5 وظائف في عمليات الأمن السيبراني وأفضل الممارسات لتحقيق النجاح في الأمن السيبراني.

ما هي عمليات الأمان (SecOps)؟

عمليات الأمن (SecOps) هي تآزر بين فرق الأمن وعمليات تكنولوجيا المعلومات. تتضمن دمج الأدوات والعمليات والتقنيات لتحسين ممارسة أمن المعلومات.

في مركز العمليات الأمنية التقليدي، كانت هناك غالبًا فجوة بين فرق الأمان وفرق العمليات. كل منهما لديه أولويات وإجراءات وأدوات مختلفة، مما يؤدي إلى تنافس في الجهود، وعدم الكفاءة، وفي النهاية، جهود أمان أقل فعالية.

على سبيل المثال، في بعض الحالات، قد تقوم أدوات الأمان مثل الجدران النارية أو أنظمة منع التطفل (IPS)، التي تديرها مركز العمليات الأمنية (SOC)، بإيقاف التطبيقات الحيوية للأعمال، مما يتسبب في أضرار للمنظمة. إن النهج الشامل للأمان يعترف بأن الهجمات الإلكترونية ووقت التوقف هما خطران على المنظمة ولا يمكن تجاهل أي منهما.

بينما تعمل فرق الأمن وفرق عمليات تكنولوجيا المعلومات بشكل أكثر قربًا معًا، فإنها تشترك في المسؤولية عن الأولويات المتعلقة بالحفاظ على إنتاجية وأمان بيئة تكنولوجيا المعلومات. وهذا يوفر رؤية أكبر حول المخاطر الأمنية وأيضًا فهم مشترك لأهداف وأولويات تكنولوجيا المعلومات، وكيفية دعمها من خلال عمليات الأمان. فائدة أخرى قدمتها عمليات الأمان هي دمج الأدوات والأتمتة عبر فرق الأمن وفرق عمليات تكنولوجيا المعلومات، مما يحسن من المرونة والكفاءة.

فوائد وأهداف عمليات الأمن السيبراني

تهدف العمليات الأمنية إلى ما هو أبعد من مجرد فرض تدابير الأمان بينما تدعم دورات التطوير السلسة. يجب أن تحدد سياسة العمليات الأمنية الفعالة أهدافًا واضحة مثل تعزيز التعاون الأمني عبر جميع الفرق، وتحديد معالم لتحديد تقدم تنفيذ العمليات الأمنية، وضمان اتباع الجميع لأفضل الممارسات الأمنية.

يجب أن تكون أفضل ممارسات الأمان جزءًا من العمليات اليومية بدلاً من أن تكون اعتبارات طارئة أو في اللحظة الأخيرة. يجب أن توفر استراتيجية SecOps المدروسة جيدًا عدة فوائد:

• المزيد من الأيادي على السطح— توزيع المسؤوليات الأمنية عبر الفرق يضمن أن يتمكن عدد أكبر من الأشخاص من مواجهة التهديدات المتزايدة والمتطورة.
• إعطاء الأولوية للأمان— غالبًا ما تركز فرق DevOps على السرعة مع إهمال الأمان. من خلال إعطاء الأولوية للأمان من البداية، يساعد SecOps في زيادة كل من الأمان العام والسرعة.
• التطبيقات أقل عرضة للأخطاء —تنفيذ الأمان بشكل أكثر شمولاً يعني أن عدد الأخطاء التي تصل إلى الإنتاج أقل.
• الأمن يواكب الابتكار— إذا كان الابتكار يتجاوز الأمن، فقد يصبح عبئًا.
• استجابة أسرع— المهاجمون يجدون بشكل متزايد طرقًا لاستغلال الثغرات بشكل أسرع، مما يتطلب اتخاذ إجراءات فورية.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

من خلال تجربتي، إليكم نصائح لتحسين عمليات الأمن السيبراني (SecOps) واستخدام أدوات مثل Exabeam لتعزيز التعاون بين الأمن وتكنولوجيا المعلومات:

أعطِ الأولوية لأدوات التعاون في الوقت الحقيقي
استخدم منصات إدارة خدمات تكنولوجيا المعلومات مثل ServiceNow المدمجة مع أدوات الأمان الخاصة بك لتمكين تصعيد الحوادث بسلاسة. على سبيل المثال، عندما يكتشف Exabeam الشذوذ، يجب أن يؤدي ذلك إلى إنشاء تذكرة تلقائية مع بيانات سياقية لحل سريع من DevOps.

تعزيز التعاون المستمر بين SecOps و DevOps
إنشاء اجتماعات منتظمة بين الفرق المشتركة ومؤشرات الأداء الرئيسية المشتركة لضمان توافق SecOps و DevOps على الأهداف الأمنية. استخدام أدوات مشتركة لتتبع الثغرات وحلها، مثل أنظمة التذاكر المتكاملة، لتقليل العزلة.

تنفيذ أتمتة متعددة المستويات للاستجابة للحوادث
أتمتة المهام الروتينية مثل تجميع السجلات وتعزيز التهديدات باستخدام كتب اللعب. احتفظ بمراجعات المحللين اليدوية للحوادث عالية المخاطر لتجنب التحيز في الأتمتة وضمان معالجة التهديدات الحرجة بشكل فعال.

استخدم الأسس السلوكية للكشف عن الشذوذ
استفد من أدوات مثل Exabeam لتأسيس الأسس السلوكية للمستخدمين، ونقاط النهاية، والتطبيقات. يمكن أن تساعد هذه الأسس في تحديد الانحرافات الدقيقة التي تشير إلى التهديدات المستمرة المتقدمة (APTs) أو المخاطر الداخلية.

اعتماد استراتيجية دفاعية مستنيرة بالتهديدات
أدمج تقنيات إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) في نمذجة التهديدات وأدلة الاستجابة للحوادث. هذا يضمن فهم فرق SecOps لتكتيكات المهاجمين وقدرتهم على الاستجابة الاستباقية للتهديدات.

5 وظائف حيوية في عمليات الأمان

تحتوي العديد من منظمات تكنولوجيا المعلومات على مراكز عمليات أمنية مخصصة (SOCs) حيث يعمل أعضاء فريق العمليات الأمنية معًا لأداء الأنشطة الأمنية. تُعتبر SOC النظام العصبي المركزي لجهود الأمن المعلوماتي في المنظمة، ويعمل فريق SecOps على جعلها أكثر كفاءة، وأكثر أتمتة، وأفضل تكاملاً مع أجزاء أخرى من المنظمة.

1. مراقبة الأمن

عادةً ما يكون فريق العمليات الأمنية مسؤولاً عن مراقبة الأنشطة عبر المنظمة. يشمل ذلك الشبكات ونقاط النهاية والتطبيقات التي تم نشرها عبر البيئات السحابية الخاصة والعامة والهجينة. تشمل هذه المراقبة ليس فقط الأحداث الأمنية، ولكن أيضًا الصحة التشغيلية وأداء التطبيقات والبنية التحتية.

2. معلومات التهديد

من المعروف على نطاق واسع أن فرق الأمن والأدوات يمكن أن تكون أكثر فعالية عندما يعرفون من هم المهاجمون الذين يواجهونهم، وخلفياتهم ودوافعهم، وتكتيكاتهم وتقنياتهم وإجراءاتهم.

تتحمل فرق الأمن السيبراني مسؤولية جمع معلومات التهديدات، والحصول عليها من مزودي خدمات خارجيين، ودمجها مع العمليات الأمنية. معلومات التهديدات هي بيانات في شكل موحد تسلط الضوء على التهديدات السيبرانية التي تواجهها المنظمة.

يمكن استخدام معلومات التهديدات مباشرة من قبل المحللين البشريين، كما أنها مدمجة مع أدوات الأمان الأخرى. على سبيل المثال، يمكن لمعلومات التهديدات أن تضيف سياقًا للتنبيهات المرسلة من قبل نظام إدارة معلومات الأمان (SIEM)، أو أن توفر قائمة بعناوين IP الضارة المعروفة، والتي يمكن حظرها على الفور على جدار الحماية.

تُعبّر معلومات التهديد عن نفسها على شكل "تغذيات". بعض هذه التغذيات مجانية، بينما تقدم أخرى كعروض تجارية من قبل بائعي الأمن أو منظمات البحث الأمني. يمكن أن تساعد منصات معلومات التهديد فرق العمليات الأمنية في الحصول على جميع التغذيات ذات الصلة، وتنظيمها، ودمجها مع أدوات الأمن المناسبة.

3. التصنيف والتحقيق

تتمتع فرق العمليات الأمنية (SecOps) بأدوات متطورة بشكل متزايد تتيح لها تحليل والتحقيق في الأحداث المتعلقة بالأمان. ومع ذلك، في العديد من المنظمات، فإن عمليات الكشف عن التهديدات والتحقيق والاستجابة (TDIR) ليست محددة بشكل جيد. ونتيجة لذلك، فإن المحللين المختلفين لديهم طرق مختلفة لتحليل واكتشاف التهديدات، مما يضيع الوقت ويسبب ثغرات في الكشف (لأن بعض الطرق قد تكون أفضل من غيرها).

تتمثل إحدى التحديات في أن أنظمة إدارة معلومات الأمن التقليدية (SIEM) لا تقدم رؤى يمكن لفرق الأمن استخدامها على الفور. تدعم هذه الأنظمة تخصيصًا معقدًا، وتستثمر الفرق جهودًا كبيرة في تخصيص نظام SIEM لاحتياجات أعمالها الخاصة. هذا يؤخر الوقت اللازم لتحقيق القيمة في المبادرات الأمنية، وحتى بعد الاستثمار، تظهر العديد من المشاريع زيادات محدودة في التغطية ضد التهديدات المهمة.

توفر أنظمة إدارة معلومات الأمان الحديثة سير عمل شامل وحزم تحليل جاهزة تجعل من الممكن أتمتة وتوحيد عملية TDIR. وهذا يسمح للفرق باستخراج القيمة من الحل من اليوم الأول دون تنفيذ معقد، ويجعلها أكثر فعالية في اكتشاف وتصنيف التهديدات الأكثر خطورة.

4. استجابة الحوادث

فريق العمليات الأمنية مسؤول عن تنفيذ خطة استجابة للحوادث، التي تحدد كيفية اكتشاف المنظمة لهجوم إلكتروني والتفاعل معه. الفرق المسؤولة عن استجابة الحوادث داخل منظمة SecOps مسؤولة عن العملية التالية:

1. التحضير للحوادث من خلال وضع خطة واضحة للاستجابة للحوادث.
2. كشف الحوادث وتحليلها لتأكيد حدوث هجوم سيبراني وفهم شدته.
3. احتواء التهديد، القضاء عليه، واستعادة الأنظمة المتأثرة.
4. إجراء أنشطة بعد الحادث للتعلم من الحادث وتحسين عمليات الأمان.

5. التحقيقات الجنائية وتحليل السبب الجذري

تحليل الأدلة الجنائية هو قدرة فريق العمليات الأمنية على جمع وتحليل المعلومات التي يمكن أن تساعد في تحديد السبب الجذري لحوادث الأمان، أو مشاكل الأداء، أو أحداث غير متوقعة أخرى. يستخدم فريق العمليات الأمنية أدوات برمجية متخصصة لتحديد ما حدث على الأنظمة المتأثرة، وإجراء تحليل السبب الجذري، والاستجابة للتهديد أو العطل قبل أن يتسبب في أضرار إضافية.

أفضل الممارسات لتنفيذ عمليات الأمن السيبراني

حدد نطاق عمليات الأمان

الخطوة الأولى عند وضع استراتيجية لعمليات الأمان هي تحديد نطاقها بناءً على متطلبات الشركة المحددة وحالات الاستخدام. قد تستفيد بعض المهام من الاستعانة بمصادر خارجية بدلاً من الاعتماد على الفريق الأمني الداخلي. على سبيل المثال، يمكن ويجب إجراء اختبارات الأمان في مرحلة التطوير كجزء من سير العمل CI/CD — لكن هذا ليس كافيًا لضمان أن التطبيقات التي يتم بناؤها لا يمكن اختراقها أو التلاعب بها من قبل جهات خبيثة.

علاوة على ذلك، عندما تُعلن الثغرات الجديدة والاستغلالات، يجب أن تكون هناك قناة تواصل نظيفة ومباشرة بين فرق الأمان (SecOps) وفرق التطوير (DevOps) لطرح الأسئلة، ومشاركة المعلومات، والتصعيد التلقائي. لاستخدام مثال حديث، يمكن لفريق SecOps المساعدة في الإجابة على السؤال: "هل نستخدم Log4J في بيئتنا؟" وتعيين الحوادث والتذاكر تلقائيًا مرة أخرى إلى فريق DevOps لإجراء التصحيحات أو التحديثات أثناء البحث عن مؤشرات الاختراق والنشاطات الخبيثة التي تستغل الحالات الضعيفة.

بناء عمليات عمل قابلة للتكرار

يجب على فريق العمليات الأمنية مواجهة تحديات ديناميكية متنوعة عبر بنية الشركة التحتية. عادةً ما تستخدم فرق العمليات نهجًا مدفوعًا بالعمليات، حيث تطبق خطوط أنابيب شاملة على جميع التطبيقات والخوادم والبيئات. يقوم فريق العمليات الأمنية بتوسيع هذا النهج ليشمل الأمان، من خلال تنفيذ عمليات الأمان عبر خطوط أنابيب آلية وأدوات البنية التحتية ككود.

إن التنوع الواسع وتعقيد التهديدات الأمنية يعني أن كل عملية أمنية يمكن أن تعالج جزءًا فقط من احتياجات المنظمة. يجب أن تكون عمليات SecOps فعالة وشاملة، تغطي جميع البنية التحتية لتكنولوجيا المعلومات وتعالج معظم التهديدات. قد يحتاج فريق SecOps إلى إعادة تكوين الأدوات بانتظام لمواجهة تهديدات مختلفة، ولكن يجب أن تكون SecOps عملية موحدة بشكل عام.

إجراء تمارين بين الفريق الأحمر والفريق الأزرق.

يمكن لفريق العمليات الأمنية (SecOps) تحسين خبرته في مجال استخبارات التهديدات من خلال إجراء تمارين تدريبية بين الفريقين الأحمر والأزرق. يحاول الفريق الأحمر مهاجمة النظام بينما يدافع الفريق الأزرق عنه. يساعد هذا الأسلوب الممارسين الأمنيين على تحسين مهاراتهم وتوقع تقنيات الهجوم المختلفة. كما يساعد الفريق على تحديد أوجه القصور في سياسات الأمن والضوابط في المنظمة.

بينما يستخدم الفريق الأحمر تقنيات فحص المنافذ، والتصيد، واختبار الاختراق لاختراق النظام، يقوم الفريق الأزرق بأداء المسؤوليات المحددة لعمليات الأمن السيبراني وتقييم فعاليتها. يقوم كلا الفريقين بإعداد تقارير تفصيلية عن أنشطتهما ونتائجهما. أحيانًا، يعمل فريق ثالث "أرجواني" كوسيط ويقوم بمراجعة كلا التقريرين.

قم بأتمتة العمليات الصحيحة

الأتمتة هي المفتاح لتنفيذ عمليات الأمان السيبراني بنجاح، خاصة عبر البيئات الكبيرة والموزعة. إنها تمكن من تنفيذ عمليات الأمان في الوقت الحقيقي مثل فحص الثغرات ومراقبة الأنشطة لضمان استجابات سريعة ودورات تطوير سلسة. يمكن لحزم الأتمتة معالجة بعض التهديدات دون تدخل بشري بناءً على سياسات الاستجابة للحوادث.

ومع ذلك، تتطلب بعض العمليات لمسة بشرية - خاصة إذا كانت تتضمن مهامًا أكثر تعقيدًا أو غير عادية. يمكن لفريق العمليات الأمنية استخدام كتيبات استجابة الحوادث لأتمتة معظم المهام، خاصة للعمليات البسيطة القابلة للتكرار. ومع ذلك، لا يزال يتعين على خبراء الأمن البشري التحقيق والاستجابة للتهديدات الأكثر تعقيدًا. يجب على فريق العمليات الأمنية أن يفهم ما يمكنه أو لا يمكنه أتمتته - من المحتمل أن تتضمن العديد من العمليات نهجًا هجينًا.

دمج الأمان في جميع مراحل عملية التسليم.

يجب على فريق العمليات الأمنية معالجة التهديدات الأمنية في كل مرحلة من مراحل خط تسليم البرمجيات. عادةً ما تركز الفرق الأمنية التقليدية على التطبيقات التي تم نشرها في الإنتاج بدلاً من العمل جنبًا إلى جنب مع المطورين وفرق العمليات لضمان أمان الكود قبل النشر. وغالبًا ما يؤدي هذا النهج إلى عبء أمني أكبر، مما يتطلب تعديلات لاحقة ويؤثر على أداء التطبيق.

يبحث فريق أمان العمليات الحديثة عن الثغرات مبكرًا، حيث يقوم بإجراء الفحوصات بمجرد أن يكتب المطور كودًا جديدًا. ويقوم بإجراء اختبارات أمنية متنوعة طوال دورة حياة تسليم البرمجيات ويراقب التطبيقات باستمرار بحثًا عن الأخطاء والثغرات.

حدد مسؤوليات مركز العمليات الأمنية (SOC)

وضع خطة للاستجابة للحوادث تحدد دور فريق مركز العمليات الأمنية (SOC) في حماية المؤسسة. يجب أن تشمل مسؤوليات فريق SOC ما يلي:

• التواصل— معرفة كيفية التفاعل مع DevOps لطرح الأسئلة حول تحليل تكوين البرمجيات والثغرات المحتملة الأخرى، وإنشاء اتفاقية مستوى الخدمة للتسهيل في تبادل المعلومات.
• التحقيق في الحوادث— تصفية التنبيهات والتحقيق في الأحداث لتحديد الحوادث الأمنية الحقيقية والإيجابيات الكاذبة.
• تحديد الأولويات— تصنيف التهديدات المكتشفة وتحديد أي الحوادث تشكل مخاطر أكبر.
• تنسيق عملية الاستجابة للحوادث— التفاعل مع مختلف الأطراف المعنية واستخدام الأدوات لتنظيم والإشراف على الاستجابة للحوادث، لا سيما في تخصيص التذاكر لمعالجة الثغرات الحرجة أو إصلاح الحوادث من قبل DevOps.

أمن العمليات مع إكسا بييم

منصة دمج أمني تساعد في توحيد المدخلات والمخرجات عبر أنظمة الأمان المتباينة وأدوات التصعيد أو التكامل، مما يمكّن من التواصل والتحكم بين الآلات بشكل ثنائي الاتجاه. مرتبط ارتباطًا وثيقًا بالأتمتة، يساعد التنسيق المحللين على التوجه عبر مؤشرات الاختراق والتصعيد من خلال تكامل إدارة خدمات تكنولوجيا المعلومات (ITSM) للحصول على المعلومات الصحيحة في الأيدي الصحيحة دون تأخير بشري.

تتكامل منصة عمليات الأمن مع أكثر من 250 بائعًا و500 أداة أمان لاكتشاف الشذوذ في سلوك البشر والكيانات وحسابات الخدمات، مع وجود خطط عمل جاهزة وآلية تصعيد تعمل على أتمتة إجراءات التحقيق بالكامل - من خلال العثور على أحداث الأمان من المدخلات المختلفة عبر نظامك البيئي وتصعيدها بطريقة متسقة وقابلة للتكرار.