Home
الأرشيف

إدارة التعرض المستمر للتهديدات (CTEM): المستقبل الجديد للأمن السيبراني

اكتشف جوهر CTEM: إدارة التعرض المستمر للتهديدات، مع التركيز على تحديد الأولويات والتحقق لضمان حماية أعمالك من المخاطر السيبرانية الحقيقية.
Cybersecurity Arab

إصلاح كل شيء مستحيل. ومحاولة ذلك مجرد مضيعة للوقت. الفرق الذكية لا تستهلك وقتها الثمين في مطاردة إنذارات بلا قيمة. فهي تدرك أن المفتاح الخفي لحماية المؤسسة هو معرفة أي الثغرات هي التي تشكل خطرًا حقيقيًا على العمل.
ما هي إدارة التعرض المستمر للتهديدات (CTEM)؟

لهذا السبب قدمت Gartner مفهوم إدارة التعرض المستمر للتهديدات (CTEM)، وجعلت تحديد الأولويات والتحقق في صميمه. الأمر لا يتعلق بلوحات تحكم أكثر أو رسومات أجمل، بل يتعلق بتركيز الجهود على العدد القليل من التعرضات التي تهم فعلاً، وإثبات أن دفاعاتك قادرة على الصمود عندما وحيثما تحتاج فعليًا.

على الرغم من الاستثمار المنسق للوقت والجهد والتخطيط والموارد، فإن حتى أحدث أنظمة الأمن السيبراني ما تزال تفشل. كل يوم. لماذا؟

الأمر ليس لأن فرق الأمن لا ترى بما فيه الكفاية. بل العكس تمامًا. كل أداة أمنية تُخرج آلاف التنبيهات:

  • أصلح هذا.

  • امنع ذاك.

  • حقّق في هذا.

إنه أشبه بتسونامي من النقاط الحمراء التي لا يمكن حتى لأمهر فريق في العالم معالجتها بالكامل.

وهنا تظهر الحقيقة غير المريحة: معظم هذه التنبيهات لا تهم.

المشكلة مع إدارة الثغرات التقليدية

إدارة الثغرات بُنيت على فرضية بسيطة: ابحث عن كل ضعف، صنّفه، ثم أصلحه.
على الورق، يبدو الأمر منطقيًا ومنهجيًا. بل وكان في وقت من الأوقات حلاً مناسبًا.

لكن اليوم، في ظل سيل غير مسبوق ومستمر من التهديدات، أصبحت هذه العملية أشبه بجهاز المشي (Treadmill) الذي لا يمكن حتى لأقوى الفرق مواكبته.

كل عام، يُعلن عن أكثر من 40,000 ثغرة CVE. أنظمة التصنيف مثل CVSS و EPSS تصف dutifully حوالي 61% منها بأنها "حرجة".
لكن هذا ليس تحديد أولويات، بل حالة ذعر على نطاق واسع.

هذه الملصقات لا تهتم إن كانت الثغرة مخفية خلف ثلاث طبقات من المصادقة، أو محجوبة بضوابط أمنية قائمة، أو شبه مستحيلة الاستغلال في بيئتك الخاصة. بالنسبة لها، التهديد هو تهديد.

Projected Vulnerability Volume

إذن، تنهك الفرق نفسها بمطاردة أشباح. تضيع وقتها في ثغرات لن تُستغل أبدًا في أي هجوم، بينما تتسلل قلة من الثغرات المهمة فعلًا دون أن يلاحظها أحد. إنها أشبه بـ مسرحية أمنية تتنكر في صورة تقليل للمخاطر.

في الواقع، سيناريو المخاطر الحقيقية يبدو مختلفًا تمامًا. فبمجرد أن تأخذ الضوابط الأمنية الموجودة بعين الاعتبار، ستجد أن حوالي 10% فقط من الثغرات في العالم الحقيقي تُعد حرجة فعلاً. وهذا يعني أن 84% من التنبيهات المصنفة "حرجة" هي في الحقيقة مجرد إنذارات زائفة، تستنزف الوقت والميزانية والتركيز، والتي كان من المفترض أن تُوجّه نحو التهديدات الحقيقية.

ظهور مفهوم إدارة التعرض المستمر للتهديدات (CTEM)

تم تطوير إدارة التعرض المستمر للتهديدات (CTEM) لإنهاء هذا الركض المستمر بلا نهاية. فبدلًا من إغراق الفرق بكمية هائلة من النتائج "الحرجة" النظرية، يقدم CTEM الوضوح بدل الكثرة من خلال خطوتين أساسيتين:

  1. تحديد الأولويات (Prioritization): ترتيب الثغرات وفقًا لتأثيرها الفعلي على العمل، وليس بناءً على درجات خطورة نظرية.

  2. التحقق (Validation): اختبار هذه الثغرات ذات الأولوية في بيئتك الخاصة، لمعرفة أيها يمكن للمهاجمين استغلالها حقًا.

واحدة دون الأخرى لا تكفي:

  • الأولويات وحدها مجرد تخمينات محسوبة.

  • التحقق وحده يبدد الجهد في سيناريوهات افتراضية أو مشاكل غير مهمة.

لكن معًا، يحولا الافتراضات إلى أدلة، والقوائم التي لا تنتهي إلى إجراءات مركزة وواقعية.

CTEM in Action

ويذهب نطاق CTEM إلى ما هو أبعد من ثغرات CVE. فبحسب توقعات Gartner، بحلول عام 2028، سيأتي أكثر من نصف مصادر التعرضات من نقاط ضعف غير تقنية مثل:

  • التطبيقات السحابية (SaaS) المكوّنة بشكل خاطئ،

  • بيانات اعتماد (Credentials) مسرّبة،

  • الأخطاء البشرية.

والجيد أن CTEM يتعامل مع هذا مباشرة، حيث يطبق نفس سلسلة الإجراءات المنهجية: تحديد الأولويات ثم التحقق، على كل نوع من أنواع التعرضات.

لهذا السبب، فإن CTEM ليس مجرد إطار عمل، بل هو تطور ضروري: من مطاردة التنبيهات إلى إثبات المخاطر، ومن محاولة إصلاح كل شيء إلى إصلاح ما يهم فعليًا.

أتمتة التحقق عبر تقنيات التحقق الهجومي من التعرضات (AEV)

يتطلب CTEM التحقق، لكن هذا التحقق يحتاج إلى دقة وسياق هجومي، وهو ما توفره تقنيات Adversarial Exposure Validation (AEV).
هذه الأدوات تساعد على تقليص قوائم الأولويات المبالغ فيها، وتثبت عمليًا أي التعرضات يمكن أن تفتح الباب فعلًا أمام المهاجمين.

هناك تقنيتان رئيسيتان تدفعان هذه الأتمتة:

محاكاة الاختراق والهجوم (BAS – Breach and Attack Simulation):

تقوم بمحاكاة آمنة ومستمرة لتقنيات الهجوم الشائعة مثل:

  • نشر برمجيات الفدية (Ransomware Payloads)،
  • الحركة الجانبية داخل الشبكة (Lateral Movement)،
  • تسريب البيانات (Data Exfiltration).
الهدف هو التحقق مما إذا كانت ضوابطك الأمنية ستوقف فعلًا ما يُفترض أن توقفه.
إنها ليست تجربة لمرة واحدة، بل ممارسة مستمرة، مع ربط السيناريوهات بإطار التهديدات MITRE ATT&CKⓇ لضمان الملاءمة والتناسق والشمولية.

اختبارات الاختراق الآلية (Automated Penetration Testing):

تذهب أبعد من مجرد المحاكاة، حيث تقوم بربط الثغرات وسوء التهيئة كما يفعل المهاجمون في العالم الحقيقي.
وتتميز بقدرتها على كشف واستغلال مسارات الهجوم المعقدة مثل:

  • Kerberoasting في Active Directory،
  • تصعيد الامتيازات (Privilege Escalation) عبر أنظمة الهوية المُدارة بشكل سيئ.

وبدل الاعتماد على اختبار اختراق سنوي، تمنح الفرق القدرة على إجراء اختبارات عملية عند الطلب، وبالقدر الذي تحتاجه.

معًا، يوفّر BAS و اختبارات الاختراق الآلية لفرقك منظور المهاجم على نطاق واسع. فهي لا تكشف فقط التهديدات التي تبدو خطيرة، بل توضّح ما هو قابل للاستغلال فعلًا، وما يمكن اكتشافه، وما يمكن الدفاع عنه داخل بيئتك.

هذا التحول بالغ الأهمية للبنى التحتية الديناميكية حيث:

  • الأجهزة الطرفية تُنشأ وتُحذف يوميًا،

  • بيانات الاعتماد يمكن أن تتسرب عبر تطبيقات SaaS،

  • التهيئات تتغير مع كل دورة تطوير (Sprint).

في مثل هذه البيئات المتغيرة باستمرار، تصبح التقييمات الثابتة قديمة بسرعة. بينما يضمن BAS والاختبار الآلي للاختراق أن يبقى التحقق مستمرًا، محوّلين إدارة التعرضات من مجرد افتراضات نظرية إلى أدلة واقعية عملية.

حالة واقعية: التحقق الهجومي من التعرضات (AEV) أثناء التنفيذ

لنأخذ ثغرة Log4j كمثال.
عند ظهورها لأول مرة:

  • كل الماسحات أضاءت باللون الأحمر.

  • نظام CVSS منحها درجة 10.0 (حرجة).

  • نماذج EPSS صنّفتها باحتمالية استغلال عالية.

  • قوائم الأصول (Asset Inventories) أظهرت انتشارها في مختلف البيئات.

الطرق التقليدية أعطت الفرق الأمنية صورة مسطحة، تطلب منهم التعامل مع كل حالة بنفس مستوى الاستعجال. والنتيجة؟ تشتت الموارد بسرعة، وضياع الوقت في مطاردة تكرارات للمشكلة نفسها.

لكن التحقق الهجومي من التعرضات (AEV) يغيّر القصة.
بفضل التحقق في السياق، يمكن للفرق أن ترى بسرعة أن ليست كل حالة Log4j أزمة فعلية:

  • قد يكون أحد الأنظمة محميًا بالفعل عبر قواعد فعالة في WAF، أو ضوابط تعويضية، أو تقسيم الشبكة (Segmentation).

  • هذا يخفض درجة الخطر من 10.0 إلى 5.2، ما يحوّلها من "أوقفوا كل شيء الآن" إلى "أصلحها ضمن الدورات العادية."

وفي المقابل، يمكن لـ AEV أن يكشف سيناريو عكسي:
ثغرة تبدو متوسطة الأهمية، مثل سوء تهيئة في تطبيق SaaS، قد ترتبط مباشرة بتسريب بيانات حساسة، لترتفع من "متوسطة" إلى "حرجة وعاجلة."

Validating the Log4j Vulnerability to its True Risk Score

التحقق الهجومي من التعرضات (AEV) يحقق قيمة حقيقية لفرق الأمن

من خلال قياس:

  • فعالية الضوابط (Control Effectiveness): إثبات ما إذا كانت محاولة الاستغلال يتم حظرها أو تسجيلها أو تجاهلها.

  • الكشف والاستجابة (Detection and Response): إظهار ما إذا كانت فرق الـ SOC ترى النشاط بالفعل، وما إذا كانت فرق الاستجابة للحوادث (IR) تحتويه بالسرعة الكافية.

  • الجاهزية التشغيلية (Operational Readiness): كشف نقاط الضعف في سير العمل، ومسارات التصعيد، وإجراءات الاحتواء.

عمليًا، يحوّل التحقق الهجومي من التعرضات ثغرة مثل Log4j أو أي ثغرة أخرى من كابوس عام بعنوان "حرجة في كل مكان" إلى خريطة دقيقة للمخاطر.
إنه يخبر CISOs وفرق الأمن ليس فقط بما هو موجود، بل أي التهديدات الموجودة تمثل خطرًا حقيقيًا على بيئتهم اليوم.

مستقبل التحقق: قمة Picus BAS 2025

يوفر مفهوم إدارة التعرض المستمر للتهديدات (CTEM) الوضوح المطلوب بشدة، من خلال محركين يعملان معًا:

  • تحديد الأولويات لتركيز الجهود.

  • التحقق لإثبات ما يهم حقًا.

تساعد تقنيات التحقق الهجومي من التعرضات (AEV) في جعل هذه الرؤية حقيقة واقعة. من خلال دمج محاكاة الاختراق والهجوم (BAS) و اختبارات الاختراق الآلية، يمكنها أن تُظهر لفرق الأمن منظور المهاجم على نطاق واسع، كاشفة ليس فقط عما يمكن أن يحدث، بل ما سيحدث بالفعل إذا لم تتم معالجة الثغرات الموجودة.

Breach and Attack Simulation (BAS) started as a bold idea

ولرؤية هذه التقنيات عمليًا، يمكنك الانضمام إلى Picus Security و SANS و Hacker Valley وعدد من قادة الأمن البارزين في قمة Picus BAS 2025: إعادة تعريف محاكاة الهجمات عبر الذكاء الاصطناعي.
هذه القمة الافتراضية ستعرض كيف يشكل BAS والذكاء الاصطناعي مستقبل التحقق الأمني، مع رؤى من محللين وممارسين ومبتكرين يقودون هذا المجال إلى الأمام.

الأسئلة الشائعة حول CTEM

ما الفرق بين CTEM وإدارة الثغرات (Vulnerability Management)؟

إدارة الثغرات تركز على اكتشاف وإصلاح الثغرات، بينما CTEM يضيف بعدًا استراتيجيًا من خلال تحديد الأولويات والتحقق المستمر من فعالية الحلول.

هل CTEM مناسب للشركات الصغيرة؟

نعم، CTEM ليس مخصصًا فقط للمؤسسات الكبرى. حتى الشركات الصغيرة يمكن أن تستفيد منه لتعزيز أمنها الرقمي وحماية بيانات عملائها.

هل يعتمد CTEM على الذكاء الاصطناعي؟

في العديد من الحلول الحديثة، يتم دمج تقنيات الذكاء الاصطناعي مع CTEM لتسريع اكتشاف الثغرات وتحديد أولوياتها بشكل أكثر دقة.

كيف يمكن البدء في تطبيق CTEM؟

البداية تكون عبر تقييم بيئة المؤسسة الرقمية، ثم اختيار أدوات CTEM المناسبة، وتدريب فرق الأمن على استخدامها بشكل فعال ضمن استراتيجية الأمن السيبراني الشاملة.

الخلاصة

أثبتت السنوات الأخيرة أن محاولة إصلاح كل شيء ليست الحل.
الخطوة الذكية هي إصلاح ما يهم فقط.
وهذا بالضبط ما يقدمه مفهوم إدارة التعرض المستمر للتهديدات (CTEM) من خلال الجمع بين تحديد الأولويات والتحقق، وتحويل الأمن السيبراني من ملاحقة تنبيهات عشوائية إلى إدارة واقعية مبنية على الأدلة.

Post a Comment