أمن البريد الإلكتروني لا يزال عالقًا في عصر مكافحة الفيروسات: لماذا نحتاج إلى نهج حديث الآن؟

البريد الإلكتروني لا يزال عالقًا في عصر مكافحات الفيروسات: لماذا يحتاج إلى نهج حديث؟

28 يوليو 2025 | مايستر نيرو - قسم أمن البريد الإلكتروني / الأمن السحابي

تخيل الموقف التالي: لقد عززت كل حاسوب محمول في مؤسستك ببيانات استشعارية حية، وعزل تلقائي سريع، وإمكانية استرجاع تلقائي. لكن follow-up صندوق البريد المؤسسي — الباب الأمامي لمعظم المهاجمين — لا يزال محميًا بفلتر يعود تقريبًا إلى تسعينيات القرن الماضي.

هذا ليس نهجًا متوازنًا. يظل البريد الإلكتروني القناة الأساسية لحدوث الاختراقات، ومع ذلك نتعامل معه غالبًا كتيار ثابت من الرسائل، بدلًا من اعتباره بيئة ديناميكية تتطلب مراقبة ما بعد التسليم. بيئة غنية برموز المصادقة (OAuth)، وروابط الأقراص المشتركة، وسنوات من البيانات الحساسة.

ينبغي أن يتغير الحوار. لم يعد من الكافي أن نسأل: "هل منع البوابة الرسالة الخبيثة؟"، بل يجب أن نبدأ بسؤال: كم من الوقت نحتاج لاكتشاف الضرر، احتوائه، وعكس آثاره عندما يخترق المهاجم النظام بالفعل؟

إن النظر إلى أمن البريد من هذا المنظور يفرض تحولًا جوهريًا نحو نفس الفلسفة التي ثوّرت حماية الأجهزة الطرفية: وهي افتراض الاختراق، والتركيز على الكشف والاستجابة.

اليوم الذي انهار فيه الجدار

يعرف معظم المتخصصين في الأمن الإحصائيات: تستمر هجمات التصيد وسرقة بيانات الاعتماد في هيمنة تقارير الاختراقات، وغالبًا ما يفوق الأثر المالي لاختلاس البريد التجاري (BEC) ذلك الناتج عن برامج الفدية. لكن البيانات تروي قصة أعمق، تُشبه انحدار برامج مكافحة الفيروسات التقليدية.

قبل عقد من الزمن، كانت برامج مكافحة الفيروسات فعالة في اكتشاف التهديدات المعروفة، لكنها فشلت في صد الثغرات الصفرية والبرمجيات الخبيثة الجديدة. ومن هنا ظهرت أنظمة كشف التهديدات والاستجابة لها (EDR)، لأن الفرق الأمنية احتجت إلى رؤية ما يحدث بعد دخول المهاجم إلى الجهاز.

يمر أمن البريد بنفس المسار. بوابات البريد الآمنة (SEGs) لا تزال تُفلتر رسائل البريد العشوائي وحملات التصيد الشائعة بشكل معقول. لكنها تفشل في اكتشاف الهجمات التي تميز المشهد التهديدي الحديث:

• اختلاس البريد التجاري (BEC) بدون حمولة خبيثة.
• روابط خبيثة تُفعّل بعد تسليم الرسالة.
• استيلاء على الحسابات باستخدام بيانات اعتماد مسروقة، دون الحاجة إلى أي برمجية خبيثة.

بمجرد اختراق صندوق بريد واحد، يحصل المهاجم على وصول إلى شبكة من التطبيقات المعتمدة على OAuth، والملفات المشتركة، وسجلات الدردشة، والدعوات التقويمية داخل Microsoft 365 أو Google Workspace. والتنقل الجانبي عبر هذه الشبكة نادرًا ما يُطلق إنذارًا جديدًا من البوابة الأمنية. فالضرر يحدث بالكامل داخل البيئة السحابية.

ما الذي يمكن لحماية البريد تعلمه من الأجهزة الطرفية؟

لم يكن الاختراق في عالم الأجهزة الطرفية هو قائمة سوداء أفضل، بل كان الوعي بأن منع الهجمات يجب أن يُرافقه رؤية مستمرة واستجابة تلقائية سريعة. منحتنا منصات EDR القدرة على تسجيل أشجار العمليات، وتغيرات التسجيل، وطلبات الشبكة. وعند اكتشاف تهديد، يمكن عزل الجهاز واسترجاع التغيرات من وحدة تحكم واحدة.

تخيل الآن منح مسؤولي البريد نفس القدرات: زر "استرجاع" للرسائل، ومراقبة صلاحيات OAuth والملفات المشتركة، والقدرة على تجميد صندوق البريد أو فرض مصادقة متعددة العوامل (MFA) فور إنشاء قاعدة مشبوهة، وجدول زمني يُظهر من قرأ أي رسالة حساسة بعد سرقة بيانات الاعتماد.

هذا المزيج من الإمكانيات هو ما يقدمه النهج الحديث، الشبيه بـ EDR، لأمن البريد. الفكرة بسيطة: افترض أن المهاجم سيصل في النهاية إلى صندوق البريد، ثم ابني الأدوات اللازمة للكشف، والتحقيق، واحتواء الضرر.

لحظة "الأولوية للواجهات البرمجية" التي جعلت كل شيء ممكنًا

لفترة طويلة، كان إضافة ضوابط ما بعد التسليم إلى البريد يتطلب إعدادات تدوين (journaling) هشة أو وكلاء ضخمين على الأجهزة. لكن منصات السحابة حلّت هذه المشكلة بصمت.

أصبحت واجهات برمجة تطبيقات Microsoft Graph وGoogle Workspace الآن تعرض بيانات المراقبة الضرورية — سجلات تدقيق الصناديق، ومعرفات الرسائل، وأحداث المشاركة، وتغيرات الصلاحيات — عبر OAuth بشكل آمن. والواجهات التي تمنح الرؤية تمنح أيضًا السيطرة: يمكنها إبطال رمز وصول، أو سحب رسالة تم توصيلها إلى كل صندوق وارد، أو إزالة قاعدة إعادة توجيه خلال ثوانٍ.

أجهزة الاستشعار والمحركات مدمجة بالفعل في المنصة. كل ما نحتاجه هو ربطها بسير عمل يشبه EDR. كما أوضحنا في مقالتنا "تطور أمن البريد الإلكتروني"، فإن هذا الثراء في بيانات المراقبة يمكّن الفرق الأمنية من التحرك بعيدًا عن لعبة "الضرب بالفأس" في ضبط قواعد التصفية. بدلًا من انتظار تبليغ المستخدم عن رسالة تصيد، يمكن للمنصة أن تلاحظ تسجيل دخول من موقع جغرافي مستحيل، وتكتشف أن الحساب أنشأ فورًا خمسة روابط مشاركة جديدة، وتُصلح الخطر تلقائيًا.

لماذا يهم هذا الفرق الأمنية الصغيرة؟

غالبًا ما يكون مدير الأمن في شركة صغيرة أو متوسطة هو القسم الأمني بأكمله، يتعامل مع إدارة الثغرات، والاستجابة للحوادث، والامتثال. وهنا تصبح انتشار الأدوات عدوًا حقيقيًا.

النهج الشبيه بـ EDR لأمن البريد يدمج عدة ضوابط متفرقة — سياسات البوابة (SEG)، ومنع فقدان البيانات (DLP)، وخطط الاستجابة للحوادث، ومراقبة SaaS-to-SaaS — في واجهة واحدة. لا حاجة لتغيير سجلات MX، ولا وكلاء للنشر، ولا اعتماد على ضغط المستخدم على زر "الإبلاغ عن التصيد".

والأهم من ذلك، أنه يُنتج مقاييس حقيقية. بدلًا من الاقتباس من "معدل الإيقاف" التعسفي، يمكنك الإجابة على أسئلة مجلس الإدارة ببيانات ملموسة:

• كم من الوقت يستغرق اكتشاف صندوق بريد مخترق؟
• كم كمية البيانات الحساسة كانت متاحة قبل الاحتواء؟
• كم عدد منح صلاحيات OAuth المشبوهة التي تم إبطالها هذا الربع؟

هذه الأرقام تصف انخفاض الخطر الفعلي، وليس كفاءة نظرية لفلتر.

طريقة عملية للتقدم إلى الأمام

هذا لا يجب أن يكون تمارُنًا مجردًا. المسار إلى الأمام تدريجي، وكل خطوة تقدم فائدة أمنية ملموسة.

1. فعّل سجلات التدقيق الأصلية: كل من Microsoft 365 وGoogle Workspace يحتويان على تسجيلات واسعة. هذه هي الحقيقة الأساسية التي ستحتاجها لأتمتة مستقبلية.
2. مركز بيانات المراقبة: في نظام SIEM أو منصة السجلات، ابدأ بالبحث عن إشارات للاختراق: إنشاء قواعد بريدية مفاجئة، تنزيلات جماعية للملفات، مواقع تسجيل دخول غير معتادة، ومنح صلاحيات OAuth جديدة.
3. اختبر الاستجابة التلقائية: استخدم الواجهات البرمجية الأصلية لتجربة "استرجاع الرسائل" باستخدام محاكاة تصيد. كل من Microsoft Graph وGmail API يدعمان هذه الوظيفة بشكل افتراضي.
4. قيّم منصات متخصصة: قيّمها حسب شموليتها، وتعقيد خطط الاستجابة بعد الاختراق، وسرعة الانتقال من الكشف إلى الإجراء التلقائي.

هذه الرحلة تحوّل التخمين إلى دليل، والخرق الحي إلى حادثة محصورة، وتحافظ على الجهد البشري المطلوب بما يتناسب مع حجم فريقك.

لا أحد في عام 2025 يمكنه أن يجادل بأن برنامج مكافحة الفيروسات وحده كافٍ لحماية الأجهزة. نحن نفترض أن الوقاية ستفشل في النهاية، لذا نبني أنظمة للكشف والاستجابة. يستحق البريد الإلكتروني نفس النهج العملي.

بالطبع، يظل الكشف الوارد أمرًا بالغ الأهمية. لكن إذا لم تتمكن سلسلة الأمان الخاصة بك من إخبارك من قرأ عقدًا حساسًا بعد اختراق صندوق بريد، أو منع هذا التعرض تلقائيًا، فأنت لا تزال تعمل في عصر مكافحات الفيروسات. المهاجمون تقدّموا. وصندوق بريدك، مثل جهازك المحمول، جاهز للترقية.

تم التعديل في: 28 يوليو 2025