صحيفة الخليج | Author

فابيو فراتوتشيلو *

شهدت ساحة الأمن السيبراني في الآونة الأخيرة، تحولات جذرية، حيث تجاوز المهاجمون الأساليب التقليدية للبرمجيات الخبيثة مستخدمين تقنيات تقوم على استغلال الهوية بواسطة بيانات اعتماد شرعية. إنّ هذا التطور الخطر يفرض على المؤسسات إعادة التفكير في استراتيجياتها الأمنية لحماية الأصول الحيوية عبر النقاط الطرفية والبيئات السحابية وأنظمة تعريف الهوية.
ولم يعد المهاجمون يستهدفون نطاقاً واحداً فقط، بل يستغلون الثغرات الموجودة في الأدوات الأمنية التقليدية المعزولة للعمل دون اكتشافهم، ويتنقلون بشكل أفقي داخل الشبكات تحت ستار الوصول الشرعي. تجعل هذه الأساليب من الصعب على المؤسسات اكتشاف التهديدات والاستجابة لها، خاصة مع تسارع وتيرة الهجمات. ويشير تقرير كراود سترايك للتهديدات العالمية لعام 2025 إلى انخفاض متوسط زمن انتشار الهجمات الإلكترونية إلى 48 دقيقة فقط، مع تسجيل بعض الهجمات التي تتمّ خلال أقلّ من دقيقة واحدة.
وفي الواقع، لا تزال معظم المؤسسات تعتمد على أدوات أمان متفرقة، كحلول جزئية تُركز على تهديدات محدّدة، ولكنها تفشل في معالجة الصورة الكاملة. يؤدي هذا النهج المجزأ إلى ظهور ثغرات يستغلها المهاجمون، خاصة عند دمج سرقة بيانات الاعتماد مع أدوات شرعية مثل حلول المراقبة عن بُعد.
على الرغم من فعالية التدابير الأمنية التقليدية ضدّ الهجمات القائمة على البرمجيات الخبيثة في الماضي، إلا أنّها اليوم غير كافية لمواجهة التهديدات متعدّدة النطاق، حيث يستغل المهاجمون الطبيعة المجزأة للعديد من البُنى الأمنية، ويتنقلون بين النقاط الطرفية والبيئات السحابية وأنظمة الهوية لتجنّب الاكتشاف.
على سبيل المثال، يمكن للمهاجمين زيادة امتيازاتهم والتنقل بحرية داخل الشبكة من خلال اختراق بيانات اعتماد المستخدم. تؤدي الأدوات غير المترابطة والعمليات المنفصلة إلى تباطؤ الاكتشاف والاستجابة، ما يمنح المهاجمين وقتاً أطول لتمكين وجودهم وسرقة البيانات الحساسة. لذا، يتعين على المؤسسات تطوير استراتيجياتها لمواجهة هذا التحدي، حيث يكمن الحل في كسر عزلة أدوات الحماية ودمج الحلول الجزئية ضمن منصّات موحّدة.
يجب على المؤسسات اعتماد منصّات أمنية مُوحّدة تُوفّر رؤية شاملة عبر جميع النطاقات، لمكافحة الهجمات متعدّدة النطاق التي تستهدف الهوية. تمنح هذه المنصّات المؤسسات قدرة على مراقبة النقاط الطرفية وأنظمة الهوية والبيئات السحابية، ما يُعزز إمكانية اكتشاف التهديدات والاستجابة لها. كما يُوفّر هذا المستوى المتقدّم من الرؤية إمكانيات اصطياد التهديدات استناداً على تحليل سلوك المهاجمين، ما يُحسّن الاكتشاف ويضيف نهجاً معزّزاً لتحديد تكتيكات التخفّي التي يستخدمها الخصوم.
ومن خلال توحيد البيانات ودمج العمليات، تتيح المنصّات الأمنية الموحّدة سرعة أكبر في الكشف عن التهديدات والاستجابة لها، مع توفير رؤى فورية وإجراءات مؤتمتة. تساعد هذه القدرات المؤسسات في التفوّق على المهاجمين عبر تمكين فرق الأمن من العمل بتعاون وكفاءة لاتخاذ قرارات استجابة حاسمة، ما يسرّع التعامل مع التهديدات ويُقلّل من الوقت الذي يقضيه المهاجمون داخل الشبكة.
وإلى جانب تعزيز الاستجابة، تعمل المنصّات الأمنية الموحّدة على تحسين الكفاءة التشغيلية وتقليل التكاليف. ومع دمج الحلول الجزئية، تُبسّط المؤسسات دفاعاتها وتزيد من فاعلية عملياتها الأمنية. وإلى جانب تقليل التكاليف التشغيلية، يؤدي اعتماد منصّة موحّدة إلى تقليل الحاجة لخبرات متخصّصة لإدارة أدوات متعدّدة، كما يًسهم في خفض تكاليف التأمين السيبراني.
مع انتقال المهاجمين من النمط التقليدي القائم على البرمجيات الخبيثة إلى أسلوب الهجمات المعتمدة على اختراق الهوية، والاستهداف متعدد النطاق، يجب على المؤسسات أن تفكر بجدّية في تطوير استراتيجياتها الأمنية واكتساب القدرات الفعّالة لمواجهة التحدّيات السيبرانية المتنامية.
ومع استمرار المهاجمين في تطوير أساليبهم، يتعين على المؤسّسات اعتماد نهج استباقي في الأمن السيبراني، وذلك من خلال تبنّي استراتيجيات موحّدة تُلغي العزلة بين أنظمة الأمان، وتُعزّز الرؤية الأمنية، وتسرّع الاستجابة للهجمات. وبدون هذا التحوّل، ستجد المؤسسات صعوبة في التعامل مع تعقيدات التهديدات الحالية، فضلاً عن تلك التي تنتظرها في المستقبل.

* الرئيس التنفيذي للتكنولوجيا، بالأسواق الدولية في «كراود سترايك»

تشهد ساحة التهديدات السيبرانية تطوراً مستمراً يفرض على المؤسسات ضرورة مواكبة تكتيكات الخصوم المتزايدة من حيث التطور والسرعة. ففي عام 2023، اعتمد المهاجمون على أساليب لا تتطلب استخدام البرمجيات الخبيثة لاختراق الأنظمة بنسبة مذهلة بلغت 75% من الهجمات. والأمر الأكثر إثارة للقلق بعد الاختراق الأولي، هو أن متوسط الوقت الذي يستغرقه المهاجمون للانتقال أفقياً داخل النظام، والمعروف باسم «وقت الانتشار»، بلغ 62 دقيقة فقط، بينما تمّ تسجيل أسرع عملية اختراق خلال دقيقتين و7 ثوانٍ فقط.
للتصدي لهذه الهجمات المتطورة، تحتاج فرق الأمن إلى العمل بنفس سرعة المهاجمين، إلا أن الأنظمة التقليدية لإدارة معلومات الأمن (SIEM) أصبحت عائقاً أمام تحقيق ذلك. فقد تم تصميم هذه الأنظمة في حقبة كانت فيها أحجام البيانات أصغر، وسرعة الهجمات أقلّ، ولم تتطور تلك الأنظمة لمواكبة التوسّع الهائل في البيانات أو التصدّي للتهديدات المتقدّمة. وتجد فرق الأمن نفسها مضطرة للتعامل مع أنظمة SIEM قديمة ومعزولة، إلى جانب قواعد بيانات ضخمة وأدوات تحليل منفصلة، ما يعرقل سرعة الاستجابة والتحليل الفعّال للهجمات.
تُعرف أنظمة SIEM التقليدية اليوم بكونها «ثقوب سوداء» للبيانات، حيث تستمر في استيعاب كميات متزايدة من المعلومات دون تقديم قيمة حقيقية، مما يؤدي إلى تدفق هائل من التنبيهات الخاطئة، وإبطاء أوقات الاستجابة، ورفع التكاليف التشغيلية.
ويمثل الجيل الجديد من أنظمة إدارة معلومات الأمن (Next-Gen SIEM) نقلة نوعية في كيفية تصدي فرق الأمن للتهديدات الحديثة. فقد تمّ تصميم هذه الأنظمة في البداية لتوحيد البيانات والذكاء الاصطناعي وأتمتة سير العمل ضمن منصة أمن سيبراني متكاملة، ما يمنح فرق الأمن القدرة على العمل بسرعة وكفاءة لتحقيق الهدف الأهم، وهو منع الاختراقات.
ويمكن لمختلف أعضاء مركز عمليات الأمن تحقيق أعلى مستويات الفعالية مع هذه الأنظمة المتطورة، كما يتضح في الأمثلة التالية:
* يواجه المهندسون الأمنيون تحديات يومية في التعامل مع أنظمة SIEM التقليدية، حيث تتطلب عمليات نقل البيانات وقتاً طويلًا وتفرض تعقيدات تقنية عديدة بسبب بنيتها المتشعبة.
* يعمل الجيل الجديد من أنظمة SIEM على تبسيط عملية استيعاب البيانات من خلال توفير بيانات أمنية متكاملة تشمل معلومات عن نقاط النهاية، والهويات، وأعباء العمل السحابية، ضمن منصّة موحدة. وبهذا، لن يضطر المهندسون الأمنيون لقضاء ساعات طويلة في استيراد البيانات أو مواجهة مشكلات تأخير الشبكة، حيث يتمّ تدفق المعلومات الأساسية للكشف والاستجابة بسلاسة عبر النظام. كما توفر هذه الأنظمة إمكانية استيعاب ومعالجة وتوحيد أي بيانات إضافية بسهولة بفضل الموصلات والمحللات المدمجة، ما يتيح للفرق الأمنية إمكانية التركيز على مواجهة التهديدات بدلاً من إدارة البيانات.
وتعاني أنظمة SIEM التقليدية من تشتيت جهود المحلّلين الأمنيين، حيث تفرض عليهم التنقل بين أدوات ووحدات تحكّم متعدّدة لاستخراج وتحليل البيانات، إضافة إلى إزعاجهم بتنبيهات غير دقيقة وإجراءات يدوية تؤدي إلى إبطاء التحقيقات وتفويت رصد الهجمات.
لكن مع الجيل الجديد من أنظمة SIEM، يتمّ دمج جميع الأدوات ضمن منصّة واحدة، مما يُمكّن المحللين من إنجاز تحليل التهديدات بسرعة دون الحاجة إلى التنقل بين أنظمة مختلفة. كما توفر هذه الأنظمة أتمتة مدمجة لسير العمل، لمساعدة المحللين على تبسيط العمليات والاستجابة للهجمات بفعالية. وبفضل إمكانيات تحليل الحوادث المؤتمتة، يمكن للمحللين التركيز على المهام ذات الأولوية القصوى دون إضاعة الوقت في إجراءات يدوية معقدة. كما يستفيد الجيل الجديد من أنظمة SIEM من قدرات الذكاء الاصطناعي التوليدي وأدوات تصوّر الهجمات المتقدمة، مما يعزز كفاءة المحللين على اختلاف مستويات خبرتهم، ويتيح لهم فرز الحوادث والتحقيق فيها بسهولة.
ويعمل الباحثون عن التهديدات في سباق دائم مع الزمن لاكتشاف الهجمات قبل أن تتسبب بإحداث أضرار واسعة.
ويوفر الجيل الجديد من أنظمة SIEM لفرق البحث سرعة غير مسبوقة في رصد التهديدات، حيث يتيح لهم تنفيذ عمليات بحث أسرع بمعدل يصل إلى 150 ضعفاً مقارنة بأنظمة SIEM التقليدية. كما يزوّدهم بنظام استعلام متطور وبيئات عمل متكاملة للحصول على السياق الضروري لاكتشاف التهديدات المخفية عبر البنية التحتية للمؤسسة.
وفي ظلّ تصاعد التهديدات الأمنية وتزايد التكاليف، يواجه كبار مسؤولي أمن المعلومات تحدياً كبيراً في الحفاظ على توازن فعال بين تعزيز الدفاعات الأمنية وتقليل التعقيدات التشغيلية.
ويمثل الجيل الجديد من أنظمة SIEM تطوراً جوهرياً في مجال الأمن السيبراني، حيث يمنح المؤسسات السرعة والكفاءة والقدرة على خفض التكاليف لمواجهة التهديدات المتقدّمة.
* الرئيس التنفيذي للتكنولوجيا، الأسواق الدولية «كراود سترايك»