وكانت الإخفاقات الأمنية الشائعة التي تمكن من استغلال نقاط الضعف، فضلا عن تسييس التكنولوجيا التي أدت إلى استخدامها من قبل الدول القومية في الجرائم السيبرانية، من بين أكبر القضايا التي تم تناولها في مؤتمر بلاك هات أوروبا في لندن الذي عقد في نهاية عام 2025.
جاء هذا الحدث – أحد المؤتمرات النهائية لهذا العام والمعروف بعروضه للتقنيات الهجومية والأبحاث والأدوات والتدريب – في نهاية عام تم فيه الانتهاكات الكبرى و نقاط الضعف سيطر على العناوين الرئيسية.
تم وصف العديد من الحوادث الكبرى في العام الماضي على نطاق واسع على أنها “هجمات إلكترونية” بدلاً من تصنيفها بشكل أكثر تحديدًا على أنها برامج فدية أو تصيد احتيالي. وفي حالة حادثة مجموعة أساهي، أكدت الشركة في تقريرها إفادة أن خوادمها “تعرضت لهجوم فدية” و”نحن نحجب تفاصيل محددة فيما يتعلق بالهجوم السيبراني” لمنع المزيد من الضرر.
إضافة الهجمات التي تنطوي على تجار التجزئة البريطانيين إلى القائمة، وأصبح عام 2025 أقل اهتمامًا بمن يقف وراء الهجوم وأكثر اهتمامًا بالبقاء على الإنترنت وحماية بيانات العملاء الحساسة. فهل نبتعد عن إسناد المسؤولية إلى الدول القومية ونتجه نحو الحماية كأولوية، إلى جانب تحسين الاستجابة؟ بينما ركزت الصناعة السيبرانية على الذي كان وراء ما هي الحوادث وأين يقع اللوم، ربما تكمن المشكلة في أن العديد من الهجمات تحتوي الآن على شكل من أشكال عناصر القرصنة.
في افتتاح الحدث، ادعى جيف موس، مؤسس Black Hat، أنه بما أن “التكنولوجيا كلها أصبحت سياسية” الآن، فإن أي قرار فني يتم اتخاذه له عواقب سياسية.
نقلا عن “حروب التشفير“في التسعينيات حول استخدام خوارزمية PGP، انتهت المناقشات الجارية أبواب خلفية في مجال التكنولوجيا وحملات التضليل حول الانتخابات الرئاسية الأمريكية لعام 2016، قال موس: “وجهة نظري هي أننا في وضع سياسي، سواء أعجبك ذلك أم لا. أريد منا أن نعترف بذلك. لا أحب الاعتراف بذلك، ولكن هذا هو ما نحن فيه، وواحدة من أكثر الأمور السياسية حاليًا هي برامج الفدية”.
أشار موس أيضًا إلى تصريحات حول ما إذا كان سيتم استخدام التكنولوجيا الصينية في حدث DEF CON الخاص به، بما في ذلك الحاجة إلى التأكد من أن الحدث لا يستخدم التكنولوجيا الصينية، إلى جانب البيانات المتعلقة بالمكان يتم تخزين البيانات.
برامج الفدية وLockBit
كان ذكر برامج الفدية ذات أهمية خاصة، حيث ركزت الكلمة الافتتاحية التي ألقاها ماكس سميتس على تجربته في العمل مع بيانات LockBit التي استولت عليها الوكالة الوطنية لمكافحة الجريمة (NCA) كجزء من خطة 2024. عملية كرونوس. في هذه الحالة، تسللت وكالة NCA إلى أنظمة LockBit، واستولت على بيانات الضحايا وأغلقت وحدات التحكم – وهو الإجراء الذي وجد التحليل لاحقًا أنه كان له “تأثير كبير على أنشطة المجموعة”.
وقال سميتس إن تحليله لبيانات LockBit أظهر أن هجمات برامج الفدية وهجمات المسح – حيث ينصب التركيز على مسح البيانات بدلاً من الابتزاز – يتم استخدامها بشكل متزايد. وأشار إلى حوادث مثل الأخيرة هجوم إلكتروني على ناقلة فنزويلية، وكذلك هجوم NotPetya عام 2017.
وقد أبدى سميتس، أحد كبار الباحثين في مركز الدراسات الأمنية (CSS) في ETH زيوريخ، عدة ملاحظات حول حالة برامج الفدية بناءً على فحصه لمحادثات LockBit:
- فقط عدد قليل من الشركات التابعة لـ LockBit يجني أموالًا حقيقية.
- إن تكتيكات التفاوض متكررة للغاية ومكتوبة، حيث تتبع الشركات التابعة قواعد اللعبة المألوفة ولا تظهر سوى القليل من الاختلاف.
- يتم التسعير بشكل تقريبي ولا يعتمد على البيانات، حيث يعتمد المهاجمون على التقديرات بدلاً من التحليل العميق لفهم نفوذهم على الضحايا.
- تفضل الشركات التابعة الانتقال إلى ضحية جديدة بدلاً من الانخراط في مفاوضات مطولة.
أظهرت شريحة قدمها Smeets أنه عبر نسختين من LockBit، دفع ثمانية بالمائة فقط من الضحايا المال مقابل فك تشفير بياناتهم، مما يؤكد أن المهاجمين لديهم هدف واحد: الحصول على أموال. ومن بين أولئك الذين دفعوا، ظهر الضحايا بشكل متكرر في قوائم محادثات البريد الإلكتروني ولم يبدو أنهم يدفعون أقل في الحوادث اللاحقة.
كما سلط سميتس الضوء على أهمية السمعة في عمليات برامج الفدية. يجب الثقة بالمهاجمين لفك تشفير البيانات وعدم تسريبها، وغالبًا ما يكون إعادة بناء البنية التحتية أسهل من إعادة بناء السمعة.
الهجمات الشرسة والمدمرة
وفي حديثه لمجلة Computer Weekly، قال راف بيلينغ، مدير استخبارات التهديدات في وحدة مكافحة التهديدات لدى Sophos (CTU)، إن هناك الآن مجموعة واسعة من الجهات الفاعلة في مجال التهديد التي تدخل النظام البيئي لبرامج الفدية.
وقال: “كان الكثير منها يتعلق بالجريمة المنظمة الناطقة بالروسية وأصدقائهم”. “الآن، أصبحت جهات التهديد الناطقة باللغة الإنجليزية والمقيمة في الغرب والمملكة المتحدة وحتى المراهقين متورطين في برامج الفدية – والتي ينتهي الأمر ببعضها إلى هجمات شرسة ومدمرة للغاية.”
وفيما يتعلق بأهمية السمعة، أوضح بيلينج أن برامج الفدية تعتمد على علامة تجارية لدى الضحايا ما يكفي من الإيمان بها للاعتقاد بأنهم سيحصلون على مخرج إذا دفعوا. إذا تم كسر هذه الثقة – على سبيل المثال، إذا لم يتم توفير فك التشفير – فإن سمعة المشغل تتضرر.
قال بيلينغ: “يبدو أن هناك نوعاً من العلاقة العكسية بين عدد الضحايا الذين تضربهم دفعة واحدة وحجم الأموال التي تجنيها”. “من الأفضل بكثير ضرب أعداد أقل من الضحايا على مدى فترة زمنية أطول من محاولة تنفيذ هجوم كبير”.
وأضاف بيلينج أنه بالنسبة لمشغلي برامج الفدية الحديثة مثل BlackCat وLockBit، فإن السمعة تعد عنصرًا أساسيًا في عملياتهم، وأن “جزءًا كبيرًا من استراتيجية NCA لملاحقة LockBit لم يكن مجرد تعطيلهم، بل تعطيل وتقويض سمعتهم”.
جاء ذلك في نهاية العام الذي أعلنت فيه حكومة المملكة المتحدة أ حملة على مدفوعات برامج الفدية، ومع أ فاتورة يتقدم حاليًا من خلال مجلس العموم والذي سيتطلب إبلاغ الحكومة بهجمات الابتزاز عبر الإنترنت وبرامج الفدية خلال إطار زمني محدد. على الرغم من أنه من غير المرجح أن تختفي برامج الفدية، إلا أنها قد تصبح أقل تأثيرًا مع اتخاذ تدابير جديدة.
تأثير المستخدم
وكان الموضوع المتكرر الآخر هو دور المستخدمين. ناقش لينوس نيومان من Chaos Computer Club القضايا المتعلقة بالعامل البشري، معتبرًا أن المشكلة الحقيقية تكمن في “الأشخاص الذين بنوه وتشغيله”.
مرددًا تعليقات موس حول عدم اتباع دروس الماضي، قال نيومان إن الكثير من الهجمات لا تزال ممكنة بسبب خطأ بشري، في حين يتم بذل الكثير من الجهد على الاكتشاف والتعافي. وقال إن الوقاية تفشل في كثير من الأحيان.
وقال: “سنستمر في الفشل حتى نفهم ما تفعله الشركات، ونحتاج إلى التحدث إلى الموظفين”، مشيراً إلى الميل إلى إلقاء اللوم على المستخدمين بدلاً من إصلاح البيئات المصممة لهم.
وادعى نيومان أنه “لا توجد مشكلة أمنية في مجال تكنولوجيا المعلومات لم يتم حلها” من وجهة نظره، مستشهدا بالتطورات مثل المصادقة الثنائية، والبطاقات الذكية، والتشفير الشامل ــ وهي التكنولوجيات الموجودة ولكنها لا تزال غير منتشرة على نطاق واسع أو بشكل مستمر.
الذكاء الاصطناعي يزيد من التضخيم والأتمتة
كان الذكاء الاصطناعي أيضًا موضوعًا بارزًا، حيث ركز جافين ميلارد من شركة Tenable على التقنيات التي قال إنها “لن تدمر العالم”، ولكنها بدلاً من ذلك تزيد من التضخيم والأتمتة “بشكل أسرع وعلى نطاق واسع”.
وحذر ميلارد من أن المؤسسات التي تعاني من مشكلات أمنية كبيرة وعمليات معالجة سيئة قد تكون الأكثر عرضة للخطر. وأشار إلى أن الذكاء الاصطناعي الوكيل يمكن أن يساعد في تقليل “فجوة الكشف عن التعرض”، وإذا تم استخدامه بشكل صحيح، فإنه يعالج مشكلات النظافة طويلة الأمد – مع الاعتراف أيضًا بأنه يؤدي حتماً إلى توسيع سطح الهجوم.
وقال ميلارد: “لتعبئة جيش عميل، يجب أن يكون هناك السياق الصحيح، وهذا هو المكان الذي سيكون فيه الذكاء الاصطناعي مفيدًا بشكل لا يصدق”. وأشار إلى قدرة الذكاء الاصطناعي على التعامل مع التصحيح، مشيرًا إلى أن التصحيح المطبق بشكل سيئ يمكن أن يؤدي إلى تعطيل الشبكة، وأن الذكاء الاصطناعي يمكن أن يساعد في تحديد نقاط الضعف التي يجب منحها الأولوية بغض النظر عن درجات الخطورة.
وقال: “نحن بحاجة إلى أن يكون لدينا حواجز حماية للذكاء الاصطناعي الوكيل”. “نحن بحاجة إلى أن نقول [to agents] ولا يمكنك تصحيح أي شيء يتطلب إعادة التشغيل؛ لا يمكنك تصحيح أي شيء يتطلب امتيازات المسؤول. أنت بحاجة إلى تحديد دور السياسة الخاص بك لكي يعمل الذكاء الاصطناعي الوكيل دون تعطيل العمليات.
برامج آمنة، باحثون آمنون
وفيما يتعلق بموضوع نقاط الضعف، ناقش توم غالاغر من مايكروسوفت مبادئ “التأمين حسب التصميم” و”افتراض الاختراق” كجزء من جهود الشركة لبناء منتجات أكثر أمانًا، مع تسليط الضوء على كيفية تعزيز برامج مكافآت الأخطاء والتعاون الخارجي لأمن البرامج.
قامت اللجنة أيضًا بدراسة التحديات المتعلقة بالكشف عن نقاط الضعف والإصلاح القانوني، خاصة فيما يتعلق بالمملكة المتحدة قانون إساءة استخدام الكمبيوتر. سلطت المناقشة الضوء على كيف أن الإبلاغ عن نقاط الضعف يمكن أن يكون محفوفًا بالمخاطر ويستغرق وقتًا طويلاً وغير مجزٍ، حيث يواجه الباحثون تهديدات قانونية وأضرارًا محتملة لحياتهم المهنية. وخلصت اللجنة، التي انعقدت بموجب قاعدة تشاتام هاوس، إلى أن هناك حاجة إلى حوافز وحماية أفضل للباحثين، وأن الإبلاغ عن نقاط الضعف ينبغي التعامل معه باعتباره منفعة عامة.
وبشكل عام، سلطت موضوعات مؤتمر Black Hat Europe الضوء على الأبعاد السياسية والاقتصادية والاجتماعية للأمن السيبراني – بدءًا من خيارات التكنولوجيا والخدمات وحتى حوكمة الشركات حول المستخدمين والنظافة التقنية، وكيف يعيد الذكاء الاصطناعي تشكيل قدرات كل من المدافعين والمهاجمين.
مع بداية عام 2026، تنتظرنا تحديات جديدة، وينبغي أن تخدم دروس عام 2025 المؤسسات بشكل جيد. ومع ذلك، فإن العديد من هذه المواضيع مألوفة ومناقشتها مرارا وتكرارا. هل هذه القضايا لم يتم حلها حقًا، أم أنها ببساطة مستمرة؟ حيث تجد الصناعة نفسها في نهاية عام 2026 قد تساعد في الإجابة على هذا السؤال.
