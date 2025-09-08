العلامات
الأمن الحوسبة والخوادم البنية التحتية لتكنولوجيا المعلومات

مشهد التهديدات التقنية التشغيلية: رؤى من فريق IBM X-Force

متخصص في التقنيات التشغيلية يعمل في مركز تصنيع صناعي

تم تطوير هذه المقالة بمساهمات من Jeff Kuo وKelsey Oliver.

إن أكثر الجهات الفاعلة تهديدًا في العالم تتحرك بشكل أسرع، وتعمل بهدوء أكبر، وتستهدف نبض المجتمع الحديث: التكنولوجيا التشغيلية (OT) والبنية التحتية الحيوية. الحقائق واضحة: العديد من برامج الفدية والتهديدات المستمرة المتقدمة (APTs) وجماعات الجرائم الإلكترونية تتجاوز سرقة البيانات، وتهدف إلى إحداث اضطراب مادي وحتى تخريب. إن تقارب تكنولوجيا المعلومات وتكنولوجيا التشغيل، مدفوعًا بمتطلبات الأعمال، قد شكَّل سطح هجوم واسع النطاق وعالي المخاطر. يتم استغلال الثغرات المُسلَّحة (CVEs) بوتيرة متسارعة للغاية، وغالبًا خلال أيام أو حتى ساعات من الإفصاح عنها. 

تجمع هذه المدونة بين المعلومات الاستخباراتية من الخطوط الأمامية من IBM X-Force وبيانات الاختراق الجديدة المتعلقة بالتقنيات التشغيلية التي تم الكشف عنها خلال استطلاع تكلفة خرق البيانات لعام 2025.

النتائج الرئيسية

  • من بين المؤسسات التي تمت دراستها كجزء من تقرير تكلفة اختراق البيانات لهذا العام، تعرضت 15% منها لحوادث الأمن الإلكتروني التي أثَّرت على بيئة التشغيل الخاصة بها. ومن بين هذه المجموعة، أفاد ما يقرب من الربع أن الحادث ألحق الضرر بأنظمة أو معدات العمليات الخاصة بهم. وقد كلفت هذه الحوادث 4.56 ملايين دولار أمريكي في المتوسط - وهو أعلى بقليل من المتوسط العالمي (4.44 ملايين دولار أمريكي).
  • وجدت البيانات من قاعدة بيانات الثغرات الأمنية X-Force أنه من بين 670 ثغرة أمنية تم الكشف عنها في النصف الأول من عام 2025 والتي يمكن أن تؤثِّر في التقنيات التشغيلية، فإن ما يقرب من نصفها (49%) لديها تصنيف خطورة CVSS "حرج" أو "عالي". وخُمس (21%) الثغرات الأمنية "الحرجة" لديها شفرة استغلال متاحة للجمهور.

تكلفة اختراق التقنيات التشغيلية

في تقرير تكلفة خرق البيانات من IBM لعام 2025، درس شركاؤنا في البحث بمعهد Ponemon أكثر من 6,485 اختراقًا. من بين تلك المؤسسات، أشار 15% إلى أن الحادث أثَّر على بيئة التقنيات التشغيلية (OT)، ومن بين هذه المجموعة، أفاد ما يقرب من ربعها (23%) أن الحادث تسبب في أضرار لأنظمتهم أو معداتهم الصناعية.

مخططان بيانيان دائريان يوضِّحان نتائج استطلاع حول الحوادث الأمنية في بيئات التكنولوجيا التشغيلية. يُظهر المخطط الأول أن 15% من المؤسسات واجهت حوادث، بينما لم تواجه 85% منها أي حوادث. يوضِّح المخطط الثاني أن 23% من الحوادث تسببت بأضرار لأنظمة أو أجهزة التكنولوجيا التشغيلية، بينما لم تسبب 77% منها أي أضرار. تستخدم الرسوميات أجزاءً باللونين البنفسجي والأزرق مع أرقام واضحة.

ليس من المستغرب أن تعاني المؤسسات من تأثير على بيئات تكنولوجيا التشغيل الخاصة بها نتيجةً للاختراق. شهدت السنوات الأخيرة العديد من الحالات التي تسبب فيها الفاعلون الخبيثون في تعطيل بيئات التقنيات التشغيلية عبر مختلف الصناعات.

  • عدم استقرار مستمر في شبكة الطاقة الكهربائية وأعطال منسقة في المحطات الفرعية:
    يستغل المهاجمون بنجاح برمجيات خبيثة خاصة بأنظمة التحكم الصناعية، والتلاعب بالبروتوكولات (مثل بروتوكولات IEC 104 وDNP3)، واستغلال ثغرات الوصول عن بُعد لإحداث اضطرابات وانقطاعات في شبكة الكهرباء في مواقع متعددة، ما يتطلب في كثير من الأحيان إعادة تشغيل الشبكة يدويًا ويؤثر على ملايين المشتركين في خدمات الكهرباء.
  • تعطيل مستمر لعمليات معالجة المياه وإنتاج الطاقة والتصنيع:
    يقوم المهاجمون بتعطيل العمليات التشغيلية الأساسية من خلال التلاعب بأنظمة التحكم الإشرافي وجمع البيانات (SCADA) ووحدات التحكم المنطقية القابلة للبرمجة (PLC)، والتدخل في عمليات حقن المواد الكيميائية وتنظيم التدفق وأنظمة التحكم الآلي في السلامة، ما يؤدي إلى تباطؤ الإنتاج أو وقوع حوادث بيئية أو تعريض العاملين في المصنع لظروف خطرة.
  • انقطاعات واسعة النطاق في سلاسل التوريد العالمية والخدمات اللوجستية الحيوية:
    أدَّت حملات برامج الفدية والبرامج الضارة المدمرة إلى شلت المستودعات الآلية ومراكز التوزيع وأنظمة إدارة النقل، ما أدى إلى تأخير الشحنات، وتوقف التصنيع في الوقت المناسب، وتعريض المؤسسات لخسائر اقتصادية وتشويه السمعة.

إن التطور التقني والمثابرة لدى الخصوم المعاصرين يخلقان إمكانية حدوث اضطراب متزامن ومتعدد الاتجاهات، مع آثار متتالية على السلامة المادية، والامتثال التنظيمي (على سبيل المثال، NERC CIP، وNIST CSF، وIEC 62443)، وتآكل ثقة الجمهور في البنية التحتية الحيوية.

مشهد ضعف التقنيات التشغيلية

إن خصوم اليوم أكثر تنوعًا وتخصصًا وعدوانية من أي وقت مضى، حيث يدمجون بين موارد الدول القومية، وابتكارات الجرائم الإلكترونية، وانتهازية الناشطين الإلكترونيين. دلائلها تتطور باستمرار، مع انضمام مجموعات وتحالفات جديدة إلى اللاعبين التقليديين لتهديد البنية التحتية الحيوية حول العالم.

تستهدف الجهات الفاعلة التي تسعى إلى إحداث اضطراب تشغيلي نطاقًا ضيقًا من نقاط الضعف، والتي تؤثِّر بشكل أساسي على الأجهزة المواجهة للمحيط مثل مُجمِّعات VPN وبوابات سطح المكتب البعيد ومحولات بروتوكول OT. توفِّر هذه الثغرات الأمنية، بمجرد استخدامها كسلاح، للمهاجمين إمكانية تنفيذ التعليمات البرمجية عن بُعد دون مصادقة، والتحكم في الجهاز على مستوى الجذر، وغالبًا ما تسمح بتجاوز آليات المصادقة والتحكم في الوصول القديمة بشكل مباشر. يتفاقم التأثير التشغيلي حيث إن العديد من الثغرات الأمنية هذه لا تزال غير معالجة في البيئات الحرجة بسبب متطلبات وقت تشغيل الجهاز، أو تأخيرات تحديثات البائع، أو فجوات رؤية الأصول.

علاوةً على ذلك، فإن تقارب تكنولوجيا المعلومات وتكنولوجيا التشغيل، وانتشار أدوات الإدارة عن بُعد، والتكامل مع البائعين الخارجيين قد تسبب في ظهور مسارات جانبية جديدة للمهاجمين. يتم استغلال شركاء سلسلة التوريد المخترقين أو جهات التكامل الخارجية كنقاط دخول موثوق بها؛ كما أن خدمات الوصول عن بُعد للبائعين المكشوفة وجدران الحماية ذات التكوين الخاطئ تزيد من تآكل التجزئة الثابتة. يستغل الخصوم جسور تكنولوجيا المعلومات/التشغيل الموثوق بها، والأجهزة الميدانية غير المؤمَّنة، وحتى أجهزة الكمبيوتر المحمولة الخاصة بالصيانة للوصول المباشر إلى شبكات التحكم في العمليات وأنظمة السلامة. تؤدي هذه السطحية الهجومية المتطورة إلى جعل نماذج الأمان التقليدية على حدود الشبكة غير كافية، ما يبرز الحاجة إلى مراقبة الشبكة بشكل ديناميكي، واكتشاف الأصول بشكل مستمر، وتصميم بنية معلوماتية مستندة إلى التهديدات.

تشير البيانات من قاعدة بيانات الثغرات الأمنية X-Force إلى أنه تم الكشف عن 670 ثغرة أمنية في النصف الأول من عام 2025 والتي يمكن أن تؤثر على بيئات OT، ومن بينها، 11% لديها تصنيف خطورة CVSS "حرج" (درجة CVSS بين 9.0-10.0). علاوةً على ذلك، فإن خُمس (21%) من الثغرات الأمنية الحساسة يحتوي على كود استغلال متاح للجمهور.

مخططان دائريان يوضِّحان بيانات عن الثغرات الأمنية في بيئات التكنولوجيا التشغيلية. يصنِّف المخطط الأول الثغرات الأمنية وفق تصنيف CVSS، موضِّحًا النِسب المئوية للمستويات المنخفضة والمتوسطة والعالية والحرجة. يوضِّح المخطط الثاني نسبة الثغرات الأمنية الحرجة التي تتوفر لها أكواد استغلال عامة، والتي تم تحديدها بنسبة 21%. تعتمد الصور التوضيحية على درجات الأزرق والبنفسجي للتفريق بين العناصر.

هناك أمثلة بارزة هذا العام على استغلال الثغرات الحرجة في بيئات تكنولوجيا التشغيل (OT).

  • في مايو 2025، استغلت جهات التهديد ثغرة أمنية خطيرة تسمح بتنفيذ التعليمات البرمجية عن بُعد في برنامج Erlang/OTP SSH daemon (CVE‑2025‑32433)، ما يسمح للمستخدمين غير المصادق عليهم بتشغيل أوامر عشوائية. حوالي 70% من محاولات الهجوم كانت تستهدف جدران الحماية وبيئات تكنولوجيا التشغيل.
  • أكَّد المركز الوطني الهولندي للأمن الإلكتروني أن المهاجمين كانوا يستغلون CVE‑2025‑6543، وهو خلل خطير في منتجات Citrix NetScaler ADC وGateway، باعتباره ثغرة أمنية من نوع "يوم الصفر" منذ أوائل مايو 2025، قبل الكشف عنها للجمهور. وقد سمح هذا للمهاجمين بنشر برامج ضارة على الويب، وإنشاء وصول دائم، وربما تعطيل بوابات VPN والوصول عن بُعد في القطاعات الحيوية.
  • في مايو 2025، أوقفت شركة Nucor، المتخصصة في صناعة الصلب، الإنتاج في عدة مصانع عقب اختراق أمني إلكتروني. تضمَّن الاختراق الوصول غير المصرح به إلى أنظمة تكنولوجيا المعلومات الداخلية، ما استدعى إيقاف التشغيل كإجراء احترازي. ورغم تصنيفه كحادثة تركِّز على تكنولوجيا المعلومات، إلا أن هذا العطل أثر بشكل مباشر على العمليات الصناعية، ما يؤكد الترابط الوثيق بين مجالي تكنولوجيا المعلومات والتشغيل.

توضح هذه الأمثلة أهمية البقاء على اطِّلاع دائم بالثغرات الأمنية التي قد تكون ضمن اهتمامات الجهات الفاعلة في التهديدات. قام X-Force بتقييم العديد من المنتديات والأسواق وقنوات التلغرام وغرف الدردشة والمناقشات عبر الإنترنت للكشف عن أكثر الثغرات الأمنية شيوعًا في النصف الأول من عام 2025 والتي يمكن أن تؤثر على بيئات OT/ICS. قد تساعد هذه الأفكار المؤسسات في استراتيجيات إدارة التصحيحات الخاصة بها.

مخطط شريطي يوضِّح أهم 10 ثغرات أمنية CVE مذكورة والتي قد تؤثِّر في بيئات OT/ICS في النصف الأول من 2025. يوضِّح المخطط معرِّفات الثغرات الأمنية مثل CVE-2025-0228 وCVE-2025-3124، مع تسجيل عدد المرات التي تم ذكرها بين 75 و1830. تمثِّل الأشرطة الأفقية عدد مرات ذكر كل ثغرة CVE، ما يوضِّح أهميتها النسبية.

من بين أهم 10 ثغرات أمنية تم الكشف عنها في النصف الأول من عام 2025 والتي يمكن أن تؤثر على تكنولوجيا التشغيل، تم استغلال 90% منها بشكل فعَّال، وتم استغلال 70% منها بشكل فعَّال من قبل مجموعات التهديد المتقدمة المستمرة. على سبيل المثال، تم الإبلاغ عن استغلال الثغرة الأمنية CVE-2025-0282 المذكورة أعلاه من قبل UNC5221، وهو "جهة تجسس مشتبه بها مرتبطة بالصين". تسمح هذه الثغرة الأمنية للمهاجمين غير المصادق عليهم بالحصول على موطئ قدم أوَّلي في الشبكة الداخلية خلف جهاز Connect Secure VPN المعرض للخطر. وبذلك يستطيع المهاجمون الانتقال بشكل جانبي إلى الشبكة والتأثير بشكل محتمل على أنظمة التحكم الصناعية. أما الثغرة الأمنية الثانية الأكثر ذِكرًا، CVE-2025-31324، فقد تم الإبلاغ عنها على أنها تم استغلالها بنشاط من قبل Chaya_004، وهي "جهة تهديد صينية". قد تسمح هذه الثغرة الأمنية التي تؤثِّر على SAP NetWeaver Visual Composer للمهاجمين بتنفيذ التعليمات البرمجية عن بُعد. تستفيد العديد من المؤسسات الصناعية من نظام SAP لتخطيط موارد المؤسسة (ERP) وإدارة سلسلة التوريد (SCM)، والتي قد تتفاعل بشكل مباشر أو غير مباشر مع أنظمة OT.

ما وراء الكشف: الجيل التالي من الدفاع ضد الخصوم المعاصرين

يمثل عام 2025 عامًا حاسمًا لأمن تكنولوجيا التشغيل والبنية التحتية الحيوية. لقد كشف التقارب بين الخصوم من الدول القومية ذوي الدوافع، والأنظمة البيئية لبرامج الفدية سريعة التطور، والاستغلال المستمر لمجموعة ضيقة من نقاط الضعف عالية التأثير، عن نقاط ضعف أساسية في بيئات تكنولوجيا التشغيل القديمة. بات المهاجمون الآن يتجاوزون بشكل روتيني دفاعات المحيط التقليدية، مستغلين اختراق سلسلة التوريد، وبيانات الاعتماد المميزة المسروقة، والحركة الجانبية العميقة لتحقيق نتائج تشلُّ الأعمال، بل وحتى نتائج بالغة الأهمية للسلامة.

يتطلب هذا المشهد التهديدي من المؤسسات إعادة التفكير بشكل جذري في كيفية إدارة مخاطر العمليات التشغيلية. يجب أن يتجاوز الأمن الإلكتروني حدود الامتثال وضوابط التحقق من صحة البيانات، ويتجه نحو نموذج دفاعي قائم على المعلومات الاستخباراتية ومحدد القطاع. لم يعد البقاء يعتمد فقط على منع الوصول الأولي؛ بل يتطلب الكشف السريع، والاحتواء الفعّال، والتعافي القوي، مدعومًا بمشاركة مستمرة من الإدارة العليا وحوكمة على مستوى مجلس الإدارة.

سيتم تحديد المرونة التشغيلية في عام 2026 وما بعده من خلال قدرة المؤسسة على تحديد أولويات الثغرات الأمنية الصحيحة، ومحاكاة سيناريوهات الهجوم الواقعية، وفرض ضوابط متعددة الطبقات، ودفع ملكية الأمن الإلكتروني من غرفة التحكم إلى مجلس الإدارة. المخاطر جوهرية: استمرارية الخدمات، والامتثال التنظيمي، والسلامة المادية، والثقة العامة تعتمد جميعها على استراتيجية دفاع إلكتروني استباقية ومتكيّفة لتكنولوجيا التشغيل (OT). نشجع المؤسسات على مراجعة التوصيات التالية:

1. إعطاء الأولوية القصوى لإدارة التصحيحات

  • قم بتصحيح الأخطاء كما لو أن عملك يعتمد على ذلك، لأنه كذلك بالفعل. امنح الأولوية للثغرات الأمنية التي يتم استغلالها بشكل فعّال. استخدم كتالوج الثغرات المستغلة المعروفة (KEV) من CISA، وMITRE، ومصادر استعلامات التهديدات، وتنبيهات البائعين كقائمة "المهام الواجب تنفيذها".
  • في حالة تأخر عملية التحديث، قم بتطبيق تجزئة الشبكة، وقائمة التطبيقات المسموح بها، وقم بزيادة مراقبة الحالات الشاذة في أنظمة OT/ICS.

2. تحديد التهديدات الخاصة بالقطاع الذي تعمل فيه

  • ضَع في اعتبارك الحصول على تقييم التهديدات الاستراتيجية لمؤسستك لفهم التهديدات الأكثر احتمالًا للتأثير على بيئتك بناءً على القطاع ومكان عملك الجغرافي.
  • استخدم مصفوفة MITRE ATT&CK Matrix for ICS وتنبيهات ISAC القطاعية (مثل E-ISAC، وMFG-ISAC، وWater-ISAC) لرسم خريطة TTPs ذات الصلة بنشاطك التجاري.

3. تنفيذ أنشطة الفريق الأحمر كما يفعل المهاجمون الحقيقيون

4. الدفاع متعدد الطبقات، وليس مجرد "أمن قائم على الاختيار"

  • الفصل بين تكنولوجيا المعلومات وتكنولوجيا التشغيل، واستخدم جدران الحماية، والمناطق المحايدة، والبوابات أحادية الاتجاه.
  • فرض المصادقة متعددة العوامل، وتغيير بيانات الاعتماد، وحظر عمليات تسجيل الدخول المشتركة على محطات العمل الهندسية.
  • الاستثمار في اكتشاف الحالات الشاذة وفحص الحزم العميق السلبي (DPI) لتكنولوجيا التشغيل (OT) وإنشاء أدلة واضحة للاستجابة للحوادث.

5. الحصول على دعم مجلس الإدارة والاختبارات الواقعية

  • التعامل مع أمن تكنولوجيا التشغيل كضرورة ملحة على مستوى الإدارة العليا: إن مخاطر تكنولوجيا التشغيل ليست مشكلة تكنولوجيا المعلومات فحسب، بل هي قضية أساسية تتعلق بالأعمال والسلامة. وستكون مشاركة مجلس الإدارة والرعاية التنفيذية في هذا المجال أمر لا جدال فيه في عام 2025. اختبِر عمليات إدارة الأزمات الإلكترونية الخاصة بك في تجربة مذهلة للغاية مبنية على سيناريوهات خصوم حقيقية.

