22 ثانية لتسليم الاختراق: تقرير Mandiant M-Trends 2026 يُعيد رسم خريطة التهديدات أمام مراكز SOC السعودية

في عام 2022، كان المهاجم يحتاج إلى أكثر من ثماني ساعات لتسليم وصوله الأولي إلى مجموعة تهديد ثانوية. بحلول عام 2025، انهار هذا الزمن إلى 22 ثانية. هذا ليس سيناريو افتراضي — إنه رقم موثّق من تقرير Mandiant M-Trends 2026، الذي يُعيد رسم متطلبات الاستجابة للحوادث في كل مؤسسة مالية جادة في حماية أصولها.

أبرز ما كشفه M-Trends 2026: أرقام تقلب معادلة الدفاع

تقرير M-Trends السنوي الصادر عن Mandiant (Google Cloud) يُعدّ من أكثر المصادر موثوقيةً في استخبارات التهديدات، إذ يستند إلى آلاف التحقيقات الميدانية التي يجريها الفريق حول العالم. النسخة لعام 2026 حملت جملة من الأرقام التي لا يمكن تجاهلها:

أولاً، انهيار زمن التسليم: انخفض متوسط الوقت بين الحصول على الوصول الأولي وتسليمه لمجموعة تهديد ثانوية من أكثر من 8 ساعات في 2022 إلى 22 ثانية فقط في 2025. هذا يعني أن نافذة الاستجابة بين رصد الاختراق الأولي وإيقاف الانتشار الجانبي تقلّصت إلى ما يكاد يكون غير قابل للتحقيق يدوياً.

ثانياً، ارتفاع متوسط زمن البقاء الخفي: بعكس التوقعات، ارتفع متوسط dwell time العالمي من 11 يوماً إلى 14 يوماً. الزيادة مدفوعة بتحقيقات التجسس الإلكتروني وعمليات العمال الكوريين الشماليين، حيث تجاوز متوسط bقاء هذه الجهات الخفي 122 يوماً.

ثالثاً، معدل الاكتشاف الداخلي: المؤسسات التي اكتشفت الاختراق داخلياً فعلت ذلك خلال 9 أيام في المتوسط، بينما الحالات التي جاء إشعارها من خارج المؤسسة استغرقت 25 يوماً — ضعف ما كانت عليه في 2024.

تهديد BRICKSTORM وأزمة سياسة الاحتفاظ بالسجلات

من أشد اللحظات خطورةً في التقرير، الكشف عن أن مجموعة التهديد المرتبطة بالصين والمعروفة بـBRICKSTORM نجحت في الإخفاء داخل شبكات بعض المؤسسات لما يقارب 400 يوم. هذا الرقم وحده يُسقط منطقية الاعتماد على سياسات الاحتفاظ بالسجلات المحدودة بـ90 يوماً، وهي الممارسة السائدة في كثير من المؤسسات المالية.

عندما تمتد فترة وجود المهاجم لأكثر من ثلاثة أضعاف نافذة السجلات، يعني ذلك ببساطة أن المحقق لن يستطيع أبداً تحديد نقطة الاختراق الأولى ولا النطاق الكامل للاختراق. BRICKSTORM يستهدف بشكل رئيسي قطاعات الطاقة والبنية التحتية والخدمات المالية — وهو ما يضع المؤسسات السعودية الخاضعة لرقابة SAMA في دائرة الاهتمام المباشر.

التأثير على المؤسسات المالية السعودية وفق SAMA وNCA

ما يكشفه M-Trends 2026 يتقاطع مباشرةً مع متطلبات إطار SAMA CSCC وضوابط NCA ECC. المادة 3-3 في CSCC تُلزم المؤسسات بوجود قدرة موثّقة على الاستجابة للحوادث تُحدد الأدوار والمسؤوليات وأوقات الاستجابة — والحديث عن 22 ثانية كزمن للتسليم يجعل أي خطة استجابة يدوية قاصرة هيكلياً. من جهتها، تشترط NCA ECC في المجال الخامس (المرونة الإلكترونية) القدرة على الكشف المبكر والاحتواء السريع، وهو ما يستدعي مراجعة شاملة لقدرات SIEM وSOAR في المؤسسات التي لم تستثمر بعد في الأتمتة. أما PDPL فيُضاف بُعداً آخر: زمن البقاء الخفي البالغ 14 يوماً يعني احتمال تسرّب بيانات شخصية لفترة طويلة دون إشعار الجهات المعنية، مما يُعرّض المؤسسة لعقوبات إدارية من SDAIA.

التوصيات والخطوات العملية لمراكز SOC

1. مراجعة سياسة الاحتفاظ بالسجلات فوراً: رفع الحد الأدنى من 90 يوماً إلى 12 شهراً على الأقل لسجلات الأنظمة الحساسة (Active Directory، VPN، email gateway، SWIFT)، مع تفعيل التخزين الطبقي لخفض التكاليف.
2. قياس زمن الاستجابة الفعلي لا النظري: تشغيل تمارين Purple Team بصفة ربع سنوية لقياس MTTD وMTTR الحقيقيين، مع تحديد الفجوة بين السياسة المكتوبة والقدرة الفعلية.
3. أتمتة الاحتواء عبر SOAR: أي عملية احتواء يدوية تستغرق أكثر من دقيقتين لم تعد مقبولة في ظل تسليم بالثواني. استثمر في playbooks آلية تُعزل الأجهزة المخترقة وتُلغي الجلسات النشطة دون تدخل بشري.
4. مراقبة حركة Lateral Movement: تفعيل قواعد كشف Kerberoasting وPass-the-Hash وDCShadow في SIEM، وربطها بتنبيهات فورية لفريق الاستجابة.
5. تقييم مخاطر IT Workers الخارجيين: في ضوء نتائج M-Trends المتعلقة بالموظفين الكوريين الشماليين، راجع عمليات التحقق من هوية المقاولين والموردين الخارجيين، خاصةً من يعملون عن بُعد على أنظمة حساسة.
6. ربط SIEM بمصادر Threat Intelligence: الاشتراك في مصادر IOC محدّثة (MISP، OpenCTI، Google Threat Intelligence) لرصد IOCs المرتبطة بـBRICKSTORM ومجموعات التهديد المتقدمة الأخرى النشطة في المنطقة.

الخلاصة

تقرير Mandiant M-Trends 2026 ليس مجرد وثيقة إحصائية — إنه إعلان صريح بأن وتيرة الهجمات تجاوزت منذ زمن قدرة أي فريق يعتمد على الاستجابة اليدوية. 22 ثانية لتسليم الاختراق، و14 يوماً متوسطاً للبقاء الخفي، و400 يوم لأكثر الجهات تطوراً — هذه أرقام تستدعي مراجعة جوهرية لبنية SOC في كل مؤسسة مالية سعودية، وليس مجرد تحديث في وثائق السياسات.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وتحديد الفجوات في قدرات الكشف والاستجابة قبل أن يفعل المهاجم.