الأمن السيبراني

فرق الأمن السيبراني يصلح التهديدات الخاطئة. هنا كيفية تصحيح المسار في عصر الهجمات التي تقودها الذكاء الاصطناعي

mm
Published
Updated

الهجمات السيبرانية لم تعد عمليات يدوية خطية. مع دمج الذكاء الاصطناعي في الاستراتيجيات الهجومية، يطور المهاجمون برامج ضارة متغيرة الشكل، ويتواصلون آليًا، ويتجاوزون الدفاعات بشكل أسرع مما يمكن لأغلب فرق الأمن الاستجابة. هذا ليس سيناريو مستقبلي، بل هو ما يحدث الآن.

في الوقت نفسه، لا تزال معظم دفاعات الأمن استجابية. إنها تعتمد على تحديد المؤشرات المعروفة للتعرض، وتطبيق أنماط الهجوم التاريخية، وتحديد المخاطر بناءً على درجات الخطورة التي قد لا تعكس الحقيقة الفعلية لمحيط التهديد. وتتعرض الفرق لضغوط بسبب الحجم، وليس بسبب الاطلاع، مما يخلق بيئة مثالية للمهاجمين للنجاح.

لقد أصبحت العقلية التقليدية في الصناعة، التي بنيت حول قوائم الامتثال، والتقييمات الدورية، والأدوات المتناثرة، عبئًا. تعمل فرق الأمن بجد أكبر من أي وقت مضى، ومع ذلك، غالبًا ما تصحح الأشياء الخاطئة.

لماذا يوجد هذا الفجوة

لقد اعتمدت صناعة الأمن السيبراني لفترة طويلة على درجات المخاطر مثل CVSS لتوجيه الأولويات. ومع ذلك، لا تعكس درجات CVSS السياق الحقيقي لمؤسسة ما، مثل ما إذا كانت الثغرة مفتوحة، أو قابلة للوصول، أو قابلة للاستغلال داخل مسار هجوم معروف.

نتيجة لذلك، تقضي فرق الأمن وقتًا ثمينًا في تصحيح مشاكل غير قابلة للاستغلال، بينما يجد المهاجمون طرقًا إبداعية لربط الضعف الناجم عن الإهمال وتجاوز التحكم.

تُ复ّع الوضع بسبب طبيعة ढة الأمن المتناثرة. تعمل أنظمة SIEM، وEDR، وVM، وCSPM بشكل مستقل. يخلق هذا التيلجراف المجزء مناطق عمياء التي يصبح المهاجمون الذين يعتمدون على الذكاء الاصطناعي أكثر كفاءة في استغلالها.

التحليل القائم على التوقيع يفقد قيمته

من بين أكثر الاتجاهات قلقًا في الأمن السيبراني الحديث هو انخفاض قيمة أساليب الكشف التقليدية. كانت التوقيعات الثابتة وتنبيه القواعد فعالة عندما اتبعت التهديدات أنماطًا متوقعة. لكن الهجمات التي يولدها الذكاء الاصطناعي لا تلعب وفقًا لتلك القواعد. إنها تتغير، وتتجنب الكشف، وتتكيف مع التحكم.

خذ على سبيل المثال برامج البريد العشوائي التي تتم إنتاجها بواسطة الذكاء الاصطناعي والتي تقلد أسلوب الاتصالات التنفيذية بدقة مخيفة. يمكن أن تتجاوز هذه التهديدات أدوات الكشف القائمة على التوقيع بالكامل.

إذا استمرت فرق الأمن في الاعتماد على تحديد ما تم رؤيته بالفعل، فإنهم سيبقون خطوة واحدة وراء الأعداء الذين يبتكرون باستمرار.

الضغط التنظيمي يزداد

المشكلة ليست تقنية فقط، بل هي أيضًا تنظيمية. قدمت لجنة الأوراق المالية والبورصات الأمريكية (SEC) مؤخرًا قواعد جديدة للكشف عن الأمن السيبراني، مما يطلب من الشركات العامة الإبلاغ عن الحوادث الأمنية السيبرانية المهمة ووصف استراتيجيات إدارة المخاطر الخاصة بهم في الوقت الفعلي. وبالمثل، تطالب قانون الاتحاد الأوروبي للقدرة التشغيلية الرقمية (DORA) بالانتقال من التقييمات الدورية إلى إدارة المخاطر السيبرانية المستمرة والمدققة.

معظم المنظمات ليست مستعدة لهذا التحول. إنها تفتقر إلى القدرة على تقديم تقييمات في الوقت الفعلي لمدى فعالية دفاعاتها الحالية ضد التهديدات الحالية، خاصة مع استمرار تطور الذكاء الاصطناعي لتلك التهديدات بسرعة الآلة.

توجيه التهديدات مكسور

التحدي الأساسي يكمن في كيفية توجيه العمل. لا تزال معظم المنظمات تعتمد على أنظمة تسجيل المخاطر الثابتة لتحديد ما يجب إصلاحه ومتى. هذه الأنظمة نادرًا ما تأخذ في الاعتبار البيئة التي توجد فيها الثغرة، أو ما إذا كانت معرضة أو قابلة للوصول أو قابلة للاستغلال.

dẫn إلى أن فرق الأمن تقضي وقتًا وجهدًا كبيرين في إصلاح الثغرات التي لا يمكن مهاجمتها، بينما يجد المهاجمون طرقًا لربط القضايا غير الملاحظة ذات التصنيف الأقل لتحقيق الوصول.

يجب أن تتطور الأمن من الاستجابة للتنبيهات إلى فهم سلوك العدو—كيف سيتمكن المهاجم من التنقل عبر النظام، وأي التحكمات يمكنه تجاوزها، وأين تكمن الضعف الحقيقية.

طريقة أفضل للمضي قدمًا: الدفاع الموجه بالمسار الهجومي والاستباقي

ماذا لو كانت فرق الأمن قادرة على محاكاة كيفية هجوم المهاجمين الحقيقيين على بيئتهم بشكل مستمر، وإصلاح ما يهم أكثر من كل شيء؟

هذا النهج، الذي يسمى أحيانًا بالتحقق الأمني المستمر أو محاكاة مسار الهجوم، يكتسب زخمًا كتوجيه استراتيجي. بدلاً من معاملة الثغرات بشكل منفصل، يحدد كيف يمكن للمهاجمين ربط سوء التكوين وضعف الهوية وأصول الثغرة لتحقيق الوصول إلى الأنظمة الحيوية.

من خلال محاكاة سلوك العدو ومدققة التحكم في الوقت الفعلي، يمكن للفرق التركيز على المخاطر القابلة للاستغلال التي تتعرض الأعمال الفعلية لها، وليس فقط تلك التي يتم وضع علامات عليها بواسطة أدوات الامتثال.

توصيات لمناصب الأمن السيبراني والقادة

यह ما يجب على فرق الأمن التركيز عليه اليوم للبقاء أمام الهجمات التي يولدها الذكاء الاصطناعي:

  • تنفيذ محاكاة الهجوم المستمرة اعتمد أدوات محاكاة العدو الآلية التي تختبر التحكم الخاص بك بالطريقة التي يفعلها المهاجمون الحقيقيون. يجب أن تكون هذه المحاكاة مستمرة، وليس فقط محجوزة للتمارين السنوية للفريق الأحمر.
  • توجيه الأولويات للاستغلالية على الخطورة انتقل بعيدًا عن درجات CVSS. أدرج تحليل مسار الهجوم والتحقق السياقي في نماذج المخاطر الخاصة بك. اسأل: هل هذه الثغرة قابلة للوصول؟ يمكن استغلالها اليوم؟
  • توحيد بياناتك الأمنية أدمج البيانات من منصات SIEM وCSPM وEDR وVM إلى عرض مركب وموحد. هذا يتيح تحليل مسار الهجوم ويعزز قدرةك على الكشف عن الغارات المعقدة متعددة الخطوات.
  • تأتمتة التحقق من الدفاع انتقل من هندسة الكشف اليدوية إلى التحقق القوي بواسطة الذكاء الاصطناعي. استخدم التعلم الآلي لضمان أن استراتيجيات الكشف والاستجابة الخاصة بك تتطور جنبًا إلى جنب مع التهديدات التي يُقصد بها إيقافها.
  • تحديث تقارير المخاطر السيبرانية استبدل لوحات المخاطر الثابتة bằng تقييمات الكشف في الوقت الفعلي. انسجم مع الإطارات مثل MITRE ATT&CK لإظهار كيف تتوافق التحكمات الخاصة بك مع سلوك التهديدات في العالم الحقيقي.

المنظمات التي تنتقل إلى التحقق المستمر وتوجيه الأولويات القائم على الاستغلالية يمكن أن تتوقع تحسينات قابلة للقياس عبر أبعاد متعددة من عمليات الأمن. من خلال التركيز فقط على التهديدات العالية التأثير والقابلة للتنفيذ، يمكن لفرق الأمن تقليل إرهاق التنبيهات وإزالة الإلهاءات الناجمة عن إيجابيات كاذبة أو ثغرات غير قابلة للاستغلال. يتيح هذا التركيز المتدفق استجابات أسرع وأكثر فعالية للهجمات الحقيقية، مما يقلل بشكل كبير من وقت الإقامة وتحسين احتواء الحوادث.

علاوة على ذلك، يعزز هذا النهج الانسجام التنظيمي. ي满ي التحقق المستمر من المطالب المتزايدة من الإطارات مثل قواعد الكشف عن الأمن السيبراني التابعة لجنة الأوراق المالية والبورصات الأمريكية وتنظيم الاتحاد الأوروبي للقدرة التشغيلية الرقمية، كلاهما يطلبان رؤية في الوقت الفعلي للمخاطر السيبرانية. ربما الأكثر أهمية، يضمن هذا التوجيه تخصيص الموارد بكفاءة ويسمح للفرق بتحويل وقتها واهتمامها إلى حيث يهم أكثر، بدلاً من انتشارها على سطح واسع من المخاطر النظرية.

الوقت للاستجابة هو الآن

عصر الجرائم السيبرانية التي يولدها الذكاء الاصطناعي لم يعد توقعًا، بل هو الحاضر. يستخدم المهاجمون الذكاء الاصطناعي لتحديد مسارات جديدة. يجب على فرق الأمن استخدام الذكاء الاصطناعي لإغلاقها.

ليس من خلال إضافة المزيد من التنبيهات أو تصحيح الأخطاء بشكل أسرع. بل من خلال معرفة التهديدات التي تهم، ومدققة الدفاعات بشكل مستمر، وتنسجم الاستراتيجية مع سلوك المهاجم في العالم الحقيقي. فقط بعد ذلك يمكن للمدافعين استعادة اليد العليا في عالم حيث يعادة الذكاء الاصطناعي كتابة قواعد المشاركة.

mm

عوم مولتشانداني هو المؤسس المشارك والرئيس التنفيذي لأمن المعلومات (CISO) والرئيس التنفيذي للمنتج (CPO) في Tuskira. مع شهادة البكالوريوس والماجستير في علوم الحاسوب، يأتي عوم بخبرة عميقة في أمن السحابة والامتثال وبرامج المؤسسات. شغل مناصب أمنية ومنتجات رفيعة المستوى في شركات رائدة بما في ذلك CrowdStrike وTenable وGE وAutoGrid. قبل Tuskira، كان أيضًا مؤسسًا مشاركًا لشركة Accurics، وهي شركة رائدة في CNAPP تم الاستحواذ عليها من قبل Tenable. يُعرف عوم ببناء حلول آمنة وموسعة النطاق تتماشى مع تحديات الأمن السيبراني الحديثة.