التعامل مع تحذيرات الأمن السيبراني في ظل ندرة الموارد

بقلم " ڤيجنيش كنان"، مسؤول أول هندسة الحلول الأمنية لدى شركة "بالاديون"

في ساحة المعركة الافتراضية بين المهاجمين الإلكترونيين وفرق الأمن السيبراني، تحدث تنبيهات أمنية عديدة. قد يكون بعضهم دون خطورة حقيقية، ولكن البعض الآخر قد يكون قاتلا إذا تركته دون مراقبة. وجميعهم بحاجة إلى تقييم  لفهم ما إذا كان الأخذ بالتهديد كأولوية ينبغي معالجتها و التعامل معها فوراً أم توضع في تصنيف التعامل في وقت لاحق، أو ببساطة تترك كما هي. وبعد ذلك يتم إتخاذ الإجراءات الصحيحة للعلاج والقضاء على التهديد وفقًا لكل حالة .

كيف تقوم بتصنيف التهديدات الكبيرة اليوم؟

تعرف عملية الفرز بـ"التأهب". و جاء هذا المصطلح في الأصل من ساحات المعارك الحقيقية في الحرب العالمية الأولى. يتم تقييم الضحايا بسرعة (مثل مسألة حياة أو موت لبعض المصابين!) ووضعهم في فئات للعلاج في حالات الطوارئ أو النقل. كان الفرز أمراً حتمياً، حيث لم تكن هناك موارد كافية لعلاج جميع المصابين على الفور.

نفس النوع من التأهب نحتاجه لفرز تنبيهات الأمن السيبراني. ورغم ذلك، فإن الموارد اليدوية للفرز تكون عادة أكثر محدودية مقارنة بالكميات الهائلة من الإنذارات التي يمكن أن تولدها الشبكة وأنظمة المنشأة. يقوم كل حل أمني مثل نظام منع / كشف التطفل (IPS / IDS) أو جدار حماية تطبيق الويب (WAF) أو نظام إدارة الحدث والأحداث الأمنية (SIEM) بإنشاء التنبيهات الخاصة به. ويجعل من الأمر أكثر صعوبة إحتمالية أن تكون التنبيهات التي تبدو غير مهمة من تلقاء نفسها قد تصبح أكثر خطورة إذا إجتمعت مع بعضها.

معلومات أساسية يجب معرفتها حول أولوية التنبيهات

لفهم ما يعنيه الأمن السيبراني لشركتك، يجب أن يكون لديك المعلومات التالية عن كل تنبيه:

• هل هذا (جزء من) هجوم؟

• هل تم الهجوم بنجاح؟

• ما هي نقاط مصدرعنوان بروتوكول الإنترنت (IP) ؟

• ما هي نقاط واجهة عنوان بروتوكول الإنترنت ؟

• ما هي نقاط تغذية التهديد؟

• ما هي نقاط الضعف؟

• هل تم اختراق حساب المستخدم المعني؟

• ما الأصول الأخرى التي تم اختراقها؟

• ما هي نقاط الضعف المرتبطة بها؟

• ما هي كثافة الهجوم؟

• هل كان هذا الحدث مرتبطًا بأي حدث آخر أم فردي؟

• ما هي الأنشطة التي نفذها المهاجم؟

• كيف ينبغي أن تستجيب الشركة لهذا الهجوم؟

الجمع بين الذكاء الاصطناعي والإنسان والتهديدات

للإجابة على الأسئلة أعلاه، لا يمكن للحكم والخبرة الإنسانية - رغم أهميتها - أن تتأقلم مع الحجم والسرعة التي تصل بها تنبيهات اليوم. ومن ناحية أخرى، تسمح التقنية الصحيحة بتحليل جميع التنبيهات وربطها في مكان واحد دون فقدان أي منها. وتعطي نتائج شبه حقيقية مع معلومات التنبيه التفصيلية والتسجيل. ويسمح استخدام الذكاء الاصطناعي (AI) داخل التكنولوجيا بإبداء الأفكار والتوصيات حول التهديدات الحقيقية وكيفية التعامل معها. ويمكن إتاحة قصة الهجوم الكاملة حتى قبل أن تبدأ في بلوغ مراحل خطيرة.

هذا المزيج من الذكاء الاصطناعي والبشري يسمح أيضاً بتفادي المشكلة الخطيرة المتعلقة بتعب الإنذار. تحدث هذه المشكلة عندما يجب على محللي الأمن البشري فحص كميات كبيرة من التنبيهات المتكررة و التي تبدو متشابهه. التشابه يولد الازدراء، ويحدث ذلك مع رفض التنبيهات على نحو متزايد بسبب عدم أهميتها.

ولحسن الحظ، يمكن للتكنولوجيا تسليط الضوء على التنبيهات التي تتوافق مع أي هجوم والتي قد لا يتم تجاهلها. و تساعد المعلومات الاستخبارية بعد ذلك على وضع التنبيهات في سياقها، وتقارنها بالنشاط العام للتهديد. وبدلاً من إلزام المحللين بتجميع قواعد بياناتهم، يمكن لذكاء التهديد المعبأ أن يرفع فعالية الأمن السيبراني بنسبة هائلة.

وضع حل متكامل وفعّال من حبث التكلفة

إن الدعوة النهائية بشأن ما يجب القيام به هي محللي الأمن البشري. يستطيع الذكاء الاصطناعي التعامل مع كمية كبيرة من عبء العمل، لكنه لا يستطيع فعل كل شيء. إذا تم توسيع موارد الشركة أو المؤسسة الخاصة، فإن تحليل الحوادث عبر طرف ثالث مع تنبيهات التأهب الذكي يمكنه السيطرة على الوضع الأمني الذي تحتاجه الشركة أو المؤسسة.

في خدمة تحليل الحوادث لدى "بالاديون"، ينتج المحللون أيضًا تقرير دقيقة للغاية. ويصف التقرير الهجوم ويتضمن خطوات تخفيف مفصلة لفرق تكنولوجيا المعلومات والأمن السيبراني في الشركات. ويمكن أن يطلع العميل على الحالة وتطور تحليل الهجوم في أي وقت باستخدام أدوات إعداد التقارير والتحليلات المتاحة عبر الإنترنت.

إن عمق التحليل والرؤية من خدمة "بالاديون" في التنبيهات والحوادث تتجاوز إلى حد كبير المؤشرات الأساسية للتسوية (IOCs). ويتم إدارة الحالة بشكل منظم لتتبع التنبيهات من التحقق من الصحة إلى التحقيق. ويتم تجميع إحصائيات الهجوم لإظهار أي الهجمات تحدث بشكل متكرر وماذا تستهدف. وبشكل عام، من خلال تنفيذ تنبيهات التحليل و التأهب الذكية  والتي تشمل توصيات للعمل، تخفف من العبء في خدمة العملاء من كثرة التنبيهات وتجلب مرة أخرى الأمن السيبراني إلى مستويات يمكن التحكم فيها.