نحوه عملکرد حملات سایبری
اگر در مرکز عملیات امنیت (SOC) یا تیمهای زیرساخت و امنیت سایبری فعالیت میکنید، بهخوبی میدانید که «گزارشهای اطلاعات تهدید (Threat Intelligence)» صرفاً برای پر کردن اسلایدهای مدیریتی نیستند؛ بلکه خوراک اصلی تصمیمگیریهای استراتژیکاند. در میان این گزارشها، ارزیابی سالانه Verizon DBIR بهدلیل اتکا بر دادههای واقعی از هزاران حادثهی امنیتی (Incident)، همواره مرجعی قابلاستناد بوده است.
آنچه در این مقاله میخوانیم
اگر در مرکز عملیات امنیت (SOC) یا تیمهای زیرساخت و امنیت سایبری فعالیت میکنید، بهخوبی میدانید که «گزارشهای اطلاعات تهدید (Threat Intelligence)» صرفاً برای پر کردن اسلایدهای مدیریتی نیستند؛ بلکه خوراک اصلی تصمیمگیریهای استراتژیکاند. در میان این گزارشها، ارزیابی سالانه Verizon DBIR بهدلیل اتکا بر دادههای واقعی از هزاران حادثهی امنیتی (Incident)، همواره مرجعی قابلاستناد بوده است.
پیام اصلی DBIR 2026 این است: اگرچه سوءاستفاده از آسیبپذیریها (Vulnerability Exploitation) بهعنوان بردار اصلی در دسترسی اولیه (Initial Access) رشد چشمگیری داشته، اما در عمل، موفقیت بسیاری از نفوذها همچنان بر دو پایهی اساسی استوار است: خطای انسانی و ریسکهای شخص ثالث. این بدان معناست که حتی اگر مهاجم از طریق یک آسیبپذیری (CVE) وارد شبکه شود، ادامهی مسیر حمله (Kill Chain) معمولاً بهواسطهی یک پیکربندی اشتباه (Misconfiguration)، یک حساب کاربری رهاشده، یا دسترسیهای بیضابطهی پیمانکاران هموار میشود.
در این مقاله، با نگاهی عملیاتی و از زاویه دید روزمرهی تیمهای امنیتی، دادههای DBIR 2026 را بررسی میکنیم تا ببینیم چرا عامل انسانی و Vendorها همچنان در مرکز تهدیدات قرار دارند؛ بهویژه برای سازمانهایی که با سیستمهای Legacy درگیرند، مدیریت تغییرات (Change Management) در آنها دشوار است و ساختار دسترسیهایشان از نظر تاریخی آشفته مانده است.
خلاصه مدیریتی
بر اساس دادههای کلیدی گزارش DBIR 2026:
تغییر بردار نفوذ: بهرهبرداری از آسیبپذیریها با سهم ۳۱ درصدی، برای اولین بار از سوءاستفاده از اطلاعات هویتی (Credential Abuse) بهعنوان بردار اصلی دسترسی اولیه (Initial Access) پیشی گرفته است.
سایه سنگین عامل انسانی: با این وجود، در حدود ۶۲ درصد از نفوذها، همچنان ردپای عامل انسانی (Human Involvement) بهوضوح دیده میشود.
اهمیت هویت: Credential Abuse در ۳۹ درصد از زنجیرههای حمله نقش دارد (حتی اگر سهم آن در گام اول نفوذ کاهش یافته باشد).
رشد تهدیدات زنجیره تأمین: ۴۸ درصد از نفوذها شامل نوعی درگیری شخص ثالث (Third-Party Involvement) هستند که این رقم نسبت به سال گذشته رشد چشمگیر ۶۰ درصدی را نشان میدهد.
جمعبندی مدیریتی: افزایش اکسپلویتها به معنای «کاهش نقش کاربر» نیست. مدل غالب نفوذهای موفق در سال ۲۰۲۶ ترکیبی از این سه عنصر است: آسیبپذیری فنی + ضعف فرآیندی + ریسک شخص ثالث.
یافتههای کلیدی DBIR 2026 درباره خطای انسانی
آمار کلیدی «عنصر انسانی»
طبق این گزارش، در ۶۲ درصد از حوادث منجر به نفوذ، خطای انسانی به اشکال زیر دخیل بوده است:
کلیک روی لینکها یا پیوستهای فیشینگ
افشای ناخواسته دادهها (Data Leakage)
پیکربندیهای اشتباه (Misconfiguration)
تصمیمات مدیریتی برای پذیرش ریسک بدون ارزیابی واقعی
همچنین، حضور Credential Abuse در ۳۹ درصد از نفوذها نشان میدهد که اگرچه سهم این روش بهعنوان گام اول از ۲۲٪ به ۱۳٪ کاهش یافته، اما برای حرکت عرضی (Lateral Movement) و ارتقای سطح دسترسی (Privilege Escalation) همچنان حیاتی است. در واقع، حتی زمانی که نفوذ با یک اکسپلویت آغاز میشود، پیروزی نهایی مهاجم به ضعف در مدیریت هویت و خطای انسانی گره خورده است.
اشکال رایج خطای انسانی در نفوذها
۱. فیشینگ و مهندسی اجتماعی فیشینگ هنوز هم ابزار اصلی مهاجمان است، با این تفاوت که اکنون با کمک هوش مصنوعی (AI) تکامل یافته است:
ایمیلها بهشدت شخصیسازی و بومیسازی شدهاند.
لحن مدیران ارشد، بخش مالی یا منابع انسانی (HR) با دقت شبیهسازی میشود.
از دادههای نشتیافته (Leaks) و تکنیکهای OSINT برای باورپذیر کردن سناریوها استفاده میشود. حملاتی نظیر Business Email Compromise (BEC) و خستگی احراز هویت چندمرحلهای (MFA Fatigue) دقیقاً بر روی عادات و رفتارهای کاربر سوار میشوند، نه بر روی ضعف تکنولوژی.
۲. پیکربندی اشتباه (Misconfiguration) مواردی که بهکرات در حوادث مشاهده میشوند:
پنلهای ادمین که با هر آدرس IP روی اینترنت در دسترس هستند.
تنظیمات امنیتی اشتباه در محیطهای Cloud و سرویسهای SaaS.
لاگبرداری ناقص یا فقدان سیستم هشدار (Alert) برای رویدادهای حساس. در بسیاری از مواقع، یک CVE بهتنهایی برای نفوذ کافی نیست؛ این پیکربندی اشتباه است که مسیر اکسپلویت را به یک اتوبان تبدیل میکند.
۳. ضعف در مدیریت هویت و دسترسی (IAM)
عدم اجباری بودن MFA (یا اعمال آن صرفاً برای بخشی از سرویسها).
حسابهای کاربری ادمین با دسترسیهای مازاد بر نیاز (Over-privileged).
نقص در فرآیندهای چرخهعمر کاربر (Joiner-Mover-Leaver).
استفاده مجدد از رمزهای عبور یکسان. در عمل، مهاجم پس از ایجاد جایپای اولیه (Foothold)، تقریباً همیشه به سراغ سرقت Credentialها، توکنها، نشستها (Sessions) و سوءاستفاده در لایهی هویت میرود.
۴. سایهی فناوری و هوش مصنوعی (Shadow IT & Shadow AI) استفادهی بدون ضابطه از ابزارهای AI و SaaS توسط کارمندان، به یک منبع ریسک جدی تبدیل شده است. آپلود دادههای حساس در چتباتها، اشتراکگذاری کدها و فایلهای کانفیگ، یا حتی کپیپیست کردن لاگهای داخلی، نهتنها مصداق نشت اطلاعات است، بلکه فرآیند شناسایی (Reconnaissance) را برای مهاجمان رایگان و تسهیل میکند.
ریسکهای شخص ثالث در DBIR 2026
آمار و روندها
۴۸ درصد از نفوذها شامل عاملی از شخص ثالث بودهاند (رشد ۶۰ درصدی نسبت به سال قبل).
تأمینکنندگان معمولاً شامل ارائهدهندگان SaaS، شرکتهای MSP/MSSP، ارائهدهندگان Cloud/Hosting و Vendorهای نرمافزاری هستند. امروزه مرز حمله، دیگر «فایروال سازمان» نیست؛ بلکه کل زنجیره تأمین دیجیتال (از پیمانکار جزء تا سرویس ایمیل و بکاپ) را شامل میشود.
مکانیسمهای رایج سوءاستفاده از ریسک شخص ثالث
۱. نفوذ به زنجیره تأمین نرمافزار: شامل آلودهسازی آپدیتها، Dependency Confusion و Typosquatting در رجیستریها. ۲. ضعف امنیتی در Cloud و SaaS: وجود باگ در پنلهای مدیریت، پیادهسازی ضعیف پروتکلهای OAuth/SAML و API Tokenها، و اشتراکگذاری سیاستهای دسترسی بین چند مشتری (Tenant). ۳. ضعف در الزامات قراردادی: عدم الزام پیمانکار به استفاده از MFA، نبود تعهد برای اعمال Patch در بازه زمانی مشخص، و عدم دسترسی سازمان به لاگها در زمان وقوع حادثه امنیتی. ۴. اشتراک کلید و دسترسیها: استفاده از یک API Key مشترک برای چندین سرویس، باز بودن دائمی VPN برای پیمانکاران، و عدم وجود بخشبندی شبکه (Segmentation) برای محدود کردن دسترسی Third-Partyها.
آسیبپذیریها (CVE) و تکنیکهای اکسپلویت مرتبط (۲۰۲۵–۲۰۲۶)
۱. تجهیزات Edge (شامل Firewall / VPN / SD-WAN / Remote Access) چند سالی است که تمرکز مهاجمان روی لبهی شبکه (Edge) معطوف شده است. الگوهای رایج شامل بهرهبرداری از باگهای بحرانی در SSL VPNها و Web UI فایروالها، آسیبپذیریهای RCE پیش از احراز هویت (Pre-auth)، و سرقت فایلهای کانفیگ است.
الگوی حمله: اسکن اینترنت برای یافتن نسخههای آسیبپذیر ⬅️ اجرای اکسپلویت و قرار دادن Web Shell ⬅️ استخراج Credentialها ⬅️ حرکت به داخل شبکه (Pivot) و در نهایت استقرار باجافزار یا سرقت داده. فاصلهی زمانی بین انتشار جزئیات آسیبپذیری تا اسکن انبوه اینترنت، گاهی کمتر از ۲۴ ساعت است؛ به این معنی که کُندی در Patch Management مستقیماً پنجرهی حمله را باز نگه میدارد.
۲. سرویسهای Collaboration و نرمافزارهای سازمانی آسیبپذیریهایی نظیر SSRF، RCE و آپلود فایلهای مخرب در پلتفرمهایی مانند SharePoint و پرتالهای سازمانی بهوفور استفاده میشوند. در سازمانهای مبتنی بر سیستمهای Legacy، این سرویسها معمولاً یا Patch نمیشوند یا با تنظیماتی ناامن مستقیماً روی اینترنت قرار دارند.
۳. زیرساخت کلید عمومی (PKI) و هویت تهدیدات نوظهور در این بخش شامل حملات مبتنی بر یادگیری ماشین (ML) بر روی فرآیند صدور و اعتبارسنجی گواهینامهها، ضعف در مدیریت چرخهعمر گواهیها، و استخراج کلیدهای خصوصی از تجهیزات آسیبپذیر (مثل IoT) است. ضعف در PKI میتواند به جعل هویت و حملات MITM در مقیاس وسیع منجر شود که تبعات بسیار سنگینی دارد.
نقش خطای انسانی و پیمانکاران در موفقیت اکسپلویتها
چرا اکسپلویتها اینقدر سریع جواب میدهند؟ عوامل تکرارشوندهای در این زمینه دخیلاند: تأخیر در اعمال Patch بهدلیل فرآیندهای سنگین مدیریت تغییرات، ترس از ایجاد قطعی (Downtime)، فقدان تیم مشخص برای مدیریت آسیبپذیریها، و نبود یک داراییسنجی (Asset Inventory) دقیق. در واقع، تصمیم سازمان برای «عقب انداختن Patch»، دقیقاً همان فرصتی است که مهاجم به آن نیاز دارد.
خطای انسانی در مدیریت ریسک پیمانکاران انتخاب Vendor بدون ارزیابی دقیق امنیتی، فقدان دید (Visibility) روی فعالیتهای پیمانکار در شبکه، ابهام در مدل مسئولیت مشترک (Shared Responsibility) و تخصیص دسترسیهای دائمی و سطح بالا به شخص ثالث، باعث میشود که حتی اگر نقطه ورود مهاجم زیرساخت پیمانکار باشد، سازمان شما نیز بهراحتی قربانی (Compromised) شود.
توصیههای عملیاتی برای کاهش ریسک
مدیریت خطای انسانی
برگزاری دورههای آگاهیبخشی امنیتی (Security Awareness) سناریومحور با شاخصهای (KPI) واقعی (نه صرفاً ثبت حضور و غیاب).
اجرای مانورهای شبیهسازی فیشینگ و تحلیل دقیق نرخ کلیک و گزارشدهی کاربران.
الزامی کردن MFA برای تمامی دسترسیهای راهدور (Remote) و حسابهای کاربری با سطح دسترسی بالا (Privileged).
اجرای عملی و سختگیرانهی اصل حداقل سطح دسترسی (Least Privilege).
تعریف SLA دقیق برای اعمال Patch (مثلاً الزام به نصب وصلههای Critical در کمتر از ۷ روز) و گزارشگیری مستمر از انطباق آن.
مدیریت ریسک شخص ثالث
تهیه لیست کامل (Inventory) از تمامی پیمانکاران، سطح دسترسی آنها و تعیین مالک (Owner) داخلی مشخص برای هر کدام.
درج الزامات امنیتی غیرقابلمذاکره در قراردادها (نظیر الزام به MFA، SLA مشخص برای Patch سیستمها، و تضمین دسترسی به لاگها در زمان حوادث).
استفاده از سرورهای واسط (Jump Server) یا راهکارهای PAM برای مدیریت و مانیتورینگ دسترسی پیمانکاران.
محدودسازی و چرخش منظم (Rotation) کلیدهای API و Tokenهای مشترک.
توصیههای ویژه برای زیرساختهای Legacy و محیطهای محدود
بهروزرسانی فوری تجهیزات Edge و مسدود کردن دسترسی پنلهای ادمین از طریق اینترنت (استفاده از IP Allowlist یا معماری Zero Trust).
راهاندازی Repository داخلی برای مدیریت آپدیتها در محیطهای ایزوله (Air-gapped) یا با اینترنت محدود.
اجرای Segmentation شدید برای ایزوله کردن سیستمهای Legacy و EOL.
فعالسازی و مانیتورینگ مداوم لاگهای فایروال و VPN و ایجاد هشدارهای عملیاتی (Actionable Alerts).
استفاده از تکنیک وصله مجازی (Virtual Patching) از طریق IPS/WAF برای سیستمهایی که امکان دریافت Patch رسمی را ندارند.
نکات کلیدی برای گنجاندن در «گزارش تهدیدات سایبری» درونسازمانی
برای ساخت یک گزارش استراتژیک داخلی بر مبنای دادههای DBIR 2026، چارچوب زیر میتواند بسیار کاربردی باشد:
| نوع ریسک | آمار جهانی (DBIR 2026) | نمود عملیاتی در سازمانها |
|---|---|---|
| خطای انسانی | دخیل در ۶۲٪ از نفوذها | افتادن در دام فیشینگ، Misconfiguration، فقدان MFA |
| ریسک شخص ثالث | دخیل در ۴۸٪ از نفوذها | سطح دسترسی گسترده شرکتهای MSP، استفاده از SaaS بدون ارزیابی امنیتی |
| بهرهبرداری از آسیبپذیری | ۳۱٪ سهم بهعنوان بردار Initial Access | تجهیزات لبه شبکه (Edge) که بهموقع وصله (Patch) نشدهاند |
جمعبندی نهایی: گزارش DBIR 2026 نشان میدهد که با وجود افزایش آمار اکسپلویتها، «موفقیتآمیز بودن» یک حمله معمولاً به همان سهگانهی کلاسیک وابسته است: مدیریت وصلهها (Patch Management)، حاکمیت هویت (Identity Governance) و کنترل ریسک پیمانکاران (Third-Party Control). با ساختاردهی و اصلاح این سه محور، سطح ریسک سایبری سازمان بهشکل چشمگیری کاهش مییابد؛ حتی اگر روزانه دهها آسیبپذیری بحرانی جدید در جهان منتشر شود.





