في العديد من حوادث الأمن السيبراني، تصل مرحلة حيث يتطور الجانب الفني بالفعل، لكن المنظمة المحيطة به لا تزال تكتشف كيفية حل المشكلة.
تم إطلاق الإنذار، وتم إنشاء قناة الاتصال، وانضم أشخاص من الأمن وتكنولوجيا المعلومات والعمليات والشؤون القانونية، وربما الاتصالات، ومع ذلك فإن الغرفة لم تنته بعد من الحادث بشكل كامل. لا يزال يحاول معرفة نوع المشكلة التي يفكر فيها.
ما هي الأنظمة التي يجب عزلها أولاً، وما هي البيانات المهمة بما يكفي لحمايتها بأي ثمن، وما هي الخدمة التي تحتاج إلى التنفس حتى لو تعطلت بقية الشبكة لفترة من الوقت، وما هو البائع أو الشركة التابعة التي تبقى بهدوء في الخلفية في يوم عادي ستصبح نقطة التحول للساعات الست القادمة. وفي عدد أكبر مما يود الكثيرون الاعتراف به، لا تزال هذه المعرفة مشتتة للغاية، أو غير رسمية للغاية، أو تعتمد بشكل كبير على وجود الشخص المناسب عند حدوث أزمة.
مؤسس المخاطر والقرار والمرونة24.
وهذا ما يجعل اللحظة الحالية أكثر خطورة من جولة أخرى مألوفة من “الذعر السيبراني”. لقد تغيرت الوتيرة وبدأت تكشف عن نقطة ضعف تستغرق العديد من البرامج الأمنية الناضجة وقتًا أطول مما ينبغي لمعالجتها.
حذرت Microsoft هذا الشهر من أن بعض حملات Medusa Ransomware يمكن أن تقلل الوقت من استغلال موارد الإنترنت الحساسة إلى التسلل والنشر إلى حوالي 24 ساعة.
المشكلة لا تكمن في أنه سريع فحسب، على الرغم من أنه كذلك بالتأكيد. والفكرة هي أن اليوم لا يترك مجالًا كبيرًا للمنظمة لتكتشف في منتصف الحدث ما كان ينبغي أن تعرفه قبل أن يبدأ.
بناء رجال إطفاء أفضل
إن المنظمات مهووسة ببناء أجهزة كشف أفضل، و”العثور على الحريق بشكل أسرع”، لكنها تفشل في إنشاء رجال إطفاء أفضل – وهي العملية البشرية لتنظيم الاستجابة عند اكتشاف “حريق”. الفشل الحقيقي ليس إدراك الخطر؛ إنها عملية فوضوية وبطيئة ومربكة لترجمة الإشارة الفنية إلى إجراء تجاري منسق. يفترض معظمهم أنه مع لوحة القيادة الواضحة والضوابط الجيدة ولغة الإدارة اللائقة فإنهم مستعدون، لكنهم في الواقع يفقدون الحبكة عند نقطة التسليم عندما تكون المشاكل تنظيمية بطبيعتها.
هذا هو المكان الذي تبدأ فيه الشقوق بالظهور. إن ما يبطئ الاستجابة ليس في كثير من الأحيان أي فشل استراتيجي كبير، بل تراكم عادات أصغر وأقدم: “الحرجية” التي تم تعريفها بشكل فضفاض للغاية بحيث لا تكون مفيدة، ومسارات التصعيد التي تعيش في حالة من الفوضى. جداول البيانات، وإجراءات الطوارئ التي بدت معقولة قبل ستة أشهر، وتمارين الطاولة السنوية التي تم التعامل معها تقريبًا كطقوس احتفالية، يتم إجراؤها خارج نطاق الالتزام ثم يتم نسيانها بسرعة. ثم يأتي الحادث الحقيقي، بسرعة وسيئة التخطيط، وينكشف الإعداد بأكمله على حقيقته: ليس تحضيرًا بالضبط، بل مجموعة من النوايا الحسنة التي لم يتم تعليمها أبدًا كيفية تجميعها.
تشير إرشادات CISA إلى اتجاه أكثر جدية مما اتخذته العديد من المنظمات حتى الآن. وهو يفرض على المؤسسات تحديد الأنظمة والبيانات المهمة وترتيب أولوياتها للتعافي، والحفاظ على خطط الاتصالات، وتنفيذ خطط الاستجابة للحوادث والمرونة، بدلاً من مجرد الاحتفاظ بها في الملف. توصي إرشادات الاستجابة للحوادث المنقحة الخاصة بـ NIST أيضًا باتباع نهج محدد. لا ينبغي للمنظمة أن تتخذ قراراتها الحقيقية الأولى بشأن الأهمية والاستمرارية والسلطة أثناء وقوع الحادث بالفعل.
مثال حديث
يُظهر أحد الأمثلة العامة الحديثة إلى أي مدى يمكن أن يتردد صدى هذا الأمر. في أبريل/نيسان في الولايات المتحدة، بعد أن أدى هجوم إلكتروني إلى تعطيل الأنظمة والخدمات الرقمية الحيوية في ولاية مينيسوتا، سمح الحاكم تيم فالز بتقديم الدعم من الحرس الوطني في مينيسوتا لأن الحادث أضعف بشكل كبير قدرة المقاطعة على تقديم خدمات الطوارئ والخدمات البلدية. يصبح الحادث السيبراني شيئًا آخر عندما تبدأ عملية اتخاذ القرار العادية والاتصالات والعمليات الأساسية في الانهيار.
هذا هو المكان الذي تعجز فيه المرونة عادة هذه الأيام: عند الواجهة بين الكشف الفني والتنفيذ التشغيلي. لقد أنفقت العديد من المنظمات أموالاً حقيقية على الأدوات، المراقبة والإدارة. هناك تعريف أقل بكثير لماهية المعلومات المهمة حقا، وما هي الأنظمة والموردين الذين يعتمدون على بعضهم البعض، وما هي إجراءات الطوارئ التي يجب تفعيلها أولا، وما هي القرارات التي تعود لمن عندما تبدأ الظروف الطبيعية في التدهور. قد تمتلك منظمة ما جميع الأدوات الصحيحة ولكنها لا تزال غير مستعدة بشكل غريب للتعامل مع استجابتها الخاصة.
ولذلك فإن الجواب ليس ببساطة “المزيد من الأمن”. وهذا نموذج استجابة تشغيلية أكثر انضباطا. الخطوة الأولى هي مراقبة المعلومات باستمرار. قبل أن يحدث خطأ ما، يجب على المؤسسة أن تعرف بالضبط ما هي البيانات والخدمات والتبعيات ومسارات الاتصال الضرورية حقًا. لا يتعلق الأمر بما يبدو جيدًا على الورق أو بما يتناسب مع قائمة مراجعة السياسات؛ بل عمليات في العالم الحقيقي. ويجب أن تحدد بوضوح: ما الذي يجب الاحتفاظ به، وما يمكن التضحية به، وما لا يمكن السماح له مطلقًا بالوقوع في حالة من عدم اليقين، حتى ولو لبضع ساعات.
طريقة لتقليل التردد
والخطوة الثانية هي التعامل مع تدريبات الأزمات بشكل أقل كطقوس سنوية وأكثر كوسيلة للحد من التردد. تحصل التمارين المتكررة الأصغر حجمًا والأخف وزنًا على استجابة أكثر واقعية من التمارين الكبيرة التي تمارسها على الطاولة والتي تقوم بها مرة واحدة سنويًا وتتلاشى في الذاكرة في الأسبوع التالي. يجب أن تتدرب الفرق على اتخاذ القرارات التي تصبح مكلفة تحت الضغط: من يعزل ماذا، ومن يعلن ماذا، ومن يتحدث إلى الموظفين أو العملاء أو الجمهور، وما الذي سيتم استعادته أولاً، وما هي التبعيات التي ستتوقف عن العمل بصمت إذا لم يقم أحد بتعيينها أولاً.
والخطوة الثالثة هي التعامل مع استمرارية التواصل كجزء من تصميم الاستجابة، وليس كمجاملة يتم تمديدها بمجرد بدء الهندسة. في كثير من الحالات، لا يكون التواصل مجرد شيء تفعله عند حدوث مشكلة. وفي الواقع، هذا جزء من المشكلة نفسها. إذا كان الموظفون لا يعرفون إلى أين يذهبون، أو إذا لم يكن الشركاء الخارجيون متأكدين من طريقة الاتصال الآمنة، أو إذا حاول القادة الاستفادة من نظام قد يكون معطلاً، فإن كل شيء يتباطأ. تتراكم هذه التأخيرات بسرعة ولا يمكن لأي تقرير أو مخطط إصلاحها لاحقًا.
لن يكون الانقسام التالي في النضج السيبراني بين المنظمات التي تكتشف وتلك التي لا تفعل ذلك. لقد تحسنت إمكانية الكشف. وبدلا من ذلك، سوف يوجد انقسام أكثر حدة بين المنظمات التي قد تعمل تحت الضغط وتلك التي لا تزال تحاول تحديد ما هو مهم في حين أن الحادث قد بدأ بالفعل. هذه هاوية حقيقية الآن. فالأمر لا يتعلق بنقص الإنذارات، بل بعدم الاستعداد في اللحظة التي يجب أن يتحول فيها الإنذار إلى عمل. وهذا ضعف أكثر إثارة للقلق لأنه أقرب بكثير إلى مركز المنظمة نفسها.
لقد قمنا بمراجعة وتقييم وتصنيف أفضل برامج جدار الحماية.
تم إنشاء المقالة كجزء من توقعات TechRadar بروتعرض قناتنا أفضل وألمع العقول في صناعة التكنولوجيا اليوم.
الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالتعاون، يمكنك العثور على مزيد من المعلومات هنا: https://www.techradar.com/pro/perspectives-how-to-submit
