تكافح معظم المؤسسات لإدارة التنبيهات ونقاط الضعف: إليك كيفية إصلاحها
إن مواكبة التهديدات الحديثة ليس بالأمر السهل، لا سيما عندما يتعين على فريق الأمان لديك إدارة 11000 تنبيه في اليوم.
تم إصدار دراسة جديدة حول البيئة والحوكمة البيئية والاجتماعية (ESG) من قبل Kaspersky بعنوان SOC Modernization and the Role of XDR، في وقت سابق من هذا الأسبوع وكشفت أن 70٪ من المؤسسات تكافح من أجل مواكبة حجم التنبيهات الناتجة عن أدوات التحليلات الأمنية.
ومع ذلك، ليس فقط الانفجار في التنبيهات الأمنية هو الذي يعيق إنتاجية فرق الأمن. كما أن عدد الثغرات الأمنية المكتشفة هائل – حيث تم اكتشاف 28695 في العام الماضي وحده – وهو رقم مرتفع للغاية حتى لا يستطيع فريق الأمن الذي يتمتع بموارد جيدة التخفيف من حدته.
في مواجهة هذا الحجم الكبير من الثغرات الناشئة، ليس من المستغرب أن تقرير NopSec الأخير وجد أن 70٪ من محترفي الأمن يعتقدون أن برنامج إدارة الثغرات الأمنية لديهم فعال إلى حد ما. لذا، كيف يمكن للمنظمات مواجهة هذه التحديات وجهاً لوجه؟
إصلاح امتداد التنبيه
لسنوات، ظل الحجم الكبير من التنبيهات التي تم إنشاؤها في مركز عمليات الأمان (SOC) من أدوات الأمان أحد أكبر نقاط الضعف التي يواجهها محللو الأمن.
غالبًا ما يتعرض المحللون لضغوط للاحتفاظ بعلامات تبويب على عشرات الأدوات التي تُنشئ جميعها تنبيهات فريدة خاصة بهم.
جزء صغير فقط من هذه الإخطارات مفيد ويتعلق بحوادث أمنية نشطة، في حين أن الكثير منها مجرد إيجابيات كاذبة.
تُظهر الأبحاث أن 45٪ من جميع التنبيهات الأمنية اليومية هي تنبيهات إيجابية خاطئة، والتي تستغرق الكثير من ساعات الاتصال لدرجة أن 75٪ من المؤسسات تبلغ عن أن مؤسساتها تقضي قدراً مساوياً من الوقت، أو وقتاً أطول على الإيجابيات الكاذبة مقارنة بالهجمات المشروعة.
عندما يتعلق الأمر بمعالجة انتشار التنبيه، يقول سيرجي سولوداتوف، رئيس SOC في Kaspersky، إن الشركات بحاجة إلى استخدام الأتمتة لتحسين عمليات الكشف والاستجابة.
قال سولوداتوف: “ستساعد الأتمتة في جميع مراحل معالجة التنبيه هنا”. “على سبيل المثال، في SOC لدينا، لدينا محلل سيارات مدعوم بالذكاء الاصطناعي حاصل على براءة اختراع والذي يتعلم من تحليل تاريخ التنبيهات التي تمت معالجتها بواسطة فريق محلل SOC.”
ويشير إلى أن “محلل السيارات” هو السطر الأول من Kaspersky’s SOC، والذي ساعد في تقليل عدد التنبيهات الإيجابية الكاذبة التي يتم إرسالها إلى فريق SOC التابع للشركة لتحليلها بمقدار النصف.
قال سولوداتوف: “بالنسبة إلى التنبيهات التي يجب معالجتها من قبل فريق مركز عمليات الهجوم، من الضروري إنشاء أدوات لمعالجتها الآلية بحيث يمكن لمحلل مركز العمليات الأمنية (SOC) التحقيق في التنبيه بسهولة وسرعة: الحصول بسرعة على المعلومات الإضافية الضرورية وتصور مراحل الهجوم”..
تسلق جبل الضعف
عند محاولة مواكبة العدد المتزايد باستمرار من الثغرات الأمنية، قد تكمن الإجابة بالنسبة للمؤسسات في تحديد الأولويات على أساس المخاطر.
كانت إحدى النتائج الرئيسية لتقرير NopSec هي أن 58٪ من المهنيين يقولون إنهم لا يستخدمون نظام تصنيف قائم على المخاطر لتحديد أولويات نقاط الضعف.
هذه المنظمات لديها عمليات إدارة نقاط الضعف غير فعالة والتي فشلت في تأمين نقاط الضعف عالية الخطورة أولاً.
الحقيقة هي أن معظم المنظمات غارقة في ثقل الضعف. قال الرئيس التنفيذي لشركة NopSec، ليزا شو، “العديد من نقاط الضعف، وعدم وجود سياق كافٍ، وقلة القوى العاملة غير الكافية تؤدي إلى هذه البرامج غير الفعالة”.
قال شو: “بدون النوع المناسب من الأدوات لتوفير سياق حقيقي وفهم الآلاف من نقاط الضعف التي تعاني منها المنظمات، تضيع المعركة منذ البداية”.
بالنسبة إلى Xu، فإن الإجابة هي أن تقوم المؤسسات بتجميع سياق أكبر حول شدة نقاط الضعف الموجودة في جميع أنحاء بيئتها باستخدام حلول إدارة الثغرات الأمنية مع تصنيفات المخاطر.
بهذه الطريقة، يمكن لفرق الأمن إعطاء الأولوية لمعالجة نقاط الضعف الحرجة أولاً، بدلاً من تصحيح الأنظمة على أساس مخصص.
نقل عمليات SOC إلى المستوى التالي
سواء كانت إدارة التنبيهات أو نقاط الضعف، في جميع المجالات، هناك حاجة ماسة لفرق الأمن لمتابعة التميز التشغيلي.
من الناحية العملية، لا يعني هذا فقط التخفيف من نقاط الدخول إلى بيئاتهم والقضاء عليها بشكل استباقي، ولكن أيضًا ضمان امتلاكهم للذكاء والرؤية اللازمتين لاكتشاف التدخلات.
توصي Kaspersky المنظمات بتشجيع فرق الأمن على العمل في نوبات عمل في مركز عمليات التشغيل لتجنب إرهاق الموظفين وتوزيع المهام لتقليل احتمالية الإرهاق.
في الوقت نفسه، توصي المنظمة بنشر خدمات استخبارات التهديدات التي توفر تغذية استخباراتية منخفضة الصيانة تتكامل مع أدوات الأمان الحالية مثل أنظمة إدارة الأحداث والمعلومات الأمنية (SIEM). يساعد هذا في توفير رؤية أكبر على مشهد التهديد ويساعد في أتمتة عملية الفرز.
يمكن بعد ذلك دمج هذه الإجراءات مع خدمات الكشف والاستجابة المُدارة (MDR) أو خدمات الكشف والاستجابة الموسعة (XDR) لضمان أن المنظمة لديها العمليات المعمول بها للاستجابة للحوادث الحية بسرعة.
في نهاية المطاف، فإن الإجابة على التنبيه وانتشار الضعف هو العمل بذكاء وليس بجدية أكبر.
المصدر: venturebeat
إقراء ايضا:
