72 دقيقة حتى استخراج البيانات: لماذا يجب أن تعمل مراكز عمليات الأمن بسرعة الآلة

رقم 72 دقيقة في سياقه

في 17 فبراير 2026، نشرت Unit 42 التابعة لـ Palo Alto Networks تقرير الاستجابة العالمية للحوادث 2026، مستندةً إلى أكثر من 750 حادثاً سيبرانياً كبيراً في أكثر من 50 دولة. المقياس الرئيسي صريح: في أسرع الحالات التي جرى التحقيق فيها، انتقل المهاجمون من الوصول الأولي إلى استخراج البيانات في 72 دقيقة فقط — أسرع بأربع مرات من نفس المقياس قبل عام.

زمن الاختراق — الفاصل الزمني بين الاختراق الأولي والأثر القابل للقياس — يتقلص باطّراد منذ عقد. تتبّعه تقرير CrowdStrike السنوي من ساعات في 2019 إلى دقائق في 2023. تؤكّد بيانات Unit 42 لعام 2026 أن التسارع الآن أسّي وليس خطياً، وتنسبه أساساً إلى الاستخدام التشغيلي للذكاء الاصطناعي من قبل المهاجمين للاستطلاع وتوليد محتوى التصيد وكتابة السكريبتات وأتمتة التحرّك الجانبي.

بالنسبة للمدافعين، الاستنتاج مباشر. إذا كان بإمكان الخصوم إكمال سلسلة القتل في 72 دقيقة، فإن مركز عمليات الأمن (SOC) الذي يكتشف التنبيهات ويفرزها وفق جدول بشري — ورديات، طوابير، تذاكر — قد خسر المعركة قبل أن يقرأ المحلل المناوِب الإشعار.

أين انهارت الحوادث الـ 750

مجموعة نتائج تقرير Unit 42 غنية بأرقام محددة وقابلة للدفاع عنها. خمسة منها بارزة:

• قرابة 90% من التحقيقات شملت ضعف الهوية كعامل جوهري. بيانات الاعتماد المخترَقة وإرهاق MFA وإساءة استخدام رموز OAuth واختطاف الجلسات أصبحت الآن فئة الوصول الأولي المهيمنة.
• 87% من الاختراقات شملت نشاطاً عبر سطوح هجوم متعددة. تُفوّت أدوات الكشف ذات المنتج الواحد غالبية الاختراقات لأن المهاجمين يربطون نشاط الأجهزة والهوية والسحابة وSaaS.
• قرابة 48% من الحوادث تضمنت نشاطاً قائماً على المتصفح. أصبح المتصفح مكان العمل — وسطح الهجوم.
• 23% من الحوادث شملت استغلال تطبيقات SaaS من طرف ثالث. اختراق Vercel/Context.ai الذي كُشف عنه بعد شهرين من هذا التقرير هو مثال نموذجي.
• أكثر من 90% من الحوادث تضمنت تهيئات خاطئة أو ثغرات تغطية أمنية. لم تكن الثغرة غياب الأدوات بل سوء نشر أدوات تم شراؤها بالفعل.

اتجاه إيجابي واحد: انخفاض بنسبة 15% في الابتزاز القائم على التشفير مقارنة بالعام السابق، حيث تتحوّل المنظمات نحو الابتزاز بسرقة البيانات مع تجاوز التشفير لصالح تهديدات التسريب. هذا لا يجعل الاختراقات أقل ضرراً — بل يجعلها أسرع.

ما الذي تعنيه “سرعة الآلة” فعلاً لمركز SOC

“سرعة الآلة” ليست لغة تسويقية لشراء المزيد من الأدوات. إنها نموذج تشغيل محدد بخصائص قابلة للقياس:

الكشف بالثواني، لا بالدقائق. قواعد الارتباط التي تُطلَق عند ظهور إشارة هوية واحدة في أي مكان في البيئة — تفويض OAuth جديد، تسجيل دخول بسفر مستحيل، إصدار رمز من تطبيق غير معروف — يجب أن تعمل في خطوط أنابيب البث، لا في استعلامات دُفعية. نافذة تجميع SIEM مدتها 15 دقيقة أطول بالفعل من زمن إقامة أسرع الهجمات.

استجابة آلية للأنماط المعروفة. عندما يطابق تنبيه من المستوى الأول نمطاً معروفاً بأنه سيء (سفر مستحيل + رفع امتيازات + حجم تنزيل)، يجب أن تنطلق الاستجابة — إلغاء الجلسة، إبطال الرمز، إعادة تعيين بيانات الاعتماد — تلقائياً. انتظار نقر محلل على “موافقة” هو انتظار تجاوز نافذة 72 دقيقة.

الهوية كعمود فقري للتّليمتري. نظراً لأن قرابة 90% من حالات Unit 42 شملت ضعف الهوية، يجب أن تكون أحداث الهوية — لا أحداث الأجهزة — هي الإشارة الرئيسية. هذا يعني سجلات Azure AD / Entra ID و Okta و Google Workspace مستوعبة في الزمن الحقيقي مع خط أساس سلوكي، وليس مراجعة امتثال ربع سنوية.

الارتباط عبر الأسطح افتراضياً. مع 87% من الاختراقات تعبر أسطح متعددة، فإن أي SOC يحلل بيانات الأجهزة والسحابة وSaaS في وحدات تحكم منفصلة سيفوّت غالبية الهجمات. يجب أن تُوحّد منصات XDR أو SIEM هذه التدفقات — والأهم، يجب أن يتبع سير عمل المحللين التهديدات عبر الأسطح بدلاً من الفرز وفق طابور الأدوات.

هندسة الكشف كوظيفة دائمة. يجب أن تتطور مكتبة الكشف أسبوعياً مع تغيّر تكتيكات وتقنيات وإجراءات المهاجمين (TTPs). يتطلب ذلك دوراً مخصصاً لهندسة الكشف، وليس تناوباً بين محللي المناوبة الذين يكتبون القواعد بين الحوادث.

الفجوة بين التقرير ومعظم مراكز SOC

الجزء المزعج من بيانات Unit 42 هو الفجوة بين ما تصفه وما تشغّله فعلياً معظم مراكز SOC. تُظهر استبيانات الصناعة من 2025 باستمرار أن مركز SOC المتوسط في السوق المتوسطة لا يزال يعمل مع:

• SIEM بنوافذ تجميع 15-30 دقيقة
• كشف الأجهزة وسجلات الهوية في وحدات تحكم منفصلة
• فرز يدوي بواسطة المحلل لمعظم تنبيهات المستوى 1 وجميع المستوى 2
• تحديثات قواعد كشف فصلية أو ظرفية
• أتمتة استجابة محصورة في حالات استخدام محددة مُعتمدة من إدارة التغيير

سدّ هذه الفجوة ليس عملية شراء أداة واحدة. إنه برنامج متعدد الفصول يتضمن توحيد المنصات وتأليف دلائل الأتمتة وإثراء تّليمتري الهوية وتوظيف هندسة الكشف. المؤسسات التي تبدأ هذا البرنامج في 2026 متأخرة بالفعل عن منحنى الهجوم؛ والتي لم تبدأه بحلول 2027 ينبغي أن تتوقع نتائج اختراق تطابق متوسطات Unit 42.

قائمة أولويات عملية للربع الثاني من 2026

لقادة SOC الذين يقرؤون تقرير Unit 42 كنداء للعمل، تهيمن خمس أولويات على الـ 90 يوماً القادمة:

1. قِس MTTD و MTTR الحاليين مقابل معيار 72 دقيقة. إذا استغرق الكشف وحده أكثر من 72 دقيقة، لن تنقذ أتمتة الاستجابة الجدول الزمني.
2. قِس أحداث OAuth والهوية من النهاية إلى النهاية. تأكد من تسجيل كل موافقة OAuth وإصدار رمز ومصادقة عبر المستأجرين ووضع خط أساس لها.
3. وحّد تّليمتري الأجهزة والهوية وSaaS في سطح استعلام واحد. إذا كان المحللون يتنقلون بين أربع وحدات تحكم، سيتجاوزهم المهاجمون سرعةً.
4. أتمت إلغاء الجلسات وبيانات الاعتماد لأعلى خمسة أنماط كشف عالية الثقة. يمكن أن يظل الباقي يدوياً بينما تُبنى الثقة بالأتمتة.
5. وظّف هندسة الكشف كوظيفة مخصصة. يتحرك مشهد الهجوم أسبوعياً؛ يجب أن يتحرك محتوى الكشف كذلك.

رقم 72 دقيقة ليس تهديداً مستقبلياً. إنه ما رصدته Unit 42 عبر 750 حادثاً في السنة التي انتهت للتو. مراكز SOC التي تستعد لذلك الآن تستعد للمتوسط، لا لأسوأ السيناريوهات.

المصادر والقراءات الإضافية

• 2026 Unit 42 Global Incident Response Report — Palo Alto Networks
• 2026 Unit 42 Global Incident Response Report: Attacks Now 4x Faster — Palo Alto Networks Community
• 2026 Unit 42 Global Incident Response Report Coverage — Strategic Focus
• 5 Predictions That Will Redefine Your SOC in 2026 — Security Boulevard