اختراق Trellix لمستودع الكود المصدري: درس لبنوك SAMA في حوكمة الموردين

في 2 مايو 2026 أكدت شركة Trellix الأمنية تعرّض جزء من مستودع كودها المصدري لاختراق غير مصرح به، في حادثة تُعيد طرح سؤال جوهري على طاولة كل CISO في القطاع المالي السعودي: ماذا يحدث حين يُخترق صانع الدرع نفسه الذي تعتمد عليه البنوك في كشف الهجمات؟ التحقيقات الأولية لم تُظهر تسرّباً للكود إلى دورة الإصدار، لكن الحادثة وحدها كافية لإعادة معايرة منظومة الثقة في الموردين.

تفاصيل اختراق مستودع Trellix المصدري

أعلنت Trellix — الشركة الناتجة عن اندماج McAfee Enterprise وFireEye عام 2021 — أنها رصدت مؤخراً وصولاً غير مشروع إلى جزء من مستودعات الكود الخاص بها، وقامت بإشراك فرق طب شرعي رقمي مستقلة وإبلاغ جهات إنفاذ القانون. الشركة تخدم أكثر من 50,000 عميل حكومي وتجاري حول العالم، وتحمي ما يزيد على 200 مليون نقطة طرفية، مما يجعل أي تماس مع كودها المصدري حدثاً ذا تبعات استراتيجية. لم تُفصح Trellix عن هوية المهاجم أو طول فترة بقائه داخل البيئة، وهي معلومات حاسمة لتقييم نطاق المخاطر بشكل دقيق.

لماذا يُعد اختراق مورّد أمني تهديداً خطيراً

أي تسرب للكود المصدري لمنتج EDR أو XDR يفتح الباب أمام المهاجمين لدراسة منطق الكشف بعمق، واكتشاف ثغرات منطقية لم يجدها فريق المنتج، أو بناء أدوات تجاوز (Bypass) موجّهة لنفس البصمة السلوكية التي تعتمدها أداة الحماية. خطر أعمق يتمثل في احتمال تسرّب أسرار صلبة (Hardcoded secrets) أو مفاتيح API أو شهادات توقيع داخل المستودع، وهو ما تكشفه أبحاث GitGuardian سنوياً في أكثر من 10 ملايين سرّ مكشوف. فوق ذلك، يبقى الاحتمال الأخطر هو هجمات سلسلة التوريد بأسلوب SolarWinds: حقن كود خبيث يصل لاحقاً إلى الأجهزة الطرفية للعملاء عبر تحديث موقّع رسمياً.

التأثير على المؤسسات المالية السعودية الخاضعة لرقابة SAMA

عدد كبير من البنوك وشركات التمويل وشركات التأمين الخاضعة لرقابة البنك المركزي السعودي تستخدم منتجات Trellix EDR/XDR وSIEM Helix كطبقة كشف أساسية، ما يجعلها معنية مباشرة بهذه الحادثة. وفق ضابط TPM-3 من SAMA Cyber Security Framework وضوابط NCA ECC-2:2024 في الجزء الخاص بـ"أمن سلسلة التوريد"، يتوجب على المؤسسة المالية إجراء تقييم فوري لأثر الحادثة على مورّديها الحرجين، وتوثيق المراسلات الرسمية مع المورّد، ورفع تقرير الحادثة المحتملة إلى الإدارة العليا. كذلك يستوجب ضابط PDPL في حال ارتباط الحادثة بأي بيانات شخصية لعملاء سعوديين تنفيذ خطوات الإفصاح المنصوص عليها خلال 72 ساعة.

التوصيات والخطوات العملية لفِرق SOC وGRC

1. طلب رسمي مكتوب من Trellix لتأكيد ما إذا كانت بيئة العميل السعودي ضمن نطاق التأثر، مع طلب IOCs محددة وحجم البيانات المُستردة من المهاجم.
2. تفعيل مراقبة سلوكية مكثفة على عمليات تحديث وكلاء Trellix Endpoint Security، مع إيقاف التحديث التلقائي مؤقتاً وتحويله إلى Staged Rollout عبر بيئة اختبار معزولة.
3. التحقق من سلامة توقيع كل ملف ثنائي (Binary) صادر عن Trellix باستخدام جداول هاش مرجعية معتمدة، وفعّل قواعد AppLocker / WDAC لمنع تنفيذ أي إصدار غير معتمد.
4. إجراء Threat Hunting موجّه على سلوكيات استغلال EDR Bypass الشهيرة مثل BYOVD وParent PID Spoofing وAPI Unhooking خلال آخر 30 يوماً.
5. تحديث مصفوفة تقييم الموردين الحرجين (Critical Vendor Assessment) لتعكس تغيّر مستوى مخاطر Trellix، وإعادة احتساب درجة Inherent Risk وفق سياسة TPRM المعتمدة.
6. تجهيز خطة Exit Strategy وPlan B تشغيلي لاستبدال أو تكميل طبقة EDR خلال 90 يوماً في حال تطورت الحادثة سلباً.
7. تضمين الحادثة في تقرير Cyber Risk Quarterly المرفوع إلى لجنة المخاطر، وربطها بسجل المخاطر (Risk Register) ضمن البند المتعلق بمخاطر الطرف الثالث.

الخلاصة

حادثة Trellix ليست مجرد اختراق لمزوّد آخر، بل اختبار حقيقي لنضج برامج TPRM في القطاع المالي السعودي. الفارق بين بنك يدير الحادثة باحتراف وآخر يكتشفها متأخراً يكمن في وجود حوكمة مورّدين موثّقة، ودفاع متعمّق لا يعتمد على أداة واحدة، وقدرة استجابة سريعة قابلة للقياس. الموردون الأمنيون أنفسهم أصبحوا هدفاً بقدر العملاء الذين يحمونهم، وهذا واقع يجب أن ينعكس على سياساتك ولوحات قياسك خلال هذا الأسبوع وليس الربع القادم.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وضوابط إدارة مخاطر الطرف الثالث في NCA ECC-2:2024.