يعتبر مركز عمليات الأمن السيبراني (SOC) بمثابة المركز العصبي لجهود الأمن السيبراني في المؤسسة. فهو المكان الذي يتم فيه اكتشاف التهديدات وتحليلها والاستجابة لها في الوقت الفعلي. وخلال الفترة الماضية، كان هناك دفع كبير نحو توحيد المنصات في مركز عمليات الأمن، حيث يدافع البائعون عن حلول شاملة تعد بتبسيط العمليات وخفض التكاليف وتحسين الكفاءة. ومع ذلك، مع تطور مشهد الأمن السيبراني، تُثار تساؤلات حول ما إذا كان هذا النهج فعالاً حقاً. تستكشف هذه المقالة تحديات و فرص و مستقبل مركز عمليات الأمن السيبراني.
توحيد المنصات الأمنية
إن مفهوم توحيد المنصات في مجال الأمن السيبراني ليس جديداً. لطالما روج البائعون لفوائد دمج أدوات أمنية متعددة في منصة واحدة. والهدف المعلن هو تقليل التعقيد، وانخفاض النفقات الإدارية، والتوافق السلس بين وظائف الأمن المختلفة. بالنسبة للشركات الصغيرة والمتوسطة الحجم، يمكن أن يكون هذا النهج جذاباً. فهو يبسط المشتريات، ويقلل الحاجة إلى موظفين متخصصين، ويوفر رؤية موحدة لمشهد الأمن.
ومع ذلك، فإن الواقع داخل العديد من الشركات أكثر تعقيداً. وعلى الرغم من التوجه نحو المنصات، لا تزال مراكز عمليات الأمن السيبراني تعاني جملة من التحديات الأساسية التي لا يمكن حلها بسهولة من قبل بائع واحد أو حل واحد. يبدو أنه من غير المرجح أن يتحول مركز العمليات الأمنية نحو نموذج موحدقريباً. وبدلاً من ذلك، فإن النهج ، الذي يتضمن أفضل الحلول من نوعها لوظائف مركز العمليات الأمنية الأساسية، من المرجح أن يسيطر على السوق.
المشاكل الأساسية لمركز عمليات الأمن السيبراني
هناك ثلاثة تحديات حرجة تواجه مركز عمليات الأمن السيبراني، وهي: استيعاب البيانات، والكشف عنها، والاستجابة لها. وهذه المشاكل معقدة للغاية بحيث لا يمكن معالجتها بشكل فعال من خلال منصة واحدة.
- استيعاب البيانات: تغمر مراكز العمليات الأمنية بالبيانات من مجموعة واسعة من المصادر، بما في ذلك أدوات الكشف عن نقاط النهاية والاستجابة لها، وجدران الحماية، وأنظمة إدارة الهوية. إن عملية استيعاب هذه البيانات وتصفيتها تتطلب موارد مكثفة وغالباً ما تكون النتائج ليست بالمستوى المطلوب. وفي حين يزعم البائعون أنهم حلوا هذه المشكلة، فإن الواقع هو أن العديد من المؤسسات لا تزال تعاني من تكلفة وتعقيد استيعاب البيانات. لقد أدى ظهور حلول التخزين السحابي وبحيرات البيانات (Data lake) و إلى تعقيد المشهد بشكل أكبر، حيث يتعين على المؤسسات الأن إدارة البيانات عبر منصات متعددة.
- الكشف: طبقة الكشف هي المكان الذي يتم فيه تحديد التهديدات وتحليلها. ومع ذلك، فإن الحجم الهائل من التنبيهات التي تولدها أدوات الأمان الحديثة يمكن أن يرهق محللي مركز عمليات الأمن السيبراني. تساهم الإيجابيات الكاذبة (False positive) وقواعد الكشف القديمة والافتقار إلى السياق حول التنبيهات في ما يشار إليه عادة باسم “الغرق بالتنبيهات”. على الرغم من التقدم في الذكاء الاصطناعي والتعلم الآلي، لا تزال العديد من مراكز العمليات الأمنية تعتمد على العمليات اليدوية لفرز التنبيهات والتحقيق فيها.
- الاستجابة: الجزء الأخير من اللغز هو الاستجابة. بمجرد اكتشاف التهديد، يجب على مركز العمليات الأمنية اتخاذ إجراءات لاحتوائه ومعالجته. ومع ذلك، كان التركيز تاريخياً على الاكتشاف وليس على الاستجابة بشكل كافٍ. يمكن أن يكون أتمتة إجراءات الاستجابة أمراً محفوفاً بالمخاطر، حيث قد يؤدي إلى عواقب غير مقصودة. علاوة على ذلك، يظل دمج وظائف الاستجابة مع عمليات تكنولوجيا المعلومات تحدياً كبيراً.
مركز عمليات الأمن السيبراني – مشكلات مالية
تتمثل إحدى القضايا الأكثر إلحاحاً التي تواجه مراكز العمليات الأمنية في تكلفة استيعاب البيانات وتخزينها. ومع قيام المؤسسات بنشر المزيد من أدوات الأمان، تستمر كمية البيانات التي تولدها في النمو بشكل كبير. ويجب استيعاب هذه البيانات في نظام إدارة المعلومات الأمنية والأحداث (SIEM) لتحليلها، ولكن تكلفة ذلك قد تكون باهظة للغاية. وبالتالي، تتجه العديد من المؤسسات الآن إلى بحيرات البيانات وحلول التخزين الأخرى المستندة إلى السحابة لتقليل التكاليف، ولكن ذلك يخلق تحديات جديدة حول تكامل البيانات واكتشاف التهديدات.
تنبه المعنيون بالأمن السيبراني للصراع بين البائعين والعملاء فيما يتعلق الأمر باستيعاب البيانات. يستفيد البائعون من استيعاب أكبر قدر ممكن من البيانات، حيث يزيد ذلك من إيراداتهم. من ناحية أخرى، يبحث العملاء عن طرق لتقليل التكاليف. ويؤكد هذا الاختلاف في الدوافع على الحاجة إلى نهج أكثر تركيزاً على العملاء في تصميم مركز العمليات الأمنية.
لعبة المثلثات
يُعتبر مثلث الأشخاص والعمليات والأدوات إطار عمل مفيد للتفكير في تحديات مركز العمليات الأمنية بشكل متوازن كما يلي:
- الأدوات: لدى المؤسسات القدرة شراء الأدوات، حيث تستخدم المؤسسة باالمتوسط أكثر من 50 حلاً أمنياً مختلفاً. ومع ذلك، فإن إضافة المزيد من الأدوات لا تحل المشكلات الأساسية.
- الأشخاص: تستجيب العديد من منظمات الأعمال لتحديات مركز العمليات الأمنية من خلال استقدام المزيد من الموظفين. ومع ذلك، بدون عمليات واضحة وأدوار محددة بشكل جيد، يمكن أن يؤدي إضافة المزيد من الأشخاص إلى عدم الكفاءة والارتباك.
- العمليات: غالباً ما تكون العمليات هي الجانب الأكثر إهمالاً في مركز العمليات الأمنية. تعتمد العديد من المؤسسات على أطر عمل قديمة وتفشل في مراجعة وتحديث عملياتها بانتظام بما يتسق مع مشهد التهديد الحالي.
وبالتالي، من المهم تحقيق التوازن بين هذه العناصر الثلاثة لإنشاء مركز عمليات أمنية لديه كفاءة وظيفية وفعال بالشكل المطلوب. بدون نموذج تشغيلي محدد جيداً، حتى أفضل الأدوات وأكثر الموظفين مهارة سيواجهون صعوبة في تحقيق أهدافهم.
الذكاء الاصطناعي والأتمتة
تم تقديم لذكاء الاصطناعي والأتمتة كحل محتمل للعديد من التحديات التي تواجه مراكز العمليات الأمنية. ومع ذلك، فإن هذه التقنيات ليست حلاً سحرياً. في حين يمكن للذكاء الاصطناعي أن يساعد في تقليل حجم التنبيهات وأتمتة مهام معينة، إلا أنه لا يمكنه معالجة القضايا الأساسية المتمثلة في ضعف جودة البيانات أو العمليات والافتقار إلى سياق العمل.
إن مفتاح تقليل الإغراق بالتنبيهات يكمن في تحسين دقتها. فمن خلال الاستفادة من التحليل السلوكي وضبط قواعد الكشف، تضمن المؤسسات تصعيد التنبيهات الأكثر صلة وقابلية للتنفيذ فقط إلى المحللين. وهذا بدوره يقلل من الحاجة إلى الأتمتة المكثفة ويسمح للمحللين بالتركيز على التهديدات ذات الأولوية العالية.
مخاطر التمركز
يبدو النهج القياسي حلاً معقولاً للتعقيد وتنوع التحديات التي تواجه مراكز العمليات الأمنية. فبدلاً من الاعتماد على بائع واحد لتوفير حل شامل، ينبغي للمؤسسات التركيز على اختيار أفضل الأدوات لكل وظيفة أساسية في مركز العمليات الأمنية. ويسمح هذا النهج للمؤسسات بتخصيص مجموعة أدواتها الأمنية وفقاً لاحتياجاتها المحددة ويضمن عدم تمركزها في نظام مملوك لبائع واحد.
ومع ذلك، فإن هذا النهج ليس خالياً من التحديات. فقد يكون دمج أدوات متعددة أمراً معقداً، وهو ما يفرض على المؤسسات الاستثمار في الخبرة اللازمة لإدارة مجموعة أدواتها الأمنية وصيانتها. ومع ذلك، يوفر هذا النهج مرونة أكبر، وتحسين الأداء، وتقليل تمركز البائعين.
توحيد نموذج التشغيل
أصبح نموذج التشغيل الحالي لمراكز العمليات الأمنية قديماً. لا تزال العديد من المؤسسات تستخدم العمليات والأطر التي تم تصميمها في أوائل العقد الأول من القرن الحادي والعشرين، عندما كان مشهد التهديد أقل تعقيداً بكثير. ولمعالجة هذه النقطة، فالمطلوب هو تطوير دليل تشغيل موحد يتوافق مع الأمن السيبراني الحديث. يجب مواءمة مركز العمليات الأمنية مع الأهداف التجارية الأوسع للمؤسسة. يتطلب ذلك تحولاً في التفكير، من النظر إلى الأمن السيبراني كمشكلة فنية إلى النظر إليه كممكن للأعمال. من خلال التركيز على النتائج بدلاً من الأدوات، يمكن للمؤسسات إنشاء مركز عمليات أمنية أكثر فعالية ومرونة.
كلمة أخيرة
يجب على المؤسسات التركيز على بناء مجموعة أمان متوازنة ومرنة تلبي احتياجاتها المحددة. مع استمرار تطور مشهد الأمن السيبراني، يكمن مفتاح النجاح في تبني نهج يركز على العملاء ويعطي الأولوية للنتائج وليس الأدوات. من خلال الاستثمار في الأشخاص والعمليات والتقنيات التي تعمل معاً بسلاسة، يمكن للمؤسسات إنشاء مركز عمليات أمنيةفعالًا و قابل للتكيف مع مشهد التهديدات المتغير باستمرار.