الهجوم الإلكتروني هو محاولة متعمدة للوصول غير المصرّح به إلى شبكة كمبيوتر أو نظام كمبيوتر أو جهاز رقمي. والهدف هو سرقة أو عرض أو تغيير أو تعطيل أو تدمير البيانات أو التطبيقات أو الأصول.
تتراوح مصادر التهديد اليوم من المخترقين المنفردين والمجرمين الإلكترونيين المنظمين إلى المجموعات التي ترعاها الدول والتي تشارك في الحرب الإلكترونية طويلة الأمد. تكتيكاتهم تمتد عبر ترسانة متنامية باستمرار - بما في ذلك هجمات البرامج الضارة، وعمليات الاحتيال بالهندسة الاجتماعية، واستغلال دون انتظار، والديدان ذاتية التكاثر .
سيستغل المهاجمون كل أنواع الثغرات الأمنية، بدءًا من تطبيقات الويب غير المرقعة إلى الخدمات السحابية التي تم تكوينها بشكل غير صحيح، لاختراق النظام المستهدف وتعطيل وظائفه. وللتخفيف من حدة هذه التهديدات، تحتاج مجموعة إلى دفاعات متعددة الطبقات للمساعدة في منع الهجمات الإلكترونية يكشف والاستجابة لها قبل أن تعيث فسادًا.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
لا تحدث الهجمات السيبرانية بمعزل عن السياق، فهي تضرب في نقطة التقاء التقنية والبشر والدوافع. وتمتد عواقبها إلى ما هو أبعد من انقطاع مؤقت أو ملف مسروق. يضع تقرير تكلفة خرق البيانات الصادر عن IBM متوسط الاختراق العالمي عند 4.44 ملايين دولار أمريكي، وتشمل هذه التكلفة مراحل الاكتشاف والاستجابة للحوادث، وفترات التعطل، والخسائر في الإيرادات، والأضرار المستدامة بالسمعة.1
بعض الحوادث أغلى بكثير: في مارس 2024، دفعت إحدى الضحايا 75 مليون دولار أمريكي في هجوم واحد لبرامج الفدية، بينما استنزفت عمليات الاحتيال عبر اختراق البريد الإلكتروني للأعمال (BEC) 2.77 مليار دولار أمريكي من مؤسسة في عام 2024 وحده عبر 21442 حادثة تم الإبلاغ عنها.2 يتوقع المحللون أن ترتفع التكلفة السنوية العالمية للجرائم الإلكترونية من حوالي 9.2 تريليونات دولار أمريكي في عام 2024 إلى حوالي 13.8 تريليون دولار أمريكي بحلول عام 2028.
لفهم أهمية الهجمات الإلكترونية بشكل كامل، من المهم فحصها من ثلاثة أبعاد:
تنشأ الهجمات الإلكترونية من مجموعة واسعة من العناصر الخبيثة، الخارجية والداخلية على حد سواء.
يختلف المهاجمون الخارجيون اختلافًا كبيرًا. فقد تسعى مجموعات المجرمين الإلكترونيين إلى الربح من خلال حملات برامج الفدية أو عن طريق بيع البيانات المسروقة على الشبكة الخفية. بعضهم من المخترقين المحترفين الذين يتخصصون في الوصول إلى الأنظمة المخترقة.
على مستوى الدول القومية، تقوم العناصر التي ترعاها الحكومة بحملات طويلة الأمد من الحرب الإلكترونية والتجسس ضد الحكومات والشركات المنافسة. ثم هناك نشطاء مخترقون يقتحمون الأنظمة للفت الانتباه إلى قضية سياسية أو اجتماعية بدلًا من تحقيق مكاسب مالية مباشرةً.
وتشكل التهديدات الداخلية خطرًا مختلفًا ولكن بالقدر نفسه من الخطورة. قد يقوم الموظفون الساخطون باستخراج بيانات حساسة عمدًا أو تخريب الأنظمة للانتقام. البعض الآخر يتصرف بإهمال ببساطة: يمكن للمستخدم الذي يقوم بتخزين بيانات العميل في محرك أقراص غير آمن أن يخلق عن غير قصد نفس الثغرة التي قد يستغلها فاعل معادٍ. فقط عندما يسيئ شخص داخلي استخدام الوصول المصرّح به عن قصد، فإن ذلك يعتبر هجومًا إلكترونيًا حقيقيًا، ولكن حتى الإهمال يمكن أن يوفر موطئ القدم الأول لخصم خارجي.
يقتحم المهاجمون الأنظمة لأن كل أصل، سواء كان ملكية فكرية أو بيانات شخصية، له قيمة واضحة. وتشمل الأهداف الشائعة:
الأصول المالية: تشمل الحسابات المصرفية وأنظمة الدفع ومحافظ العملات المشفرة وأرقام بطاقات الائتمان وبيانات الاعتماد التي تمكن السرقة المباشرة أو إعادة البيع.
البيانات والملكية الفكرية: تشمل بيانات العملاء وتصميمات المنتجات والأبحاث الملكية معلومات التعريف الشخصية (PII) لسرقة الهوية أو إعادة بيعها على الشبكة الخفية.
البيئة التحتية الحساسة والأنظمة الحكومية: يشمل شبكات الطاقة وأنظمة الرعاية الصحية والوكالات الحكومية، ما يعطل أنظمة المعلومات الأساسية والخدمات العامة.
تهدف بعض الحملات إلى تعطيل الوظائف بدلًا من سرقة البيانات. على سبيل المثال، غمر هجوم موزع لحجب الخدمة (DDoS) حدث مؤخرًا هدفه بـ 11.5 تيرابايت في الثانية (Tbps) من حركة المرور لمدة 35 ثانية تقريبًا. كما قال أحد الباحثين، "إنه يعادل إغراق شبكتك بأكثر من 9350 فيلمًا عالي الدقة ... في 45 ثانية فقط."
ربما يكون أصعب سؤال للإجابة عليه هو لماذا يهاجم المهاجمون. يمكن أن تتراوح الدوافع من الربح إلى السياسة إلى المظالم الشخصية، ويمكن أن يشمل أي خرق واحد أكثر من واحدة من هذه القوى. ومع ذلك، فإن معظم الأنشطة تتمحور حول ثلاثة دوافع عامة: دوافع جنائية أو سياسية أو شخصية.
يستخدم المجرمون الإلكترونيون العديد من الأدوات والتقنيات المتطورة لاختراق الأنظمة. تتطور الأساليب باستمرار ولكن يمكن تجميعها في ثلاثة مستويات واسعة: التهديدات السيبرانية المنتشرة والمتقدمة والناشئة.
هذه التقنيات هي العمود الفقري للجرائم الإلكترونية. إذ تتوسع عبر الصناعات، وتستغل نقاط الضعف البشرية ونادرًا ما تتطلب موارد الدولة القومية. ونظرًا لأنها شائعة جدًا - وفعالة جدًا - فإنها تشكل العمود الفقري لمعظم حوادث الأمن السيبراني.
البرامج الضارة هي برمجيات خبيثة يمكن أن تجعل الأنظمة المصابة غير صالحة للعمل. ويمكنها تدمير البيانات أو سرقة المعلومات أو حتى مسح الملفات الحساسة لقدرة نظام التشغيل على العمل. تشمل أنواع البرمجيات الضارة الشائعة ما يلي:
أحصنة طروادة: هجمات تتنكر في شكل برامج شرعية لخداع المستخدمين لتثبيتها. حصان طروادة للوصول عن بعد (RAT) يفتح بابًا خلفيًا سريًا على جهاز الضحية، بينما يقوم برنامج Trojan بتثبيت برامج ضارة إضافية بعد الحصول على موطئ قدم.
برامج الفدية: تستخدم تشفيرًا قويًا لاحتجاز البيانات أو الأنظمة كرهينة حتى يتم دفع فدية.
برامج التخويف: تقصف الضحايا بتحذيرات مزيفة للحث على التنزيلات أو تسليم المعلومات الحساسة.
برامج التجسس: تجمع أسماء المستخدمين وكلمات المرور وأرقام بطاقات الائتمان سرًا وترسلها إلى المهاجم.
أدوات التأصيل: تمنح التحكم على مستوى المسؤول في نظام التشغيل بينما تظل مخفية.
الديدان ذاتية التكاثر: تنتشر تلقائيًا بين التطبيقات والأجهزة.
تستغل هجمات الهندسة الاجتماعية الثقة البشرية بدلًا من العيوب التقنية، ما يقنع الأشخاص بالكشف عن المعلومات أو حتى تثبيت برنامج ضار. والمثال الأكثر شيوعًا هو التصيد الاحتيالي، حيث تحاكي رسائل البريد الإلكتروني أو الرسائل النصية أو رسائل وسائل التواصل الاجتماعي طلبات مشروعة وتغري الضحايا بالنقر على روابط خبيثة أو فتح مرفقات مصابة.
تتضمن المتغيرات الأكثر استهدافًا التصيد بالرمح، والذي يصمم الهجوم لاستهداف فرد معين باستخدام تفاصيل من ملفات تعريف التواصل الاجتماعي العامة. إن تصيد كبار الشخصيات هي نسخة تستهدف كبار المديرين التنفيذيين، في حين أن عمليات الاحتيال عبر اختراق البريد الإلكتروني للأعمال تنتحل صفة أفراد موثوق بهم مثل المدير التنفيذي، وتخدع الموظفين لتحويل الأموال أو مشاركة البيانات السرية.
تؤدي هجمات حجب الخدمة والهجوم الموزع لحجب الخدمة (DDoS) إلى إغراق الموارد بحركة مرور احتيالية حتى لا يتمكن النظام من الاستجابة للطلبات المشروعة. ينشأ هجوم حجب الخدمة من مصدر واحد، في حين يستخدم الهجوم الموزع لحجب الخدمة (DDoS) مصادر متعددة - غالبًا شبكة بوت نت من أجهزة الكمبيوتر المحمولة والهواتف الذكية وأجهزة إنترنت الأشياء (IoT) المصابة بالبرامج الضارة.
في هجوم اختراق الحساب، يختطف المجرمون بيانات اعتماد مستخدم شرعي لإجراء نشاط ضار. قد يقومون بالتصيد للحصول على كلمات المرور، أو شراء قواعد بيانات مسروقة على الشبكة الخفية أو إطلاق هجمات القوة الغاشمة الآلية لتخمين كلمات المرور بشكل متكرر حتى تنجح إحداها.
تسمى أيضًا هجمات التنصت، تحدث هجمات الوسيط عندما يعترض المخترق سرًا الاتصالات بين طرفين، غالبًا عبر شبكة Wi-Fi عامة غير مؤمنة. يمكن للمهاجمين قراءة الرسائل أو تعديلها قبل وصولها إلى المستلم. فعلى سبيل المثال، في متغير اختطاف الجلسات، يقوم المخترق بتبديل عنوان IP الخاص به بعنوان IP الخاص بالضحية، ويخدع الخادم لمنح وصول كامل إلى الموارد المحمية.
يقوم الخصوم الأكثر صبرًا بحملات من خلال المهارة والتخفي والمثابرة. غالبًا ما تجمع هذه الأساليب بين ناقلات هجوم متعددة - من المشغلين البشريين المتخفين إلى جيوش من الروبوتات الآلية - ويمكن أن تتكشف على مدى أشهر، ما يجعل الكشف المبكر أمرًا ضروريًا.
يخترق المهاجمون الشركة من خلال استهداف بائعي البرامج أو موردي المواد أو مقدمي الخدمات الآخرين. ونظرًا لأن البائعين متصلون في كثير من الأحيان بشبكات عملائهم، فإن اختراقًا واحدًا يمكن أن يوفر للمهاجم مسارًا غير مباشر إلى العديد من المجموعة.
تقوم هجمات البرمجة النصية عبر المواقع (XSS) بإدخال تعليمات برمجية ضارة في صفحة ويب أو تطبيق ويب شرعي. عندما يزور المستخدم الموقع أو التطبيق، يتم تشغيل التعليمات البرمجية تلقائيًا في متصفح المستخدم، وعادةً ما يسرق المعلومات الحساسة أو يعيد توجيه المستخدم إلى موقع ويب ضار مخادع. يستخدم المهاجمون JavaScript في كثير من الأحيان لإطلاق هذه الثغرات الأمنية.
ترسل هجمات حقن SQL أوامر لغة الاستعلام الهيكلية (SQL) الضارة إلى قاعدة بيانات الواجهة الخلفية لموقع ويب أو تطبيق. يقوم المهاجمون بإدخال الأوامر من خلال الحقول التي تواجه المستخدم مثل أشرطة البحث ونوافذ تسجيل الدخول، ما يدفع قاعدة البيانات إلى إرجاع بيانات خاصة مثل أرقام بطاقات الائتمان أو بيانات العملاء الأخرى.
يخفي نفق نظام اسم النطاق (DNS) حركة المرور الضارة داخل حزم DNS، ما يسمح له بتجاوز تدابير الأمان التقليدية مثل جدار الحماية وأنظمة كشف التطفل (IDS). تستخدم عناصر التهديد هذه التقنية لإنشاء قنوات اتصال سرية يمكنها استخراج البيانات بصمت أو توصيل برنامج ضار بخادم قيادة وتحكم عن بُعد (C2).
تستغل هجمات الاستغلال دون انتظار عيوبًا في البرامج غير معروفة سابقًا أو غير مُرقعة تُعرف باسم ثغرة أمنية فورية قبل أن يتمكن المطورون من إصدار الإصلاحات. ويمكن أن تظل هذه الهجمات فعالة لأيام أو شهور أو حتى سنوات، ما يجعلها مفضلة لمجموعات التهديد المتقدمة.
تستخدم الهجمات دون ملفات الثغرات الأمنية في البرامج المشروعة لحقن تعليمات برمجية ضارة مباشرة في ذاكرة الكمبيوتر. نظرًا لأنها تعمل فقط في الذاكرة وتترك القليل من الآثار على القرص، فإنها يمكن أن تتجنب العديد من حلول برامج مكافحة الفيروسات - حتى بعض أدوات مكافحة الفيروسات من الجيل التالي (NGAV). غالبًا ما يستغل المهاجمون بيئات البرمجة النصية مثل PowerShell لتغيير التكوينات أو سرقة كلمات المرور.
يُسمى أيضًا تسميم نظام أسماء النطاقات، حيث يقوم انتحال نظام أسماء النطاقات بتغيير سجلات نظام أسماء النطاقات سرًا لاستبدال عنوان IP الحقيقي لموقع ويب بعنوان IP حقيقي بعنوان احتيالي. وعندما يحاول الضحايا زيارة الموقع الشرعي، تتم إعادة توجيههم دون علمهم إلى نسخة خبيثة يمكن أن تسرق البيانات أو توزع برنامجًا ضارًا.
تعمل العناصر الخبيثة على توسيع نطاق الهجوم من خلال التلاعب بالأنظمة الذكية، واستغلال البنية التحتية الجديدة وحتى تقويض التشفير المستقبلي. في حين أن هذه التهديدات السيبرانية لا تزال تتطور، فإنها تتطلب بالفعل اهتمامًا من مراكز العمليات الأمنية (SOC) وفِرق الأمن الأوسع.
يفتح الذكاء الاصطناعي، وخاصةً الذكاء الاصطناعي التوليدي، جبهة جديدة للخصوم. يمكن للمخترقين استخدام النماذج اللغوية الكبيرة (LLMs) لصياغة هجمات تصيد احتيالي فائقة الواقعية، وإنشاء صوت وفيديو مزيف عميق، وحتى أتمتة الاستطلاع على نطاق غير مسبوق. يمكن للتقنيات الأكثر تطورًا مثل حقن الموجِّه أو عمليات كسر الحماية بواسطة الذكاء الاصطناعي خداع أنظمة الذكاء الاصطناعي للكشف عن بيانات حساسة من خلال تجاوز عناصر التحكم في الأمان المضمنة وحواجز الحماية.
تستمر الشركات في تحويل أحمال التشغيل إلى السحابات العامة والسحابة الهجينة، ما يؤدي إلى توسيع سطح الهجوم المحتمل. تمنح حاويات التخزين التي تم تكوينها بشكل خاطئ وواجهات برمجة التطبيقات(APIs) المكشوفة ومنصات الحاويات الضعيفة مثل Kubernetes للمهاجمين فرصًا للوصول إلى بيئات بأكملها في زمن شبه حقيقي تقريبًا. يمكن أن يؤدي استهداف تكوين السحابة الخاطئ إلى السماح لعنصر التهديد بالتحرك أفقيًا عبر أحمال التشغيل واستخراج بيانات العملاء دون تفعيل الدفاعات التقليدية المحيطة.
تهدف هجمات سلامة البيانات إلى إتلاف مجموعات البيانات أو تغييرها بشكل خفي، سواء في أثناء النقل أو التخزين أو في أثناء المعالجة، بحيث تتخذ الأنظمة اللاحقة قرارات خاطئة. ويمكن أن يشمل ذلك التلاعب بتدفقات البيانات في الوقت الفعلي أو تحرير السجلات المالية أو سجلات الرعاية الصحية بهدوء. أحد التكتيكات الخطيرة بشكل خاص هو تسميم البيانات، حيث يقوم المهاجمون بتعديل مجموعات تدريب التعلم الآلي بسجلات ضارة، ما يتسبب في قيام النماذج بتطوير أبواب خلفية مخفية أو مخرجات متحيزة .
إن التقدم في حوسبة Quantum يهدد تشفير المفتاح العام الحالي. إذ يسعى المهاجمون بالفعل إلى تطبيق الاستراتيجية "الحصاد الآن وفك التشفير لاحقًا"، حيث يسرقون البيانات المشفرة اليوم على أمل أن تسمح لهم القدرات المستقبلية بكسر خوارزميات التشفير الحالية وإلغاء القفل للمعلومات الحساسة. يتطلب الاستعداد لهذا التحول من مجموعة متابعة التطورات في التشفير ما بعد الكمّي (PQC) والبدء في التخطيط لمسارات الهجرة للأجهزة الحيوية الحساسة.
يتطلب الدفاع ضد الهجمات الإلكترونية أكثر من مجرد منتج أو سياسة واحدة. يدمج الأمن السيبراني الفعال بين الأشخاص والتقنية والعمليات لتوقع التهديدات والحد من التعرض لها وتوفير الكشف الشامل عن التهديدات والاستجابة لها.
تبدأ الوقاية القوية بفهم أصول المؤسسة الأكثر قيمة وسطح الهجوم حولها، ما يقلل من فرص الوصول غير المصرّح به. تشمل سبل الحماية الشائعة ما يلي:
إدارة الهوية والوصول (IAM): تطبق الحد الأدنى من امتيازات الوصول، والمصادقة متعددة العوامل، وسياسات كلمات المرور القوية لضمان وصول الأشخاص المناسبين فقط إلى الأنظمة الحساسة. يطلب العديد من المؤسسات أيضًا من المستخدمين عن بُعد الاتصال عبر شبكة خاصة افتراضية (VPN) أو قناة آمنة أخرى.
أمن البيانات ومنع فقدان البيانات (DLP): تشفير البيانات الحساسة، ومراقبة كيفية استخدامها وتخزينها، والحفاظ على نسخ احتياطية منتظمة للحد من تأثير الاختراق.
ضوابط الشبكة: تنشر جداران الحماية متعددة الطبقات وأنظمة منع التطفل (IPS) لمنع حركة المرور الضارة التي تدخل إلى الشبكة أو تخرج منها. ويتضمن ذلك محاولات البرامج الضارة للاتصال بخادم C2.
إدارة الثغرات الأمنية بشكل مستمر: يمكن أن تساعد الاختبارات التصحيحية واختبارات الاختراق المنتظمة في إغلاق نقاط الضعف قبل أن يستغلها المهاجمون.
إدارة سطح الهجوم (ASM): تعمل على تحديد الأصول المكشوفة وفهرستها وإصلاحها عبر البيئات المحلية والسحابية وإنترنت الأشياء (IOT) قبل أن يكتشفها الخصوم.
إدارة نقاط النهاية الموحدة (UEM): تطبق سياسات أمان متسقة على كل نقطة النهاية بما في ذلك أجهزة الكمبيوتر المكتبية وأجهزة الكمبيوتر المحمول والأجهزة المحمول والسحابة أحمال التشغيل.
التدريب على الوعي الأمني: تزويد الموظفين بالقدرة على التعرف على رسائل البريد الإلكتروني التصيدية وأَساليب الهندسة الاجتماعية ونقاط الدخول الشائعة الأخرى.
نظرًا لعدم وجود دفاع مثالي، تحتاج المجموعة إلى رؤية في الوقت الفعلي لشبكات الكمبيوتر وأنظمة المعلومات الخاصة بها:
إدارة معلومات الأمان والأحداث (SIEM): تجميع وتحليل التنبيهات من أنظمة كشف التطفل وأدوات كشف نقطة النهاية والاستجابة لها (EDR) وتقنيات المراقبة الأخرى.
استعلامات التهديدات: تعمل على إثراء التنبيهات بالبيانات حول العناصر المعروفة في مجال التهديد والتكتيكات ومؤشرات الاختراق (IOC) لتسريع عملية الفرز.
التحليلات المتقدمة والذكاء الاصطناعي: منصات كشف حديثة تستخدم بشكل متزايد التعلم الآلي لتحديد الشذوذ وتحديد الأنماط الدقيقة التي قد تشير إلى حادث إلكتروني مستمر.
صيد التهديدات الاستباقي: يبحث المحللون المهرة عن الاختراقات المخفية - مثل التهديدات المستمرة المتقدمة (APTs) - التي قد تفوتها الأدوات الآلية.
عندما تكشف الوقاية والكشف عن هجوم، تحد الاستجابة المنسقة من الضرر وتسرع التعافي:
تخطيط الاستجابة للحوادث: تتيح الخطة الموثقة والمختبرة للفِرق احتواء التهديدات الأمنية السيبرانية والقضاء عليها، واستعادة العمليات وإجراء تحليل للسبب الأساسي لمنع تكرارها.
تنسيق الأمان والأتمتة والاستجابة (SOAR): يدمج الأدوات المتباينة ويقوم بالأتمتة الروتينية حتى تتمكن فِرق الأمان من التركيز على التحقيقات المعقدة.
الكشف والاستجابة الموسعة (XDR): يربط الإشارات عبر نقاط النهاية والشبكات البريد الإلكتروني والتطبيقات وأحمال تشغيل السحابة لتوفير نظرة موحدة ومعالجة أسرع.
التقييمات بعد الحادث: استخلاص الدروس المستفادة، وتحديث الضوابط وتغذية المعلومات الجديدة في التدابير الوقائية والاستقصائية.
1 تقرير تكلفة خرق البيانات لعام 2025، IBM، تم الوصول إليه في 15 سبتمبر 2025.
2 Federal Bureau of Investigation Internet Crime Report 2024, Internet Crime Complaint Center, Accessed 15 September 2025.