تعد إدارة المعرفة مجموعة مهارات أساسية عندما يتعلق الأمر بتنسيق الأمن، والأتمتة، والاستجابة (SOAR). اقرأ لماذا تعتمد التحليلات الأمنية الصحيحة، والوقاية، والاستجابة على فن عمليات المشاركة في المعرفة، وكيف أن أمننا
بصفتي المسؤول عن المخاطر والامتثال في Guru، أقضي الوقت في إدارة المعايير والضوابط المعلنة لدينا (الأمور الأمنية التي نحتاج إلى القيام بها)، ولكنني أيضًا أراقب كيف يمكن أن يمكّن الأتمتة وإدارة المعرفة "الأمن التكتيكي". المصطلح الصناعي لهذه الممارسة هو "تنسيق الأمن، الأتمتة والاستجابة" (SOAR)، ولكن الأتمتة بمفردها لا تحقق دائمًا نتائج ناجحة.
على سبيل المثال، عندما تعرضت متاجر Target لخرق شهير في عام 2013، نجح الهجوم السيبراني جزئيًا لأن موظفي الأمن تخطوا تنبيهًا آليًا كان قد تم تجاهله في زحام إشارات الأمن الخاصة بهم. في النهاية، تكلفت الخرق 300 مليون دولار واعتبرت درسًا تحذيريًا لما يمكن أن يحدث عندما تتسبب العديد من المدخلات في ارتباك.
بالطبع، ليس كل تنبيه مفقود يؤدي إلى خرق على مستوى Target. تحدث هجمات أصغر بشكل يومي. في الواقع، وفقًا لمؤشر خطر الخرق، يُفقد أكثر من أربعة آلاف سجل حساس كل دقيقة. للبقاء في مقدمة هذه الحوادث، توظف المنظمات عادة "مجموعة أمنية" لتحديد السلوك غير العادي أو الاحتمالات المحتملة للاختراق ضد شبكتها. تتم مراقبة هذه المجموعة بواسطة فريق أساسي من الموظفين أو مركز عمليات الأمان الكامل (SOC)، ومن المتزايد أن الفرق هذه تساعدها تطبيقات SOAR لترشيح القمامة الرقمية والتصرف بناءً على ما هو حقيقي. يتمثل وجود بائعين جدد لأدوات SOAR في المشهد، حيث ذكرت Gartner أكثر من اثني عشر شركة منفصلة في مجال SOAR.
ومع ذلك، فإن هذه التطبيقات الجذابة، التي تتطلب إعدادًا بسيطًا، لا تقوم بإنشاء وتعبئة قاعدة المعارف بمفردها، وهي المكان الذي يمكن للباحثين أن يجدوا فيه معلومات قابلة للتنفيذ يمكن تكرارها لمعالجة الحوادث داخل بيئتهم. تتطلب هذه الممارسة التشغيلية من موظفي SOC أن يتحرروا من فخ المعرفة ويقوموا بتوثيق إجراءات ملموسة لفريقهم العام.
التوثيق صعب بشكل خاص في عالم SOC، حيث أن الوتيرة تعيق إنشاء وصيانة الأدلة والإجراءات. لكن التقاعس عن هذه الخطوة ليس خيارًا. يقول أحد مدوني الأمن: "بدون أدلة، يميل المحللون إلى الاعتماد على حدسهم - وهو قد يكون فعالًا للفرد، لكنه يترك الفريق بأكمله تحت رحمة المعرفة الموجودة في عقول ذلك المحلل."
فما الذي يمكن أن يفعله محلل الأمن المرهق؟
الأمن، قابل إدارة المعرفة
تأتي الإجابة من خلال إدارة المعرفة التقليدية، والتي ليست مجرد واجب إضافي ضمن SOC المزدحم، بل هي مجموعة مهارات أساسية. مثال على ذلك، فإن إطار عمل NIST لقوى الأمن السيبراني يدرج إدارة المعرفة كخبرة أساسية بين موظفي الأمن. يشمل ذلك الإلمام بإنشاء المحتوى، وإدارة أدوات التعاون والقدرة العامة على "تحديد وتوثيق والوصول إلى رأس المال الفكري ومحتوى المعلومات."
يتفق الخبراء في الصناعة على أن قاعدة المعرفة هي عامل قوة كبير داخل SOC. في مقاله "رفع مستويات ذكاءSOC من خلال نقل المعرفة"، يسلط مايك فاولر الضوء على الحاجة المحددة لمخزن محتوى يمكن للجميع الوصول إليه والحفاظ عليه بسهولة:
"تطبيق نهج مؤتمت باستخدام قاعدة بيانات مركزيّ وأدلة هيكلية سيضمن أن تكون عمليات نقل المعرفة قابلة للتكرار والدفاع ومتسقة."
مثال على كيفية تلاقي SOAR والأدلة قد يكون حينما يخبر تنبيه آلي موظفي الأمن أن كمية كبيرة من البيانات تغادر المؤسسة، متجهة إلى موقع غير معروف. يتصرف المحلل أو المستجيب المخصص على تنبيه ويقوم بحظر الموقع من تلقي أي بيانات إضافية من الشركة، لكن هذه هي الخطوة الأولى فقط في ما يجب أن يكون سلسلة من الإجراءات البشرية لفهم مدى الحادث وتقييم تأثيره. قد تقول الدليل، "ابحث عن عنوان الخادم ونطاق موقع التنزيل"، متبوعةً بـ "ابحث في سجلات الشبكة وحدد أي تنزيلات سابقة لتلك الخادم."
من خلال تنفيذ هذه الإجراءات، يربط المستجيب للحادث قطعة قطعة كيفية و أين وفيمتى، حتى يمكن إبلاغ الإدارة والمتابعة وفقًا لذلك (ما من المتوقع أن يتطلب ذلك دليله الخاص).
لماذا ينبغي أن تكون إدارة المعرفة جزءًا من مجموعة الأمان الخاصة بك
على الرغم من أن أدوات SOAR اليوم يمكن أن تساعد في تحديد مؤشرات التهديد وتجهيزها للمحللين البشريين، فإنه عادة ما يكون من المحتمل أن تكون الأدوات بمفردها غير كافية للاستجابة للحوادث ومتابعتها حتى حلها.
لا تزال التحليلات، والوقاية، والاستجابة الأمنية تعتمد على الأشخاص وفن عمليات المشاركة في المعرفة الذي لا يتقادم.
موظفو الأمن شحيحون للغاية ويعانون ضغط الوقت بحيث لا يمكنهم استنتاج طريقهم من خلال كل حادث جديد. الأدلة القابلة للوصول، والمحدثة، والقابلة للتكرار تشكّل حجر الزاوية للعمل بذكاء في بيئة تعتبر دائمًا تحت التهديد.
بصفتي المسؤول عن المخاطر والامتثال في Guru، أقضي الوقت في إدارة المعايير والضوابط المعلنة لدينا (الأمور الأمنية التي نحتاج إلى القيام بها)، ولكنني أيضًا أراقب كيف يمكن أن يمكّن الأتمتة وإدارة المعرفة "الأمن التكتيكي". المصطلح الصناعي لهذه الممارسة هو "تنسيق الأمن، الأتمتة والاستجابة" (SOAR)، ولكن الأتمتة بمفردها لا تحقق دائمًا نتائج ناجحة.
على سبيل المثال، عندما تعرضت متاجر Target لخرق شهير في عام 2013، نجح الهجوم السيبراني جزئيًا لأن موظفي الأمن تخطوا تنبيهًا آليًا كان قد تم تجاهله في زحام إشارات الأمن الخاصة بهم. في النهاية، تكلفت الخرق 300 مليون دولار واعتبرت درسًا تحذيريًا لما يمكن أن يحدث عندما تتسبب العديد من المدخلات في ارتباك.
بالطبع، ليس كل تنبيه مفقود يؤدي إلى خرق على مستوى Target. تحدث هجمات أصغر بشكل يومي. في الواقع، وفقًا لمؤشر خطر الخرق، يُفقد أكثر من أربعة آلاف سجل حساس كل دقيقة. للبقاء في مقدمة هذه الحوادث، توظف المنظمات عادة "مجموعة أمنية" لتحديد السلوك غير العادي أو الاحتمالات المحتملة للاختراق ضد شبكتها. تتم مراقبة هذه المجموعة بواسطة فريق أساسي من الموظفين أو مركز عمليات الأمان الكامل (SOC)، ومن المتزايد أن الفرق هذه تساعدها تطبيقات SOAR لترشيح القمامة الرقمية والتصرف بناءً على ما هو حقيقي. يتمثل وجود بائعين جدد لأدوات SOAR في المشهد، حيث ذكرت Gartner أكثر من اثني عشر شركة منفصلة في مجال SOAR.
ومع ذلك، فإن هذه التطبيقات الجذابة، التي تتطلب إعدادًا بسيطًا، لا تقوم بإنشاء وتعبئة قاعدة المعارف بمفردها، وهي المكان الذي يمكن للباحثين أن يجدوا فيه معلومات قابلة للتنفيذ يمكن تكرارها لمعالجة الحوادث داخل بيئتهم. تتطلب هذه الممارسة التشغيلية من موظفي SOC أن يتحرروا من فخ المعرفة ويقوموا بتوثيق إجراءات ملموسة لفريقهم العام.
التوثيق صعب بشكل خاص في عالم SOC، حيث أن الوتيرة تعيق إنشاء وصيانة الأدلة والإجراءات. لكن التقاعس عن هذه الخطوة ليس خيارًا. يقول أحد مدوني الأمن: "بدون أدلة، يميل المحللون إلى الاعتماد على حدسهم - وهو قد يكون فعالًا للفرد، لكنه يترك الفريق بأكمله تحت رحمة المعرفة الموجودة في عقول ذلك المحلل."
فما الذي يمكن أن يفعله محلل الأمن المرهق؟
الأمن، قابل إدارة المعرفة
تأتي الإجابة من خلال إدارة المعرفة التقليدية، والتي ليست مجرد واجب إضافي ضمن SOC المزدحم، بل هي مجموعة مهارات أساسية. مثال على ذلك، فإن إطار عمل NIST لقوى الأمن السيبراني يدرج إدارة المعرفة كخبرة أساسية بين موظفي الأمن. يشمل ذلك الإلمام بإنشاء المحتوى، وإدارة أدوات التعاون والقدرة العامة على "تحديد وتوثيق والوصول إلى رأس المال الفكري ومحتوى المعلومات."
يتفق الخبراء في الصناعة على أن قاعدة المعرفة هي عامل قوة كبير داخل SOC. في مقاله "رفع مستويات ذكاءSOC من خلال نقل المعرفة"، يسلط مايك فاولر الضوء على الحاجة المحددة لمخزن محتوى يمكن للجميع الوصول إليه والحفاظ عليه بسهولة:
"تطبيق نهج مؤتمت باستخدام قاعدة بيانات مركزيّ وأدلة هيكلية سيضمن أن تكون عمليات نقل المعرفة قابلة للتكرار والدفاع ومتسقة."
مثال على كيفية تلاقي SOAR والأدلة قد يكون حينما يخبر تنبيه آلي موظفي الأمن أن كمية كبيرة من البيانات تغادر المؤسسة، متجهة إلى موقع غير معروف. يتصرف المحلل أو المستجيب المخصص على تنبيه ويقوم بحظر الموقع من تلقي أي بيانات إضافية من الشركة، لكن هذه هي الخطوة الأولى فقط في ما يجب أن يكون سلسلة من الإجراءات البشرية لفهم مدى الحادث وتقييم تأثيره. قد تقول الدليل، "ابحث عن عنوان الخادم ونطاق موقع التنزيل"، متبوعةً بـ "ابحث في سجلات الشبكة وحدد أي تنزيلات سابقة لتلك الخادم."
من خلال تنفيذ هذه الإجراءات، يربط المستجيب للحادث قطعة قطعة كيفية و أين وفيمتى، حتى يمكن إبلاغ الإدارة والمتابعة وفقًا لذلك (ما من المتوقع أن يتطلب ذلك دليله الخاص).
لماذا ينبغي أن تكون إدارة المعرفة جزءًا من مجموعة الأمان الخاصة بك
على الرغم من أن أدوات SOAR اليوم يمكن أن تساعد في تحديد مؤشرات التهديد وتجهيزها للمحللين البشريين، فإنه عادة ما يكون من المحتمل أن تكون الأدوات بمفردها غير كافية للاستجابة للحوادث ومتابعتها حتى حلها.
لا تزال التحليلات، والوقاية، والاستجابة الأمنية تعتمد على الأشخاص وفن عمليات المشاركة في المعرفة الذي لا يتقادم.
موظفو الأمن شحيحون للغاية ويعانون ضغط الوقت بحيث لا يمكنهم استنتاج طريقهم من خلال كل حادث جديد. الأدلة القابلة للوصول، والمحدثة، والقابلة للتكرار تشكّل حجر الزاوية للعمل بذكاء في بيئة تعتبر دائمًا تحت التهديد.
