- التقرير السنوي يحلل مئات الآلاف من نقاط بيانات الثغرات الأمنية من منصة Bugcrowd، مما يكشف عن انفجار الأخطاء في أعقاب نمو سطح الهجوم المتسارع بالذكاء الاصطناعي
كتب : وائل مجدي
أصدرت شركة Bugcrowd، الرائدة في مجال الأمن السيبراني الجماعي، اليوم تقريرًا بعنوان "نظرة ثاقبة على عقلية مسؤول أمن المعلومات 2025: المرونة في عالم الذكاء الاصطناعي المتسارع ". يحلل التقرير مئات الآلاف من نقاط بيانات الثغرات الأمنية من آلاف عمليات الكشف عن الثغرات الأمنية ومكافآت الأخطاء العامة والخاصة من العام السابق. بالاعتماد على تقارير واقعية عن الثغرات الأمنية، ورؤى الخبراء، والاستراتيجيات المُجرّبة من مجتمع الأمن السيبراني، يُعدّ هذا التقرير دليلاً أساسيًا لقادة الأمن الذين يخوضون غمار النمو الهائل في مساحة الهجوم نتيجةً للذكاء الاصطناعي . يُمكّن التقرير كبار مسؤولي أمن المعلومات من الحصول على معلومات استخباراتية بالغة الأهمية، مما يُمكّنهم من اتخاذ قرارات مبنية على البيانات حول ملفات تعريف المخاطر، وتخصيص الموارد، والاستثمارات الأمنية الاستراتيجية. علاوة على ذلك، يُشدد التقرير على الدور الحاسم للذكاء الجماعي والاختبار الأمني الهجومي المستمر كأساس لمرونة المؤسسات في مواجهة التهديدات المتزايدة التعقيد.
نحن في سباق ابتكارات محموم، ولكن مع كل تقدم في مجال الذكاء الاصطناعي، يزداد المشهد الأمني تعقيدًا بشكل كبير. يستغل المهاجمون هذا التعقيد، لكنهم لا يزالون يستهدفون الطبقات الأساسية مثل الأجهزة وواجهات برمجة التطبيقات. لا يمكن لأي مسؤول أمن معلومات الفوز في هذا السباق بمفرده. لتحقيق النجاح، يجب علينا تجاوز الجهود المنفردة وتنمية مرونة جماعية قائمة على التعاون - من خلال تجميع معرفتنا بمجتمع القراصنة للتغلب على التهديدات الناشئة معًا،" هذا ما قاله نيك ماكنزي، مسؤول أمن المعلومات في Bugcrowd. "هذا النهج المجتمعي هو السبيل الوحيد للبقاء في المقدمة. نحن متحمسون للمساهمة في هذا الهدف المشترك من خلال أحدث إصدار من كتاب "في عقل مسؤول أمن المعلومات".
يكشف تقرير عام ٢٠٢٥ أن المؤسسات تواجه تحديات متزايدة مع مرور التطبيقات بدورات تطوير متعددة تحت ضغط إصدار الميزات بسرعة، غالبًا بمساعدة البرمجة بمساعدة الذكاء الاصطناعي. تُعد متجهات الهجوم الجديدة والأهداف التي غالبًا ما تُنسى، مثل واجهات برمجة التطبيقات والأجهزة، عرضة للخطر، وينبغي أن تكون محور تركيز رئيسي لمديري أمن المعلومات اليوم. وفي سياق منفصل، ارتفعت تعويضات الثغرات الحرجة ، مما يُظهر أنه حتى في أوقات انخفاض الميزانية، تستثمر فرق الأمن بشكل متزايد في نتائج المتسللين الأخلاقيين في برامج الاختبار الهجومية الخاصة بهم.
وإلى جانب ذلك، يتطرق التقرير إلى رؤى رئيسية أخرى بما في ذلك استمرار فشل التحكم في الوصول، وزيادة نقاط الضعف التي تعرض البيانات الحساسة للخطر، وكيف تحقق برامج الأمن الناضجة تقدماً ملموساً في تعزيز أنظمتها ضد نقاط الضعف الشديدة.
الإحصاءات والنتائج الرئيسية من التقرير:
زيادة بنسبة 88% في نقاط ضعف الأجهزة وسط انتشار إنترنت الأشياء
واجه 81% من الباحثين الأمنيين ثغرات أمنية جديدة في الأجهزة خلال الأشهر الـ12 الماضية
زيادة بنسبة 32% في متوسط المدفوعات للثغرات الحرجة
زيادة بنسبة 36% في نقاط الضعف الحرجة للتحكم في الوصول - وهي الآن الفئة الأعلى
زيادة بنسبة 42% في تعرض البيانات الحساسة للثغرات الحرجة
زيادة بنسبة 10% في نقاط ضعف واجهة برمجة التطبيقات (API) مع توسع أسطح الهجوم
تضاعفت نقاط الضعف في الشبكة
يتجاوز التقرير البيانات ، مُقدّمًا رؤىً حول التحديات الحديثة من قادة الأمن السيبراني. يتناول توماس مالدونادو، كبير مسؤولي أمن المعلومات في اتحاد كرة القدم الأميركي (NFL)، ودان ماسلين، كبير مسؤولي أمن المعلومات في جامعة موناش ، تأمين الأنظمة البيئية المعقدة، وإدارة حوكمة الذكاء الاصطناعي ، وترجمة المخاطر بفعالية إلى مجلس الإدارة. وتتضمن مقالات أخرى آراء خبير قراصنة حول دور الذكاء الاصطناعي في الاختراق والأمن، ودليلًا للتعاون الأمني كأداة استراتيجية، ونصائح لمديري أمن المعلومات لقياس فعالية برامج الأمن بموضوعية. وتُؤكد هذه الرؤى مجتمعةً على أهمية اختبار الأمن الهجومي، وموازنة الخبرة البشرية مع الذكاء الاصطناعي لتحقيق مرونة أمنية حقيقية.
قال تري فورد، كبير مسؤولي الاستراتيجية والثقة في Bugcrowd: "غالبًا ما يواجه مسؤولو أمن المعلومات صعوبة في الحصول على موافقة مجلس الإدارة، إذ يقعون في دوامة من الدفع بمبادرات أمنية دون مقياس واضح للنجاح. يهدف هذا التقرير إلى كسر هذه الدوامة من خلال توفير أطر عمل قائمة على الأدلة لإثبات نتائج أمنية ملموسة". وأضاف: "باستخدام الاختبارات التنافسية والقياس الموضوعي، يمكن لقادة الأمن الانتقال من الاستجابة السريعة للتحديات إلى بناء مرونة حقيقية. وفي نهاية المطاف، يُمكّن هذا مسؤولي أمن المعلومات من التعبير بثقة عن قصة أمنهم وتأمين الموارد اللازمة لحماية مؤسساتهم".
