أمن المؤسسات كيزكل تهديد حقيقي واحد كل سيمانة بسباب إهمال التنبيهات منخفضة الخطورة

خلاصة: واحد التحليل ديال 25 مليون تنبيه أمني فبيئات حية ديال المؤسسات بيّن بلي تقريبا 1% ديال الحوادث المؤكدة بدات من تنبيهات تصنفات فالأول كأنها منخفضة الخطورة أو مجرد معلومات — وهادشي كيعني تقريبا 54 تهديد حقيقي فالعام، أو واحد فالسيمانة، لي ماكدارش ليهم تحقيق فنماذج SOC و MDR التقليدية. وفـ endpoints بوحدها، هاد النسبة طلعات لـ 2%، و 51% ديال اختراقات endpoints المؤكدة كانت ديجا معلّمة بلي راها "mitigated" (تم التخفيف منها) من طرف شركات EDR المصدرة، وخا كاينين إصابات نشطة ديال البرمجيات الخبيثة تكتشفات فـ memory.

شنو واقع

واحد المجموعة ديال البيانات لي شملات 25 مليون تنبيه أمني، و 10 مليون endpoints وهويات مراقبة، و 82,000 تحقيق جنائي فـ endpoints مع فحوصات حية لـ memory، و telemetry من كثر من 550,000 إيميل ديال تصيد (phishing)، كشفات على ثغرات منهجية فكيفاش العمليات الأمنية ديال المؤسسات كترتب الأولوية ديال التحقيق فالتنبيهات.

النتيجة الأساسية: تقريبا 1% ديال الحوادث المؤكدة بدات من تنبيهات كانت مصنفة فالأصل كمنخفضة الخطورة أو معلوماتية. على مستوى المؤسسات، المنظمة العادية كتولد تقريبا 450,000 تنبيه فالعام، وهادشي كيعني بلي تقريبا 54 تهديد حقيقي سنويا — أي واحد فالسيمانة — عمرو ما كيتدار فيه تحقيق تحت نماذج الفرز لي كتعمد على الخطورة، ولي كيخدمو بيها مقدمي SOC و MDR التقليديين.

ملي تدار تحليل جنائي لـ memory فـ 82,000 تنبيه ديال endpoints، لقاو بلي 2,600 منها فيها إصابات نشطة. ومن هادوك endpoints لي تأكد الاختراق ديالهم، 51% منهم ديجا صدر ليها حكم "mitigated" من طرف مورد EDR ديالها. عائلات البرمجيات الخبيثة لي تلقات خدامة فـ memory النشطة خلال الفحوصات كتشمل Mimikatz و Cobalt Strike و Meterpreter و StrelaStealer — وهادو أدوات تشغيلية كيخدمو بيها مجرمين ومشغلين تابعين لدول، ماشي غير استغلالات لإثبات المفهوم (proof-of-concept).

التقرير وثّق تا واحد التغيير فمنهجية تصيد (phishing). قل من 6% ديال الإيميلات الخبيثة لي تأكدات كان فيها مرفقات؛ الأغلبية عتامدات على الروابط والهندسة الاجتماعية. المهاجمين نقلو البنية التحتية ديالهم لمنصات موثوقة بحال Vercel و CodePen و OneDrive ونظام الفوترة ديال PayPal. وحدة من الحملات الموثقة استغلات البنية التحتية الشرعية ديال طلبات الدفع فـ PayPal باش تصيفط إيميلات ديال التهديد، بحيث حطو أرقام ديال callback فالملاحظات ديال الدفع وخدمو بـ Unicode homoglyphs باش يتجاوزو الاكتشاف لي كيعتمد على التوقيع (signature-based detection).

وتكتشفو ربعة ديال التقنيات الجداد باش يتجاوزو email gateways: حمولة (payload) بـ Base64 مخبية فملفات SVG، روابط مخشية فـ metadata ديال التعليقات التوضيحية فـ PDF، صفحات تصيد (phishing) كتحمل ديناميكيا من مشاركات OneDrive، وملفات DOCX كتخبي محتوى HTML مؤرشف فيه QR codes.

الـ telemetry ديال الكلاود بيّن تركيز كبير على تكتيكات التهرب من الدفاع (defense evasion) والبقاء (persistence) عوض السلوكيات لي عندها تأثير كبير بحال الحركة الجانبية (lateral movement) أو تصعيد الامتيازات (privilege escalation). خدمات AWS S3 شملات تقريبا 70% من كاع الانتهاكات ديال التحكم فالكلاود، والمشاكل الأكثر شيوعا تركزات على إدارة الوصول، وتسجيل الدخول للسيرفر (server logging)، والقيود بين الحسابات — وهادي نتائج نادرا ما كتطلق تنبيهات وغالبا كتصنف كمنخفضة الخطورة بالرغم من استغلالها المتكرر.

علاش هادشي مهم

بالنسبة لـ مطورين والمهندسين ديال البنية التحتية، هاد البحث كيوثق مشكل حرج فالقدرة الاستيعابية: الفرز لي كيبازي على الخطورة غير كافي رياضيا باش يغطي أحجام التنبيهات الحديثة. العائق التشغيلي ماشي هو جودة الاكتشاف ولكن سعة المحللين (analyst bandwidth). تقريبا 60% ديال التنبيهات ماكدارش ليها مراجعة لا فـ SOCs الداخلية ولا فخدمات MDR الخارجية بسباب حدود القدرة البشرية.

بالنسبة لمحللي SOC وصيادي التهديدات، النتائج كتبين بلي دورة الملاحظات (feedback loop) مهرسة. ملي التنبيهات منخفضة الخطورة ماكيتحققوش منها نهائيا، التهديدات لي تزگلات عمرها مابغادي تبان. قواعد الاكتشاف لي ماكتقدرش تشد هجومات حقيقية ماعمرها غتصحح. النظام ماكيحسنش راسو براسو حيت المدخلات المطلوبة للتحسين عمرها ما كتدرس.

بالنسبة للهندسة الأمنية، البيانات كتقدم حجة باش نعاودو التفكير فكيفاش كيتدار الفرز من الأساس. النموذج التقليدي — أتمتة معظم الإغلاقات، التحقيق غير فالتنبيهات الحرجة، والثقة فتصنيفات الخطورة — كيفشل على نطاق واسع ملي المهاجمين كيوجدو الهجومات بالعاني باش ينتجو إشارات أولية ضعيفة ويستغلو الثغرات المتوقعة فالتغطية.

النتيجة المحددة على ادعاءات التخفيف (mitigation) ديال EDR عندها أهمية تشغيلية كبيرة: نص اختراقات endpoints المؤكدة كانو شركات EDR ديجا علنو بلي راها تنقات. بلا مانخدمو تحليل جنائي باش نأكدو هادشي على مستوى memory، هادوك الإصابات غادي يبقاو غير مرئيين.

الأنظمة المتضررة و CVEs

• مزودي EDR (مامحددينش فالتقرير)
• Email gateways
• منصات SOC
• خدمات MDR
• AWS S3
• Vercel
• CodePen
• OneDrive
• نظام الفوترة ديال PayPal
• Cloudflare Turnstile
• Google reCAPTCHA

ما تخصص حتى CVE فاش تنشرات هاد المقالة.

شنو خاص دار

• طبقو تغطية للتحقيق فالتنبيهات بلاما تعتمدو على تصنيف الخطورة؛ حققو فكاع التنبيهات عوض الفلترة بالاعتماد على علامات الخطر الأولية.
• ديرو تحليل جنائي (forensic-grade analysis) على نطاق واسع باش تكملو وتأكدو ادعاءات الاكتشاف ديال EDR التقليدية، وخصوصا فحوصات memory الحية فـ endpoints المشبوهة.
• راجعو إدارة الوصول لـ AWS S3، وكونفيغوراسيون ديال server logging، وسياسات القيود عبر الحسابات؛ وعطيو الأولوية لإصلاح misconfigured buckets بغض النظر على خطورة التنبيه.
• خدمو مقاربات بديلة ديال أمان الإيميل مصممة باش تشد تصيد (phishing) لي مستضاف فمنصات موثوقة (Vercel, CodePen, OneDrive, PayPal, إلخ).
• زيدو طرق فحص ثانوية للإيميلات لي كتخدم تقنيات التمويه (obfuscation): Base64 فملفات SVG، روابط فـ metadata ديال PDF، و QR codes فـ HTML مؤرشف وسط ملفات DOCX.
• خدمو تحليل جنائي على مستوى memory باش تأكدو قرارات المعالجة ديال EDR قبل ما تسدو تذاكر الحوادث.
• رجعو نتائج التحقيق للهندسة ديال الاكتشاف باش تحسنو تعديل القواعد وتقللو السلبيات الكاذبة (false negatives).
• فكرو فقدرات SOC مدعومة بالذكاء الاصطناعي (AI) باش تزيدو تغطية تحليل التنبيهات ورا حدود القدرة الاستيعابية ديال المحللين البشريين.

أسئلة باقة مطروحة

• شكون هما شركات EDR المحددة لي فشلات تكتشف الإصابات النشطة فـ 51% ديال الاختراقات المؤكدة؟ التقرير ماكشفش على أسماء الشركات.
• شكون هي المؤسسة (أو المؤسسات) لي عطات البيانات ديال 25 مليون تنبيه، وشحال ديال الوقت تخادو فيه هاد التنبيهات؟
• شنو هو النطاق الجغرافي ديال البيئات المراقبة، واش نسبة 1% كطبق بشكل موحد على كاع أنواع وأحجام المؤسسات؟
• واش 54 تهديد مفقود فالعام لكل مؤسسة كيمثل اختراقات مؤكدة زادت لقدام وتسببات فخسائر، ولا اختراقات توقفات فمراحل متقدمة؟
• شنو هما طرق أو قواعد الاكتشاف المحددة لي خدموها مصدري EDR وفشلات باش تتعرف على الإصابات النشطة ديال البرمجيات الخبيثة؟
• شكون هي الدول أو المنظمات الإجرامية لي كانت ورا هاد الهجومات لي تلاحظات؟

المصدر

One Missed Threat Per Week: What 25M Alerts Reveal About Low-Severity Risk