انفجار SaaS الذي لا يؤمّنه أحد
تعمل المؤسسة الحديثة على SaaS. وفقاً لمؤشر إدارة SaaS 2025 من Zylo، تُشغّل الشركة المتوسطة الآن 275 تطبيق SaaS. المؤسسات الكبرى التي تضم 10,000 موظف أو أكثر تستخدم في المتوسط 660 تطبيق SaaS مميز وتنفق نحو 284 مليون دولار سنوياً على SaaS وحده. كل تطبيق من هذه التطبيقات يُخزّن بيانات مؤسسية ويُصادق الموظفين ويتصل بأنظمة أخرى عبر واجهات برمجة التطبيقات (API) والتكاملات. والواقع المُقلق هو أن فرق أمن تقنية المعلومات تفتقر إلى الرؤية الشاملة لحصة كبيرة منها.
تُقدّر الأبحاث الصناعية باستمرار أن ما يصل إلى 65% من تطبيقات SaaS في بيئات المؤسسات غير مُعتمدة، يتم تبنيها دون موافقة تقنية المعلومات أو مراجعة أمنية أو حوكمة. تُقدّر Gartner أن 41% من الموظفين يحصلون على تقنيات أو يُعدّلونها أو يُنشئونها دون علم أقسام تقنية المعلومات لديهم، وهو رقم متوقع أن يصل إلى 75% بحلول 2027.
هذا ليس خطراً نظرياً. وثّق تقرير Obsidian Security 2025 لتهديدات أمن SaaS ارتفاعاً بنسبة 300% في اختراقات SaaS مقارنة بالعام السابق، ووجد تقرير AppOmni 2025 أن 75% من المؤسسات تعرضت لحادث أمني SaaS خلال الاثني عشر شهراً الماضية. أثبت هجوم Microsoft Midnight Blizzard أواخر 2023 كيف يمكن لتطبيق OAuth واحد مُخترق أن يتسلسل إلى اختراق كارثي.
قضية Midnight Blizzard: عندما يصبح OAuth سلاحاً
في يناير 2024، كشفت Microsoft أن Midnight Blizzard (المعروف سابقاً بـ Nobelium)، الجهة الفاعلة المدعومة من الدولة الروسية والمسؤولة عن هجوم SolarWinds، اخترقت أنظمة Microsoft المؤسسية عبر اختراق تطبيق OAuth اختباري قديم. بدأ الهجوم أواخر نوفمبر 2023. كانت سلسلة الهجوم بسيطة بشكل مدمر: حدد المهاجمون حساب اختبار قديم غير إنتاجي بدون مصادقة متعددة العوامل (MFA). من خلال رش كلمات المرور (password spraying) باستخدام وكلاء سكنيين وحجم منخفض من المحاولات لتفادي الكشف، حصلوا على الوصول الأولي. ثم استغلوا تطبيق OAuth قديم بصلاحيات مُرتفعة، مانحين أنفسهم في نهاية المطاف دور full_access_as_app في Office 365 Exchange Online الذي يسمح بالوصول إلى صناديق البريد.
قضية Midnight Blizzard نموذج يُوضح لماذا يختلف أمن SaaS جوهرياً عن أمن البنية التحتية. تطبيق OAuth المُخترق كان شرعياً — أُنشئ لأغراض الاختبار ولم يعد مستخدماً بنشاط لكنه ظل متصلاً بصلاحيات لم يراجعها أحد، والأهم بدون حماية MFA. في عالم SaaS، يمنح رمز OAuth وصولاً مستمراً حتى يتم إلغاؤه صراحةً، ومعظم المؤسسات ليس لديها عملية أو أدوات لإجراء مراجعات منهجية لصلاحيات OAuth.
إعلان
تشريح مخاطر انتشار SaaS
يعمل الخطر الناتج عن انتشار SaaS عبر أربعة أبعاد تتضاعف معاً. البُعد الأول هو الحسابات المعزولة: عندما يغادر الموظفون مؤسسة أو يغيرون أدوارهم، نادراً ما يتم إلغاء حساباتهم في تطبيقات SaaS الظلية لأن تقنية المعلومات تجهل وجودها. وجد بحث AppOmni أنه من بين 256 تطبيق SaaS-to-SaaS مميز في المتوسط في بيئة مؤسسية، نحو 100 لم تعد مستخدمة بنشاط لكنها تحتفظ بالقدرة على الوصول إلى بيانات المؤسسة.
البُعد الثاني هو رموز OAuth المُفرطة الصلاحيات. وفقاً لـ Nudge Security، يُصدر الموظف المتوسط 70 منحة OAuth. البُعد الثالث هو تشتت البيانات — وجد تحليل Metomic لنحو 6.5 مليون ملف أن 40% من ملفات Google Drive تحتوي على بيانات حساسة، و34% من جميع الملفات المُفحوصة تمت مشاركتها مع جهات اتصال خارجية. البُعد الرابع هو مخاطر تكامل SaaS-to-SaaS. وثّق بحث AppOmni أن بيئة SaaS المؤسسية المتوسطة تحتوي على أكثر من 256 اتصال تطبيق SaaS-to-SaaS مميز، مع متوسط 900 اتصال مستخدم-تطبيق.
SSPM: طبقة الدفاع الناشئة
ظهرت إدارة وضع أمن SaaS (SSPM) كاستجابة سوقية لمخاطر انتشار SaaS. تتصل منصات SSPM بتطبيقات SaaS الخاصة بالمؤسسة عبر API، وتفحص باستمرار التكوينات الخاطئة والمستخدمين المُفرطي الصلاحيات وأنماط الوصول المشبوهة وانتهاكات الامتثال. وفقاً لـ Frost & Sullivan، بلغت قيمة سوق SSPM نحو 484 مليون دولار في 2025 ومن المتوقع أن تتجاوز 3.5 مليار دولار بحلول 2030، بمعدل نمو سنوي مركب 48.7%.
Wing Security، شركة SSPM ناشئة جمعت 26 مليون دولار، تُجسّد هذه الفئة. تكتشف منصة Wing جميع تطبيقات SaaS المستخدمة عبر المؤسسة بما في ذلك تقنية المعلومات الظلية. AppOmni، التي جمعت 123 مليون دولار إجمالاً، تركز على إدارة التكوين والوصول للتطبيقات SaaS المعتمدة. Adaptive Shield، التي استحوذت عليها CrowdStrike في نوفمبر 2024 بصفقة قُدّرت بـ 300 مليون دولار، توسع منصة Falcon بإدارة موحدة لوضع أمن SaaS.
بناء برنامج أمن SaaS
تحتاج المؤسسات التي تواجه انتشار SaaS إلى نهج منظم. الخطوة الأولى هي الاكتشاف: نشر أداة SSPM أو إجراء تدقيق يدوي لفهرسة كل تطبيق SaaS مستخدم وكل منحة OAuth وكل حساب مستخدم. الخطوة الثانية هي إنشاء إطار حوكمة — ليس بحظر تقنية المعلومات الظلية بل بإنشاء عملية موافقة متدرجة. الخطوة الثالثة هي المراقبة المستمرة والنظافة الرقمية: مراجعات آلية ربع سنوية لصلاحيات OAuth، وتكامل توفير/إلغاء توفير SaaS مع أنظمة الموارد البشرية، وتنبيهات SSPM لتغييرات التكوين عالية المخاطر. مع قدرة المهاجمين على اختراق بيانات SaaS واستخراجها في أقل من تسع دقائق وفقاً لـ Obsidian Security، لم تعد المراقبة الآنية اختيارية.
درس Midnight Blizzard وكل اختراق SaaS منذ ذلك الحين هو أن أمن SaaS لا يمكن أن يكون فكرة لاحقة. يجب أن يكون عملية مستمرة منسوجة في نسيج كيفية تبني المؤسسات لمحافظ SaaS المتنامية وإدارتها وحوكمتها.
الأسئلة الشائعة
ما المقصود بـ The Exploding Attack Surface؟
يتناول هذا المقال الجوانب الأساسية لهذا الموضوع، ويستعرض الاتجاهات الحالية والجهات الفاعلة الرئيسية والتداعيات العملية على المهنيين والمؤسسات في عام 2026.
لماذا يُعد هذا الموضوع مهمًا؟
يكتسب هذا الموضوع أهمية كبيرة لأنه يؤثر بشكل مباشر على كيفية تخطيط المؤسسات لاستراتيجيتها التقنية وتخصيص مواردها وتموضعها في مشهد سريع التطور.
ما أبرز النقاط المستخلصة من هذا المقال؟
يحلل المقال الآليات الرئيسية والأطر المرجعية والأمثلة الواقعية التي تشرح كيفية عمل هذا المجال، مستندًا إلى بيانات حديثة ودراسات حالة عملية.
المصادر والقراءات الإضافية
- Zylo 2025 SaaS Management Index
- Microsoft Midnight Blizzard Guidance for Responders
- Microsoft Update on Midnight Blizzard Actions (March 2024)
- AppOmni SaaS-to-SaaS Security Research
- AppOmni State of SaaS Security Report 2025
- Obsidian Security 2025 SaaS Security Threat Report
- Valence Security 2024 State of SaaS Security Report
- CrowdStrike Acquisition of Adaptive Shield
- Metomic Google Drive Sensitive Data Findings
- Nudge Security OAuth Risk Management
- Frost & Sullivan SSPM Market Forecast 2025-2030
- Gartner Shadow IT Statistics via Zluri
