTech لعام 2026 لـ CTEM في الخدمات المالية أن المؤسسات التي تُجري التحقق عبر BAS ربع سنوياً حسّنت متوسط الوقت حتى الاكتشاف (MTTD) لتقنيات الهجوم ذات الأولوية بنسبة 47% مقارنة بالمؤسسات التي تعتمد فقط على التمارين على الطاولة وعمليات تدقيق الامتثال.

كيف يبدو CTEM عندما يعمل: تطبيق مرجعي

أنتج قطاع الخدمات المالية أكثر تطبيقات CTEM نضجاً في 2026، مدفوعاً بالضغط التنظيمي من DORA (قانون المرونة التشغيلية الرقمية الأوروبي)، الذي يستلزم صراحةً المراقبة المستمرة واختبار الاختراق القائم على التهديدات والاستجابة للحوادث المُتحقَّق منها. يتطابق إطار DORA تقريباً مباشرةً مع المراحل الخمس لـ CTEM: إدارة مخاطر تكنولوجيا المعلومات في DORA تُطابق التحديد والاكتشاف؛ متطلبات الاختبار في DORA تُطابق التحقق؛ رقابة المرونة التشغيلية في DORA تُطابق التعبئة.

بنك أوروبي يطبّق امتثال DORA كبرنامج CTEM في 2026 يشغّل فحوصات EASM أسبوعية على جميع الأصول المواجهة للإنترنت واكتشاف الثغرات اليومي ضد الأنظمة الداخلية وأولوية EPSS المحدَّثة كل 48 ساعة مقابل كتالوج CISA KEV والتحقق عبر BAS شهرياً ضد أفضل 10 تقنيات MITRE ATT&CK المستخدمة من الجهات المهدِّدة ذات الدوافع المالية واختبارات اختراق ربع سنوية قائمة على التهديدات ضد الأنظمة التاجية. نفس البرنامج يُسلّم دليل امتثال DORA وتحسين الأمان التشغيلي في آنٍ واحد.

الصورة الأكبر: من الأمن التفاعلي إلى الأمن التنبؤي

يمثّل التحوّل من إدارة الثغرات الدورية إلى CTEM شيئاً أكبر من ترقية أدوات أو عمليات. يمثّل تغييراً في السؤال الجوهري الذي تحاول فرق الأمن الإجابة عليه.

يسأل الأمن التقليدي: “ما الثغرات التي لدينا؟” يسأل CTEM: “من بين جميع تعرّضاتنا، أيّها سيُستغل أولاً، من قِبَل من، وكيف يبدو مسار الهجوم؟” السؤال الأول ينتج قائمة. السؤال الثاني ينتج استراتيجية استثمار أمني.

لم يكن توقّع Gartner لعام 2026 بشأن CTEM توقّعاً تقنياً بالدرجة الأولى — بل كان توقّعاً بجودة صنع القرار. المؤسسات التي تستثمر بناءً على قابلية الاستغلال الفعلية لا الشدة النظرية، التي تتحقق من الضوابط بدلاً من افتراض عملها، والتي تكتشف باستمرار ما لا تعرف أنها تمتلكه، ستتخذ قرارات أمنية أفضل وتُعاني اختراقات أقل.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

هل CTEM مجرد إعادة تسمية لإدارة الثغرات المستمرة أم أنه مختلف حقاً؟

CTEM مختلف حقاً عن إدارة الثغرات المستمرة في ثلاثة أبعاد. أولاً، النطاق: CTEM يعالج الإعدادات الخاطئة ومخاطر الهوية والأذونات المفرطة والتكنولوجيا غير الرسمية — ليس CVEs فحسب. ثانياً، منطق الأولوية: CTEM يستخدم استخبارات قابلية الاستغلال (EPSS وKEV وربط الجهات المهدِّدة) للتركيز على مجموعة التعرّضات التي سيستهدفها مهاجم فعلاً، بدلاً من التصنيف حسب شدة CVSS التي ترتبط ارتباطاً ضعيفاً بالاستغلال الفعلي. ثالثاً، التحقق: CTEM يستلزم تأكيد أن المعالجات تُغلق مسارات الهجوم، لا فقط تطبيق التصحيحات.

ما الأدوات اللازمة لتطبيق برنامج CTEM أساسي بدون ميزانية كبيرة؟

يمكن بناء برنامج CTEM وظيفي بأدوات مجانية كلياً: بيانات EPSS من FIRST.org للأولوية؛ كتالوج CISA KEV لاستخبارات الاستغلال المؤكّدة؛ Tenable Nessus Essentials (مجاني لما يصل إلى 16 عنوان IP) أو OpenVAS لاكتشاف الثغرات؛ Trivy (مجاني) لاكتشاف إعدادات السحابة الخاطئة؛ نسخة AttackIQ المجتمعية للتحقق عبر BAS؛ وMicrosoft Defender for Cloud (مضمّن مع اشتراكات Azure/M365) لإدارة وضع الأمان السحابي. الاستثمار هو وقت المحلل — ما يقارب 2-3 ساعات أسبوعياً لكل 100 أصل لتشغيل دورة CTEM — ليس ترخيص برمجيات.

كيف يرتبط CTEM بمتطلبات امتثال DORA الأوروبي للمؤسسات المالية؟

DORA (قانون المرونة التشغيلية الرقمية)، الذي أصبح قابلاً للتطبيق في يناير 2025 على الكيانات المالية الأوروبية، يتطابق تقريباً مباشرةً مع المراحل الخمس لـ CTEM. متطلبات إدارة مخاطر تكنولوجيا المعلومات في DORA — تصنيف الأصول وتقييم المخاطر والمراقبة المستمرة — تتطابق مع مرحلتَي التحديد والاكتشاف في CTEM. متطلبات اختبار المرونة التشغيلية الرقمية في DORA — بما في ذلك اختبار الاختراق القائم على التهديدات للمؤسسات ذات الأهمية النظامية — تتطابق مع مرحلة التحقق. المؤسسات المالية التي تطبّق CTEM كإطار امتثال DORA تحصل على دليل الامتثال التنظيمي وتحسين الأمان التشغيلي من نفس البرنامج.