AIO APEX
Security

برامج سرقة المعلومات تحوّل الجلسات المسروقة إلى مسار الاختراق الجديد

مشاركة:
برامج سرقة المعلومات تحوّل الجلسات المسروقة إلى مسار الاختراق الجديد

لسنوات، ركزت برامج التوعية الأمنية على المدخل الرئيسي. استخدم كلمات مرور قوية. فعّل MFA. احذر من روابط التصيد الاحتيالي. لا تزال هذه الضوابط مهمة، لكن مشهد التهديدات قد تغيّر بطريقة لم تستوعبها العديد من المؤسسات بالكامل. في عام 2026، تتزايد قيمة برامج infostealer الضارة ليس لأنها تلتقط كلمات المرور وحدها، بل لأنها تسرق browser sessions الموثّقة و tokens و cookies التي تسمح للمهاجمين بتجاوز عملية تسجيل الدخول بالكامل. ينتقل مسار الاختراق من سرقة بيانات الاعتماد إلى سرقة الجلسات.

الفرضية غير مريحة ولكنها واضحة: مكدسات الهوية الحديثة هي الأقوى لحظة المصادقة وأضعف بكثير في الدقائق أو الساعات أو الأيام التي تليها. إذا سجل مستخدم الدخول بنجاح وقام الـ browser بتخزين بيانات الجلسة التي تثبت ذلك، فقد لا تحتاج برامج infostealer على نقطة النهاية إلى هزيمة MFA على الإطلاق. يمكنها ببساطة سرقة الحالة التي تشير إلى أن MFA قد حدث بالفعل. وهذا يحول الكمبيوتر المحمول المخترق إلى حزمة محمولة من الثقة.

لماذا تعد سرقة الجلسات خطيرة للغاية

غالبًا ما تتحدث فرق الأمن عن الهوية باعتبارها المحيط الجديد. هذا صحيح، لكنه غير مكتمل. أصبحت browser session بشكل متزايد هي المحيط التشغيلي. يعتمد البريد الإلكتروني للشركات، لوحات تحكم SaaS الإدارية، أنظمة CRM، منصات المطورين، أدوات التعاون، وتطبيقات الويب الداخلية كلها على جلسات موثّقة ومستمرة لإبقاء العمل ساريًا. لا يقوم المستخدمون بإعادة إدخال كلمات المرور والموافقة على مطالبات MFA كل بضع دقائق لأن ذلك سيكون لا يطاق. هذه الراحة ضرورية. وهي أيضًا قابلة للاستغلال.

عندما يسرق المهاجم session cookies أو authentication tokens ذات الصلة، قد يحصل على وصول فوري إلى البيئة المستهدفة دون معرفة كلمة المرور ودون تفعيل تحدي MFA جديد. عمليًا، يمكن أن يكون ذلك أكثر قوة من سرقة بيانات الاعتماد. يمكن تغيير كلمات المرور. لكن الجلسات يمكن إساءة استخدامها فورًا. في بعض البيئات، تمنح الجلسات المسروقة المهاجمين طريقة أكثر هدوءًا للتنقل، لأن النشاط يبدو وكأنه يأتي من سياق مستخدم موثوق به بالفعل.

لقد نضجت برامج سرقة المعلومات لتصبح وسطاء وصول للمؤسسات

اعتادت برامج infostealer الضارة أن تُناقش غالبًا في سياق احتيال المستهلكين، وكلمات مرور browser المحفوظة، ومخلفات بيانات الاعتماد السرية. هذا التأطير يقلل الآن من حجم التهديد. ترتبط الموجة الحالية بشكل متزايد بتعرض هويات المؤسسات. يعلم المهاجمون أن ملف تعريف browser واحدًا قد يحتوي على إمكانية الوصول إلى SSO portals، و cloud consoles، وأنظمة التمويل، وأدوات التطوير، ومنصات المراسلة. يمكن أن تسلم إصابة واحدة ناجحة بيئة عمل كاملة.

لهذا السبب تعد برامج infostealers طبقة وصول أولية فعالة للغاية للعمليات الإجرامية الأكبر. يقوم البرنامج الضار بجمع المعلومات. وتقوم أسواق الوسطاء والمهاجمون اللاحقون بتحقيق الدخل. يمكن أن تكون الجلسة المرتبطة بمزود هوية مؤسسي ذات قيمة أكبر بكثير من كلمة مرور مستقلة لأنها تنهار حدود الثقة المتعددة دفعة واحدة.

MFA لا يزال ضروريًا، لكنه لم يعد ينهي القصة

هذا هو الجزء الذي تكافح العديد من المؤسسات لإيصاله دون تقويض ثقة المستخدم في MFA. لا تزال المصادقة متعددة العوامل ضرورية. إنها تمنع كميات هائلة من إساءة استخدام بيانات الاعتماد الشائعة وتزيد من تكلفة التصيد الاحتيالي. المشكلة هي أن MFA يحمي حدث تسجيل الدخول، وليس كل البيانات اللاحقة التي يتم إنشاؤها بعد نجاح تسجيل الدخول. إذا كانت هذه البيانات قابلة للنقل، يمكن للمهاجمين وراثة نتيجة MFA دون إعادة إنتاج التحدي.

هذا يعني أن المؤسسات بحاجة إلى التوقف عن التعامل مع MFA كخط نهاية. إنه أحد الضوابط في سلسلة أطول تشمل نظافة نقطة النهاية، وحماية الجلسات، وتحديد نطاق tokens، واكتشاف الشذوذ، وثقة الجهاز، والاستجابة السريعة لاختراق الجلسات المشتبه به. تسجيل الدخول النظيف لا يعني جلسة نظيفة إلى الأبد.

المتصفح أصبح نقطة الضعف

معظم العمل الحديث يحدث الآن في browser، مما يجعله لا غنى عنه وغير محمي بشكل كافٍ. تقوم المتصفحات بتخزين cookies، وبيانات التعبئة التلقائية، و tokens، والتخزين المحلي، وحالة الإضافات، وآثار سير العمل الحساسة. يستخدمها الموظفون لتطبيقات الشركة، والتطبيقات الشخصية، وغالبًا كلاهما على نفس الجهاز. يزيد العمل عن بعد والعمل الهجين من ضبابية الخط الفاصل، خاصة على نقاط النهاية غير المدارة أو المدارة بشكل خفيف.

يمنح هذا المزيج برامج infostealers هدفًا غنيًا. بمجرد وصول البرمجيات الخبيثة إلى نقطة النهاية من خلال تنزيل ضار، أو تحديث مزيف، أو موقع drive-by، أو برنامج مقرصن، أو إغراء هندسة اجتماعية، يصبح الـ browser خزانة لبيانات مفيدة على الفور. لا يحتاج المهاجمون إلى استمرارية مثالية إذا تمكنوا من الحصول على جلسات قيمة بسرعة وبيعها أو استخدامها في غضون ساعات.

لماذا يحتاج المدافعون إلى التفكير بمصطلحات دورة حياة الجلسة

الدفاع ضد هذا النوع من التهديدات يعني فهم دورة حياة الجلسة، وليس فقط قوة المصادقة. ما هي المدة التي تستمر فيها الجلسات عالية القيمة؟ ما هي الأحداث التي تفرض إعادة المصادقة؟ هل refresh tokens أو long-lived cookies متساهلة للغاية؟ هل يمكن للمؤسسة ربط الجلسات بشكل أكثر إحكامًا بالأجهزة، أو سياق الشبكة، أو بيانات الاعتماد المدعومة بالأجهزة؟ هل يمكن اكتشاف إعادة استخدام الجلسة المشبوهة بالسرعة الكافية لتكون ذات أهمية؟

تدفع هذه الأسئلة فرق الهوية ونقاط النهاية للعمل بشكل أقرب. قد تظل الجلسة التي تبدو صالحة على طبقة التطبيق مشبوهة إذا أظهرت نقطة النهاية الأساسية علامات اختراق. وعلى العكس من ذلك، قد يستحق تنبيه EDR أولوية أعلى إذا وصل إلى جهاز يحتوي على جلسات SaaS ذات امتيازات. المؤسسات التي تتعامل مع هذا جيدًا هي تلك التي تربط هذه الإشارات بدلاً من التعامل مع أمن الهوية وأمن نقطة النهاية كبرامج منفصلة.

التخفيف يصبح أكثر معمارية

هناك استجابات تقنية واعدة. يمكن لربط بيانات الاعتماد المدعومة بالأجهزة، و tokens قصيرة الأمد، والوصول الشرطي الأقوى، والمتصفحات الآمنة للمؤسسات، وعزل المتصفح، واكتشاف أفضل لإعادة استخدام الـ token، أن تقلل جميعها من قيمة البيانات المسروقة. يعد عمل Google في الجلسات المرتبطة بالجهاز إشارة واحدة إلى أن بائعي المنصات يدركون المشكلة. لكن لا يوجد أي من هذه الدفاعات حلاً سحريًا واحدًا، والعديد منها غير متكافئ عبر التطبيقات وأنظمة التشغيل.

لهذا السبب، تعد الهندسة المعمارية أكثر أهمية من شعارات التوعية. يجب على فرق الأمن إعطاء الأولوية لحماية الجلسات المميزة، وتقليل الاستمرارية غير الضرورية، وتحديد نطاق tokens، ومراقبة السفر المستحيل وإعادة الاستخدام غير العادي، وتشديد الضوابط حول الأجهزة غير المدارة. يجب عليهم أيضًا افتراض أن المستخدمين سيستمرون في تسجيل الدخول إلى العديد من الأنظمة الهامة عبر الـ browser، لأن هذه هي طريقة إنجاز العمل. الحل ليس في تمني زوال المتصفح، بل في الدفاع عنه كبنية تحتية حيوية.

ماذا يجب على القادة تغييره الآن

أولاً، أعد النظر في كتيبات الاستجابة للحوادث. إذا اشتبه في إصابة جهاز ببرنامج infostealer، فهل تقوم المؤسسة فقط بإعادة تعيين كلمة المرور، أم أنها تلغي أيضًا الجلسات و tokens عبر التطبيقات الرئيسية؟ ثانيًا، حدد مكان وجود جلسات browser ذات القيمة الأعلى لديك. ثالثًا، راجع السياسات المتعلقة بمخاطر إضافات المتصفح، والأجهزة غير المدارة، والتخزين المحلي للبيانات الحساسة. رابعًا، تأكد من أن الموظفين يدركون أن تنزيلًا ضارًا يمكن أن يعرض الحسابات للخطر حتى لو لم يكتبوا كلمة مرور أبدًا في صفحة مزيفة.

هذه خطوات عملية، وليست نظرية. سرقة الجلسات تقلص نافذة الوقت المتاحة للمدافعين للاستجابة. في بعض الحالات، يمكن للمهاجم الانتقال من السرقة إلى الوصول بشكل فوري تقريبًا. وهذا يجعل سرعة الاحتواء بنفس أهمية الوقاية.

التحول الأكبر

تنجح برامج infostealers لأنها تستغل حقيقة هيكلية حول الأمن الحديث: الحالة الموثّقة قيمة. مع قيام الشركات بمركزة الهوية ودفع العمل نحو التطبيقات القائمة على الـ browser، تصبح محتويات الجلسة الحية حساسة تمامًا مثل بيانات الاعتماد التي أنشأتها. لقد أدرك المهاجمون ذلك بسرعة. ولا يزال العديد من المدافعين يلحقون بالركب.

الجيل القادم من أمن الهوية سيتحدد بمدى جودة حماية المؤسسات للجلسة بعد دخول المستخدم. لم تكن كلمات المرور هي القصة كاملة أبدًا، وفي عام 2026، بات دورها أقل أهمية. مسار الاختراق الجديد هو ما يحدث بعد نجاح تسجيل الدخول.

enterprise-securitybrowser-securityinfostealerssession-cookiesmfaidentity-security
مشاركة:
سرقة الجلسات: مسار الاختراق الجديد الذي تتخذه برامج Infostealers | AIO APEX