الأمن السيبراني: المنظومة تتبعها الأداة
عدي عبد الرحمن- يعلم الكثير ممن يعمل في مجال الأمن السيبراني (Cyber Security) حقيقة كثرة وتنوع الأدوات والحلول السيبرانية (Cybersecurity Solutions and Tools) التي تقدمها العديد من الشركات العالمية، بهدف مواكبة المتغيرات الدائمة في هذا الفضاء الواسع والعمل على إيقاف أو تخفيف أثر الهجمات السيبرانية باختلاف منشأها والدوافع خلفها، فلعلها تكون من مبتدئ (script kiddie) يجرب حظه من خلف الشاشة أو من منظومة كاملة تخدم مصالح قومية لدى بعض البلدان بهدف إيقاع الضرر بمؤسسات دول أخرى (State/Nation Sponsored Hackers) كما شهدنا في الصراعات الأخيرة.
تحتاج هذه الأدوات الآنف ذكرها لميزانيات هائلة قد تفوق قدرات بعض الشركات وقد تتعدى حجم العمل والأرباح المتوقعة من الاستثمار في قطاع ما، مما يجعل الإنفاق للحصول على هذه الأدوات والحلول بعيداً عن منطق العائد الناتج عن الاستثمار (Return on Investment). عداك عن الحاجة لدراسة شاملة لهذه الأدوات والمقارنة بينها والاستعانة بالتقارير العالمية الصادرة عن شركات أخرى متخصصة في تقييم الأدوات (Gartner) على سبيل المثال، والتي قد لا يغيب عنها هامش من الإنحياز في ظل وجود معسكرات الشرق والغرب ودول عدم الانحياز!
ومن يعمل في مجال التسويق يعلم جيداً ما تقوم به بعض الشركات المنتجة للحلول السيبرانية من تلاعب وتغيير في تسمية الأدوات والحلول التي قدمتها سابقاً ولكن بحلّة جديدة وإضافة بعض الخصائص البسيطة التي لا تُذكر بهدف تقديم منتج جديد يفتح سوقاً ومطلباً جديداً أو ما يعرف بال (Demand Creation).
فعلى سبيل المثال، لقد تغير الحرف الأول في أدوات الكشف والاستجابة (Detection and Response) عدة مرات (EDR, NDR, XDR, MDR…etc.) حتى بات لا يعرف الفرق بينها، علنا نرى يوماً ما يسمى (ZDR)! وننتهي من كل هذا.
بناءً على ما تقدم، فقد يدخل من يعمل في مجال الأمن السيراني في دوامة لا منتهية من البحث والدراسة والإنفاق على أدوات وحلول لن تجلب له في النهاية نظاماً آمناً بنسبة الكمال (100%) على عكس ما تظنه الإدارات العليا في بعض الشركات التي لا تتمتع بنضج كافٍ، فإنها قد توجه اللوم للقائم على منظومة الأمن السيبراني في المؤسسة حال وقوع هجوم سيبراني بالقول "لقد أتيت لك بأكثرالأنظمة حداثة فكيف تم اختراقنا؟!".
حينما تختلط عليك الأمورعليك بالعودة للأساسيات..
عند البدء بالتفكير في الحصول على إحدى هذه الأدوات أو الحلول السيبرانية فلا بُد من أن يكون الدافع (Objective) هو التعامل مع (إيقاف أو تخفيف) خطر ما (Risk) وليس بغرض الحصول على أداة تحكم (Control)، عملاً بالنهج الأقرب للصواب ((Risk-based approach وما ينتج عنه من قراءة شاملة للمخاطر الأمنية والتقنية للقطاع الذي تعمل به المؤسسة، وكنتيجة لهذا قد يتطلب التعامل مع إحدى هذه المخاطر التعديل أو الإضافة على سياسات الشركة وإجراءاتها (Policies and Procedures) أولاً ومن ثم الحصول على إحدى الأدوات إن لزم الأمر.
فايروس الفدية الشهير (WannaCry Ransomware) كدراسة حالة (Case Study)
بالعودة إلى أيار من عام 2017، ضرب فايروس الفدية (WannaCry Ransomware) مئات الآلاف من أنظمة الحاسوب التي تعمل بنظام التشغيل (Windows) حيث يتم تشفير البيانات المخزنة على القرص الصلب مما يمنع الوصول لمحتواها الأصلي إلا عن طريق الدفع مالياً بغرض الحصول على مفتاح فك التشفير.
سارعت العديد من الشركات المنتجة للحلول السيبرانية بالتسويق لنفسها بالقول أن أنظمتها تمكنت من إيقاف هذا الهجوم في كثير من المؤسسات التي تستخدم نظام الحماية الخاص بها.
خدمات الأمن المدارة من أمنية.. اعرف أكثر
إضاءة تقنية
بالنظر إلى التقنيات المستخدمة في هذه الهجمة فإنه يتبين أن الفايروس استخدم (EternalBlue exploit) التي تستهدف ثغرات (SMBv01 Protocol) لينشر نفسه عبر الشبكة.
في آذار من نفس العام (أي ما قبل الهجمة بشهرين) قامت شركة مايكروسوفت بإصدار ما يعرف بنشرتها الشهرية للتصحيح الأمني (Security Patch) والتي اشتملت على حلول لعديد من الثغرات المرتبطة بالبروتوكول المذكور (SMBv01) التي كان ما شأنها ايقاف تأثير هذا الفايروس. (*)
كان الأولى بالمؤسسات عامة الالتزام بمنظومة عمل واضحة تشمل سياساتها وإجراءاتها في مجالات عدة أهمها التصحيح الأمني (Security Patching) وتدريب وتوعية الموظفين (Security awareness training) والنسخ الاحتياطية (Data Backup) وآخراً لا بد من الحصول على أدوات وأنظمة تساعد في تطبيق هذه الإجراءات.
أداة منع تسريب البيانات (Data Loss/leak Prevention) كمثال آخر
قد يكون التهديد الداخلي (Insider Threat) وتسريب البيانات (Data Leak) من أكثر ما يهدد بيانات الشركات والعملاء لديها فتتسارع تلك الشركات للحصول على أداة منع تسريب البيانات وهي بالفعل خطوة على الطريق الصحيح! لكن ما تغفله بعض الشركات هو بناء منظومة كاملة تسمح لهذه الأداة بالعمل بكفاءة عالية تلبي المنشود من التحصل عليها.
في مثالنا هذا يجب أن تشمل المنظومة تغيير على سياسات الشركة بما يوضح ويشرح تصنيف البيانات (Data Classification) وما ينتج عن ذلك من إجراءات لمعرفة أين تتواجد هذه البيانات وأشكال تواجدها (رقمياً أو ورقياً) ومن يمتلكها من أقسام الشركة ومن ثم وضع علامات التصنيف (Labeling).
يأتِ آخراً إستخدام أداة تقوم بمنع أو مراقبة تحرك هذه البيانات والتأكد من توجهها للأطراف الصحيحة ودون مخالفة لسياسات الشركة.
خاتمة:
متنوعة هي الجوانب التي يشملها الأمن السيبراني، وللتأكد من تطبيقها بشكل عملي وفعال فلا بد من وجود منظومة كاملة تبدأ بالسياسات وتنتهي بتطبيق الأدوات والأنظمة ومراقبتها بشكل مستمر.
خدمات الأمن المدارة من أمنية.. اعرف أكثر
