جيـف ويليامز: لماذا أصبح التشغيل الفعلي هو معيار أمان التطبيقات الجديد؟

من الفحص الخارجي إلى فهم ما يجري داخل التطبيق

شهد أمن التطبيقات خلال السنوات الماضية تحوّلًا مهمًا في طريقة التفكير بالمخاطر. فبدل الاعتماد الكامل على أدوات تفحص الأنظمة من الخارج وتنتج كماً هائلاً من النتائج النظرية، بات التركيز يتجه أكثر نحو ما يحدث داخل التطبيق وهو يعمل فعليًا. هذه الفكرة تمثل جوهر الرؤية الحديثة التي يدافع عنها جيف ويليامز، أحد أبرز الأسماء في أمن البرمجيات ومؤسس OWASP والمؤسس والرئيس التنفيذي التقني في Contrast Security.

ويعتبر ويليامز أن المشكلة الأساسية في النماذج التقليدية ليست فقط كثرة التنبيهات، بل العجز عن التمييز بين الثغرة الموجودة نظريًا والثغرة القابلة للاستغلال فعليًا. من هنا جاءت الحاجة إلى نقل الأمن من مرحلة التخمين إلى مرحلة الملاحظة المباشرة، بحيث تُبنى القرارات الدفاعية على السلوك الحقيقي للتطبيق أثناء التنفيذ.

هذا التوجه يزداد أهمية مع تسارع تطوير البرمجيات وتوسع الأنظمة الحديثة، حيث لم تعد التطبيقات تُبنى ككتل منفصلة يمكن فحصها بسهولة، بل أصبحت شبكات معقدة من الخدمات الصغيرة والواجهات البرمجية والاعتماديات الخارجية والمهام المؤقتة.

لماذا لم تعد النتائج النظرية كافية؟

أحد أبرز الانتقادات التي يطرحها ويليامز هو أن كثيرًا من فرق الأمن باتت غارقة في نتائج الفحص التي لا تعكس مستوى الخطر الحقيقي. فالأدوات التقليدية قد تكشف آلاف الملاحظات، لكنها لا تجيب دائمًا عن الأسئلة الأهم: هل يمكن الوصول إلى الثغرة؟ هل يمكن استغلالها؟ هل استُخدمت فعلاً في بيئة الإنتاج؟

في الواقع، لا تكون كل الثغرات متساوية في الأهمية، ولا كل الإشعارات مفيدة. ولهذا يرى أن الأمن الفعّال يجب أن يعتمد على أدلة من بيئة التشغيل نفسها، لا على احتمالات مستنتجة من خارج التطبيق. هذه المقاربة تقلل الضجيج وتساعد الفرق على توجيه وقتها إلى المخاطر ذات الأثر الأكبر.

كما أن الاعتماد المتزايد على البرمجيات مفتوحة المصدر زاد من حجم المشكلة. فالتطبيقات الحديثة تحتوي غالبًا على مئات أو آلاف المكونات التي لم يكتبها الفريق الداخلي، ولا يملك دائمًا رؤية دقيقة بشأن ما يعمل منها فعلًا داخل الذاكرة أو ما يُستخدم في السياق التشغيلي.

الفجوة بين السجلات وبين الواقع الأمني

تشكل السجلات والإنذارات عنصرًا أساسيًا في مراكز العمليات الأمنية، لكنها لا تكشف دائمًا الصورة الكاملة. فالسجل هو ما قرر التطبيق أن يكتبه، وليس بالضرورة ما حدث بالفعل. وهذه نقطة محورية في تفسير سبب عدم اكتشاف كثير من الهجمات على مستوى طبقة التطبيقات والواجهات البرمجية.

بحسب هذا المنطق، يمكن لهجوم يستهدف منطق التطبيق أو مسار التنفيذ أن يمر من دون أثر واضح في أنظمة المراقبة التقليدية، خصوصًا إذا لم يكن المطور قد أضاف تسجيلًا مناسبًا لذلك المسار. ونتيجة لذلك، تصبح بعض الثغرات فعليًا خارج مجال رؤية فرق الأمن، رغم أنها قد تكون في قلب العملية التشغيلية.

من هنا تبرز أهمية إدخال حساسات أمنية داخل التطبيق نفسه، بحيث يمكن رصد السلوك غير الطبيعي لحظة حدوثه. فبدل انتظار ظهور أثر جانبي في السجلات، يصبح بالإمكان مراقبة الوصول إلى الوظائف الحساسة واكتشاف استغلال الثغرات في وقت أقرب بكثير.

الأنظمة الحديثة كسرت نموذج المحيط التقليدي

يرى ويليامز أن البنية التقليدية التي كانت تفترض وجود محيط واضح للشبكة لم تعد مناسبة للواقع الحالي. فالمعاملة الواحدة قد تمر عبر خدمات متعددة وواجهات متنوعة ووظائف سحابية مؤقتة وقوائم انتظار واعتماديات من أطراف خارجية قبل أن تكتمل.

هذا التشابك يجعل أدوات الرصد التقليدية ترى أجزاء متناثرة فقط من القصة. قد ترى الحزم أو السجلات أو مؤشرات البنية التحتية، لكنها لا تفهم دائمًا مسار البيانات الكامل ولا ما إذا كان الكود الخطر قد نُفذ بالفعل. لذلك يدعو إلى بناء نموذج رقمي يمكنه تمثيل بيئة التطبيق بصورة أقرب إلى الواقع، بحيث يصبح التحليل الأمني قادرًا على تفسير السياق الكامل.

هذه الفكرة مهمة أيضًا في عصر أنظمة الذكاء الاصطناعي والتطبيقات الذاتية، لأن التعقيد لا يقتصر على البنية التحتية وحدها، بل يمتد إلى طريقة إنشاء البرمجيات واتخاذ القرارات داخلها. ومع تسارع التطوير، يصبح الاستدلال الأمني من الخارج أقل فاعلية.

ما هي الثغرات «على مستوى الأسطورة»؟

يستخدم ويليامز وصفًا لطبقة جديدة من المخاطر تشبه ما يمكن اعتباره ثغرات ناتجة عن تعقيد المنظومة أكثر من كونها أخطاء بسيطة وواضحة. هذه الثغرات تنشأ من تفاعل الأطر البرمجية والاعتماديات والأنماط المعمارية بطريقة قد لا يلاحظها المطورون بالكامل أثناء البناء أو الاختبار.

السبب في صعوبة اكتشاف هذا النوع من المخاطر هو أن الأدوات الكلاسيكية صُممت في الأساس للأنماط المعروفة والمباشرة. أما حين يكون الخطر مرتبطًا بسياق التنفيذ أو سلسلة الاستدعاءات أو تفاعل مكوّنات متعددة، فإن الفحص السطحي لا يكون كافيًا. هنا يصبح فهم ما يجري أثناء التشغيل شرطًا أساسيًا لاكتشاف المشكلة.

وبما أن هذه الثغرات قد لا تترك أثرًا واضحًا في أدوات المراقبة المعتادة، فإنها تتطلب مستوى أعلى من الاستدلال يعتمد على البيانات المباشرة من داخل التطبيق.

الأولوية لتخفيف الأثر لا لتكديس التذاكر

من النقاط المهمة في هذا الطرح أن النجاح الأمني لا ينبغي أن يُقاس بحجم التذاكر أو بعدد الفحوصات المنجزة، بل بمدى خفض التعرض الحقيقي. فالمؤسسات التي تتعامل مع الأمن كعملية إدارية فقط قد تنجح في إغلاق الملفات، لكنها لا تقلل بالضرورة احتمال الاختراق.

ويشير هذا المنظور إلى أن فرق الأمن تحتاج إلى فرز أكثر ذكاءً للمخاطر. فبدل مطاردة كل ثغرة نظرية، ينبغي التركيز على تلك الموجودة في الكود النشط، والقابلة للوصول، والمرتبطة بمسارات هجوم حقيقية داخل بيئة الإنتاج. هذا الأسلوب يرفع كفاءة الاستجابة ويمنح الفريق قدرة أفضل على حماية الأنظمة ذات الأولوية.

كما أن ارتفاع حجم سلاسل التوريد البرمجية وتزايد الاعتماد على مكونات جاهزة جعلا الأعباء أكبر من قدرة المراجعة اليدوية وحدها. لذا تصبح الأولوية للأدلة العملية التي تفرز المخاطر الأكثر تأثيرًا.

الذكاء الاصطناعي يسرّع المشكلة والحل معًا

يرى ويليامز أن الذكاء الاصطناعي يغيّر المعادلة في اتجاهين متعاكسين. فمن جهة، يسرّع إنتاج البرمجيات ويزيد سرعة اكتشاف الثغرات واستغلالها. ومن جهة أخرى، يفتح الباب أمام تحسينات في التصميم والاختبار والمراجعة والتحقق الآلي. لكن الخطر الأكبر هو أن كثيرًا من برامج الأمن لا تزال تعتمد على تدخل بشري أبطأ من وتيرة الهجمات الحديثة.

في هذا السياق، يبرز الدور المزدوج للذكاء الاصطناعي: تعزيز القدرة على بناء برمجيات أكثر أمانًا، وفي الوقت نفسه دعم طبقات الحماية التشغيلية القادرة على الكشف والاستجابة في أثناء الهجوم. ومع ذلك، يظل النجاح مرهونًا بامتلاك بيانات دقيقة من بيئة التشغيل، لأن النماذج الذكية لا يمكنها تحسين القرار إذا كانت الرؤية الأصلية ناقصة.

لذلك يصبح الجمع بين الحماية التشغيلية والأتمتة الذكية هو المسار الأكثر واقعية لمواجهة هذا العصر، خصوصًا مع تزايد الأنظمة الذاتية وتغير طبيعة الهجوم والدفاع.

كيف ينبغي لمراكز العمليات الأمنية أن تتغير؟

الدرس الأهم لمراكز العمليات الأمنية هو أن الاعتماد على التليمترية المحيطية لم يعد كافيًا. فالكثير من الهجمات على التطبيقات والواجهات البرمجية لا يمكن رصدها من الخارج فقط، لأن المشكلة تقع داخل بيئة التشغيل نفسها.

ولهذا يدعو هذا النهج إلى دمج رؤية التطبيقات في صميم عمل مركز العمليات، بحيث لا تبقى التطبيقات صندوقًا أسود. كما ينبغي أن تتقارب فرق أمن التطبيقات والهندسة التشخيصية والرصد الأمني، لأن الفصل التقليدي بينها لم يعد مناسبًا للتهديدات الحالية.

في نهاية المطاف، الرسالة واضحة: الأمن الفعّال في عصر التطبيقات السحابية والذكاء الاصطناعي يحتاج إلى فهم مباشر للسلوك أثناء التنفيذ، لا إلى تراكم تنبيهات منفصلة. وكلما تحولت الرؤية من التخمين إلى الملاحظة، زادت القدرة على تقليل المخاطر الحقيقية قبل أن تتحول إلى حادثة كبيرة.