العام الجديد القادم هو لحظة جيدة لقادة أمن المعلومات للتفكير فيما تعلموه هذا العام وكيفية تطبيق هذه المعرفة في تحسين مستقبل الأمن السيبراني. نحن على وشك الانتهاء من عام آخر مليء بالفوضى ، حيث اشترى إيلون ماسك موقع تويتر ، واشتعلت الحرب في أوكرانيا ، وعاد العديد من العمال إلى مكاتبهم بعد سنتين من العمل عن بعد. رأينا أيضاً، ولأول مرة ، حكماً على مسؤول أمني بالسجن لإخفائه خرقاً للبيانات. مع التحولات في مشهد الأمن السيبراني ، كان عام 2022 عاماً مميزاً سنتذكره عند دراسة تاريخ متى ولماذا تم دمج الأمن السيبراني والثقة الرقمية معاً.
في عام 2022 ، زادت المؤسسات في كل قطاعات الأعمال ميزانياتها الأمنية. ومع ذلك ، فقد أدركوا أيضاً أن الاستثمارات “يمكن أن تكون نمراً من ورق” إذا لم تُظهر فرق الأمن حقاً كيف يمكنهم المساعدة في حماية الأعمال التجارية.
كل شخص لديه طريقته الخاصة في تحليل العام 2022 والتفكير في أحداثه. لكن بجميع الأحوال، من المهم الاستفادة من دروس هذا العام لنتحضر للمستقبل. لذلك، يشارك معكم روبودين هذا المقال لـ Andrada Fiscutean الذي يعرض فيه قادة الأمن CISOs الدروس الأكثر صلة التي تعلموها هذا العام.
إذا لم تتعلم الشركات هذه الدروس وتنضج ممارساتها الأمنية ، فسيواجهون أحداثاً لها أثر مالي أو تشغيلي كما سيواجهون ضرراً بالسمعة أو فشلاً بالامتثال يؤثر على أعمالهم.
1- الصراعات الجيوسياسية – مستقبل الأمن السيبراني
زادت الحرب في أوكرانيا الاستقطاب في العالم وعادت الشركات تحت مظلة الحكومات التي ساعدتهم على تعزيز موقفهم الأمني. ودفعت العديد من منظمات الأعمال إلى طرح أسئلة حول مدى فعالية مرونتها السيبرانية في ردع الجهات المهددة أو إفشال الهجمات.
لم يكن من المفروض الانتظار لحدوث نزاع عالمي بهذا المستوى حتى يتم تقييم ما إذا كان الوضع الأمني للمؤسسة قادراً على أن يتحمل اضطراب التوريد أو الهجمات السيبرانية. نعلم أن منظمات الأعمال قد تحتاج إلى سنوات لمعالجة الثغرات في تقارير تلك التقييمات وتنفيذ الضوابط المقترحة ، لذا فإن طرح الأسئلة المتعلقة بالمرونة مبكراً كان أكثر فائدة. قد يستغرق الأمر جهداً و وقتاً (عقوداً في بعض الأحيان) لنكون في وضع يسمح بحماية مؤسسة من التهديدات الأمنية المتقدمة.
2- زيادة في العدد و تخفيضات في الأسعار
بدلت الكثير من عصابات برامج الفدية جلودها في عام 2022 أو اختفت من عالم مجرمي الانترنت. بالمقابل، أظهرت مجموعات التهديد قدرات متزايدة في هجمات سلسلة التوريد والهجمات ضد مزودي الخدمات المدارة. كذلك، تنامى نموذج أعمال الهاكر كخدمة .
يمكن للجميع أن يصبحوا مجرمين الأن، فالمهارات ليست مطلوبة. لقد أدى نموذج العمل كخدمة Hacking as a service (HaaS) الذي تستخدمه العصابات الإجرامية إلى خفض سقف المهارات المطلوبة للعمل في هذا المجال. زاد عدد الوسطاء الذين يبحثون عن وصول أولي. ويظهر ذلك في عدد وطبيعة رسائل التصيد التي يتم تلقيها.د
على سبيل المثال ، كان الوصول المتميز إلى منصة C2aaS Dark Utilities فقط 9.99 يورو. قدمت المنصة العديد من الخدمات ، بما في ذلك الوصول إلى النظام عن بعد ، وإمكانيات DDoS ، وتعدين العملة المشفرة.
3- خطر الموظفين الغير المدربين على مستقبل الأمن السيبراني
زادت هجمات برامج الفدية الضارة في عام 2022 ، وكانت الشركات والهيئات الحكومية من بين أبرز الأهداف. كانت Nvidia و Toyota و SpiceJet و Optus و Medibank والوكالات الحكومية في كوستاريكا والأرجنتين وجمهورية الدومينيكان من بين الضحايا في عام 2022. في هذا العام، كادت الخطوط الفاصلة بين مجموعات برامج الفدية ذات الدوافع المالية والسياسية أن تتلاشلى.
لذلك، يجب أن يكون وعي الموظفين وتدريبهم جزءاً مهماً من استراتيجية الدفاع لأي مؤسسة. الموظفون هم الهدف الرئيس لهجمات التصيد الاحتيالي وغيره من وسائل الهندسة الاجتماعية.
ومع ذلك ، كان هناك تطورات إيجابية هذا العام. و أهمها أن أعضاء مجلس الإدارة والمديرين التنفيذيين بدأوا في إيلاء المزيد من الاهتمام لبرامج الفدية لأنهم رأوا التأثير التشغيلي الذي يمكن أن تحدثه هذه الهجمات.
4- تشريعات حكومية للأمن السيبراني
عززت الولايات المتحدة والمملكة المتحدة والاتحاد الأوروبي تشريعاتها لحماية نفسها بشكل أفضل من الحوادث الإلكترونية. تم تحديد المخاطر الرئيسية ، ونحن نشهد اتجاهاً متزايداً في هذه التشريعات. في الولايات المتحدة ، حدثت تغييرات على المستوى الفيدرالي ومستوى الولايات. يُطلب من الوكالات الحكومية الآن تنفيذ التدريب الأمني واتباع السياسات والمعايير والممارسات الأمنية. يحتاجون أيضًا إلى الإبلاغ عن الحوادث الأمنية وخطط الاستجابة. هناك حاجة بالفعل لمراقبة هذا الأمر . و كذلك العمل على الاستثمار في حلول الأتمتة للتأكد من الاستعداد لأي تغييرات في وقت أبكر. تحتاج المنظمات إلى الانتباه إلى حقيقة أن خصوصية البيانات وقواعد الأمان تتطور باستمرار. لذلك من الضروري قياس الفجوة بين الوضع الراهن لمؤسستك وبين متطلبات الامتثال للتشريعات الناظمة بهذا الخصوص. بات هذا الأمر ضرورياً للأعمال الآن وسيستمر في النمو مع مرور الوقت
5- تهديدات البرامج مفتوحة المصدر على مستقبل الأمن السيبراني
استمرت أزمة Log4j التي ظهرت في نهاية عام 2021 طوال عام 2022. مما أثر على عشرات الآلاف من المنظمات على مستوى العالم. ستظل هذه الثغرة الأمنية التي تنطوي على تنفيذ التعليمات البرمجية عن بُعد تشكل مخاطر كبيرة في المستقبل. وذلك لأنها ستبقى في الأنظمة لسنوات عديدة قادمة.
كانت ثغرة Log4j بمثابة جرس إنذار لكثير من الأشخاص في الصناعة”. لم تكن العديد من المؤسسات تعلم أن البرنامج كان يستخدم حتى في بعض الأنظمة لأن جل تركيزها كان ينصب حقاً على أجهزتها التي تواجه الانترنت.
في حين أن هذه المشكلة الأمنية تسببت في حدوث فوضى ، إلا أنها وفرت أيضاً فرصاً للتعلم. كان Log4j نقمة ونعمة في آن معاً، فقد جعلت المؤسسة في حال أفضل عندما يتعلق الأمر بالاستجابة للحوادث وتتبع الأصول. بدأت منظمات الأعمال في بذل المزيد من الجهد في تتبع البرامج مفتوحة المصدر لأنها رأت أن ثقتها الزائدة في مصدر وجودة البرامج التي تستخدمها قد أدى إلى حدوث ضرر.
6- معرفة نقاط الضعف
يجب على المنظمات أيضًا بذل المزيد من الجهد لمواكبة الثغرات الأمنية في البرامج مفتوحة المصدر والمغلقة على حدٍ سواء. ومع ذلك ، فهذه ليست مهمة سهلة نظراً لأن آلاف الثغرات تظهر سنوياً. يمكن أن تساعد أدوات إدارة الثغرات الأمنية في تحديد وترتيب أولويات الثغرات الموجودة في أنظمة التشغيل. تحتاج المؤسسات إلى معرفة نقاط الضعف في الشيفرة المصدرية للطرف الأول و كذلك لدينا جرد لنقاط الضعف والتدابير المناسبة لإدارة المخاطر في كود الطرف الثالث الخاص بنا نحن أيضاً.
يجب أن يكون أمن المعلومات جزءاً من دورة حياة تطوير البرامج. إذا كنت تكتب تعليمات برمجية آمنة لتبدأ بها وتدير الثغرات الأمنية مقدماً، فسيكون ذلك مهماً في تأمين مؤسستك لأن كل شيء حولنا عبارة عن كود بطرقة ما. فبرامجك وتطبيقاتك وجدران الحماية والشبكات والسياسات الخاصة بك كلها تعليمات برمجية بحاجة للمراجعة دائماً.
7- الحماية من هجمات سلسلة التوريد
كانت هجمات سلسلة التوريد سببًا رئيسياً للقلق بالنسبة لقادة الأمن السيبراني في عام 2022. تصدرت العديد من الحوادث الأمنية عناوين الصحف ، بما في ذلك الاختراقات التي استهدفت Okra و GitHub OAuth و AccessPress. ستستمر الحماية من هذه التهديدات في كونها عملية معقدة في عام 2023 و في مستقبل الأمن السيبراني عموماً. لقد أربك التقدم السريع في مجال مخاطر سلسلة التوريد الكثير من المؤسسات. تنفق المؤسسات أموالاً طائلة على التكنولوجيا لحل المشكلات ، مع نقص في فهم كيفية اتساق هذه الحلول مع أنظمة الأعمال .
هناك أدوات لإدارة تجميع المعلومات ، وأطر تكميلية لمستويات سلسلة التوريد لأدوات البرمجيات (SLSA) ومعايير محدثة في التكنولوجيا مما زاد من التعقيد والتحدي على المدافعين. يجب أن تفكر المؤسسات أيضاً في كيفية تأثير سلسلة إمداد التجهيزات لدينا في حالة تعرضنا للخطر.و كذلك في ماهية القدرات التي نمتلكها الآن أو نحتاج إلى الاستعداد و للثقة (أو عدم الثقة) في الأجهزة التي تعمل على تشغيل البرنامج الذي نستخدمها.
8- دور الثقة الصفرية في مستقبل الأمن السيبراني
مقاربة عدم الثقة -أو الثقة الصفرية- لا تتعلق فقط بتطبيق التكنولوجيا لإدارة الهوية أو الشبكات. إنه نظام وثقافة التخلص من الثقة الضمنية واستبدالها بثقة صريحة في التعاملات الرقمية. إنها عملية متزامنة يجب إجراؤها عبر الهويات وأجهزة نقطة النهاية والشبكات وأعباء عمل التطبيقات والبيانات. إن كل منتج أو خدمة يجب أن تدعم تسجيل الدخول الأحادي (SSO) / المصادقة متعددة العوامل (MFA) ويجب عزل الشبكات المؤسسية التي لا تحوي أنظمة انتاج Production عن بيئات الإنتاج. من المهم أيضاً التأكد من تحديث نقاط النهاية End point واستخدام التحليلات السلوكية للمصادقة والوصول والتفويض من خلال نظام متكامل.
9- متطلبات لشركات التأمين
في السنوات الأخيرة ، أصبح تأمين المسؤولية عبر الانترنت ضرورة ، لكن أقساط التأمين زادت. تواجه المؤسسات أيضاً مزيداً من التدقيق من شركات التأمين لتحديد مجالات الخطر. هذه العملية أكثر صرامة مما كانت عليه في الماضي ، مما يزيد من الجدول الزمني والجهد للحصول على بوليصة التأمين المطلوبة . كما يجب على المؤسسات التعامل مع هذه العملية مثل عملية تدقيق تقريباً عبر التحضير لذلك مقدماً ، مع توثيق برامجها وضوابطها الأمنية جيداً بحيث تكون جاهزة للتحقق من صحتها.
10- shift-left لم يعد كافياً
shift-left هي ممارسة تتضمن الاختبار و تطبيق الجودة وتقييم الأداء في وقت مبكر من عملية التطوير ، غالباً قبل كتابة أي رمز. يساعد اختبار Shift-left الفرق على توقع التغييرات التي تنشأ أثناء عملية التطوير والتي يمكن أن تؤثر على الأداء أو عمليات التسليم الأخرى.مجرد البحث عن هذه المخاطر لا يكفي . في حين أن مفهوم تحسين المنتج عن طريق اختباره في المراحل المبكرة أمر منطقي ، فإن المطور ليس سوى جزء واحد من برنامج أمان تطبيق شامل. هناك مخاطر في جميع مراحل عمليات DevOps ، لذلك يجب أن تتغير الأدوات والتحقيق في كل مكان داخل العملية وليس فقط هذا المبدأ. إذا تركز بحث منظمات الأعمال على هذا الجانب فقط فسيحجب عنها بقية المخاطر الأمنية. لذلك، تتمثل الطريقة الأفضل ، في زيادة الأمان في كل مفاصل النظام DevOps ، بما في ذلك نظام التطوير البرنامج النهائي. لقد أصبحت مخاطر وسلسلة التوريد ذات أهمية متزايدة و أكبر من تُحصر برؤية ضيقة.
11- البحث عن الرصاصة الفضية
صُنعت المطرقة لمسمار وليس برغي. لذلك، يحتاج كبار مسؤولي أمن المعلومات إلى النظر في الفروق الدقيقة والعثور على الأداة المناسبة للمشكلة التي يريدون إصلاحها. ييبدو أن أحد الدروس المستفادة هنا في عام 2022 هو أنه لا ينبغي للمطورين أو الشركات محاولة اعتبار أي حل أمني حلاً شاملاً -رصاصة فضية- يمكن استخدامه لجميع الأصول أو الموارد. يجب علينا جميعاً بذل قصارى جهدنا لإيجاد و تخصيص حلول أو خدمات للأمن السيبراني قادرة على حماية كل تكنولوجيا بالشكل الأمثل.
12- فهم النظام عبر فهم أجزائه
يتزايد تعقيد عالم التكنولوجيا كل عام ، ويجب على المؤسسات فهم النظام الإيكولوجي للتطبيقات بالكامل لتجنب العيوب الأمنية الرئيسية. أصبحت التطبيقات أكثر تعقيداً مع الاستخدام المتزايد للحزم مفتوحة المصدر ، وواجهات برمجة التطبيقات (API) ، والشفرة المطورة داخلياً وتلك المطورة من طرف ثالث ، والخدمات المصغرة microservices ، وكلها مرتبطة بممارسات تطوير سحابية غاية في الديناميكية. و بالتالي، إذا كنت لا تعرف نوع الخطر الذي تبحث عنه ، فكيف ستتمكن من العثور عليه؟
تركز ممارسات التطوير الحديثة على مجموعات المسؤولية الأصغر والأصغر بحيث لا يمكن لأي شخص أن يكون له سيطرة كاملة على كل جانب من جوانب التطبيق.
13- الأمن عملية مستمرة
تعتقد العديد من الشركات خارج مجال التكنولوجيا أن الأمن السيبراني هو نشاط تقوم به مرة واحدة لتصبح بعده آمناً. لكن، في الواقع ، فإن التكنولوجيا ديناميكية ، لذا فإن حمايتها تتطلب جهداً مستمراً و منهجاً مستداماً لإدارة المخاطر. يجب ألا تحاول الشركات التعامل مع الأمن السيبراني على أنه هدف قد ينجح أو يفشل.
من المهم أن تحدد المؤسسات العمليات والأصول الهامة. بعد ذلك ، يجب عليهم تحديد مستوى التعرض الأمني الذي يرغبون في قبوله. وإعطاء الأولوية للحلول أو العمليات اللازمة لتقليل المخاطر إلى المستوى المطلوب.
14- استباقية و ليس انفعالية
في جميع الاحتمالات ، سيكون عام 2023 مرهقاً لقادة الأمن CISOs. مرة أخرى ، سيواجهون تحديات على كل الجبهات: ستستمر الحرب في أوكرانيا ، وقد تمر بعض البلدان بالركود ، وستستمر التكنولوجيا كمجال في التطور. هذا هو السبب في أنهم بحاجة إلى وضع خطط لمواجهة أي حدث أمني . لعل أحد أهم الدروس التي تعلمناها هذا العام أن الانفعالية أو ردود الفعل في الأمن السيبراني يمكن ، في الواقع ، أن يبطئ أو يعرض القدرة التنافسية للشركة والمركز المالي ونمو السوق للخطر. أصبحت عمليات الأمن السيبراني الاستباقية وحتى التنبؤية عاملاً مهماً لقادة الأمن ، بالإضافة إلى إنشاء إجراءات لدمج الأمن بشكل فعال في الأعمال التجارية.
