تطبيق نهج قائم على الاستخبارات في الأمن السيبراني؛ مراقبة SIEM والويب المظلم
“لقد أثبت التاريخ مرارا وتكرارا أن القوى الأدنى يمكن أن تفوز عندما يكون القادة مسلحين بمعلومات استخباراتية دقيقة.” – وكالة الإستخبارات المركزية؛ الاستخبارات في الحرب
في المشهد المتغير باستمرار للأمن السيبراني العالمي، أصبحت الحدود بين الاستخبارات العسكرية التقليدية والأمن السيبراني غير واضحة بشكل متزايد. وفي قلب هذا التقارب يكمن علم تحليل الذكاء، وهي عملية أساسية لكلا المجالين. ومن المهم بنفس القدر التعرف على مؤشرات الأهداف، التي تعمل بمثابة نذير للأنشطة الوشيكة، سواء في ساحة المعركة أو داخل الدوائر المعقدة للفضاء السيبراني.
بالنسبة للمنظمة الحديثة المعلومات الأمنية وإدارة الأحداث (SIEM) تعمل الأنظمة بمثابة حلقة الوصل حيث يلبي الفن القديم لجمع المعلومات الاستخبارية الاحتياجات المعاصرة للأمن السيبراني. يتم إثراء هذا الاندماج بشكل أكبر من خلال مراقبة الويب المظلم، وهي جبهة جديدة نسبيًا في جمع المعلومات التي تزود المحللين بفهم أكمل لمشهد التهديد في فترات الاستراحة المظلمة للإنترنت حيث يقوم مجرمو الإنترنت بتنفيذ أوامرهم.
تقليديا، كانت الاستخبارات العسكرية هي العمود الفقري لاتخاذ القرارات الاستراتيجية والتكتيكية. أنها تنطوي على عمليات معقدة لجمع البيانات وتحليلها وتفسيرها. باختصار، فهو يحول البيانات الموجودة في كل مكان إلى معلومات استخباراتية قابلة للتنفيذ. وتتراوح أنواع البيانات المستخدمة في تحليل الاستخبارات بين الاتصالات اللاسلكية التي تم اعتراضها، وصور الأقمار الصناعية، وحتى المعلومات التي يتم جمعها من القوات على الأرض. يقوم المحللون والتطبيقات بغربلة هذا الكم الهائل من المعلومات لاستخلاص رؤى قابلة للتنفيذ، والتدقيق في مؤشرات الهدف– القرائن التي تشير إلى نية العدو أو موقعه. على سبيل المثال، قد يشير التراكم غير المعتاد للمركبات في منطقة نائية إلى تجمع القوات، وبالتالي يكون بمثابة مؤشر للهدف. إن التعرف على مثل هذه الإشارات أمر بالغ الأهمية لاتخاذ قرارات مستنيرة.
وبالمثل، في مجال الأمن السيبراني، يعد تحليل الاستخبارات بمثابة العمود الفقري لاستراتيجيات الحماية. هنا، يتم جمع البيانات بشكل مستمر وآلي، وذلك بفضل أنظمة SIEM ومحركات الارتباط الأمني. تقوم هذه الأنظمة بتجميع السجلات من نقاط نهاية الشبكة المختلفة، وإنشاء تنبيهات بناءً على قواعد محددة تشير إلى الحالات الشاذة أو مؤشرات التسوية المعروفة. مثلما يبحث المحللون العسكريون عن علامات مثل حركة القوات أو تخزين الأسلحة، يقوم محللو الأمن السيبراني بمراجعة سجلات SIEM بحثًا عن مؤشرات الهدف مثل محاولات تسجيل الدخول الفاشلة المتكررة أو عمليات نقل البيانات غير الطبيعية، والتي قد تشير إلى هجوم إلكتروني.
إن إثراء مجموعات بيانات SIEM من خلال مراقبة الويب المظلم يجلب عمقًا جديدًا للأمن السيبراني. بالنسبة للمبتدئين، فإن الويب المظلم بمثابة ملاذ لمجرمي الإنترنت، تقدم سوقًا لأي شيء بدءًا من أدوات القرصنة وحتى البيانات المسروقة. غالبًا ما تكون هذه المساحة هي نقطة التسوية الأولى، حيث قد تظهر البيانات المسروقة للبيع أو حيث يمكن مناقشة الهجمات الإلكترونية الوشيكة.
تتضمن مراقبة الويب المظلم تتبع هذه المنتديات والأسواق الإجرامية بحثًا عن كلمات رئيسية أو تهديدات أو مجموعات بيانات محددة تتعلق بمؤسسة ما. توفر المعلومات المستمدة من الويب المظلم طبقة إضافية من الذكاء، مما يسمح بوضع أكثر استباقية للأمن السيبراني. على سبيل المثال، قد تكتشف إحدى الشركات على الويب المظلم أن بيانات اعتماد المستخدم المسروقة أو قوائم عملاء الشركة يتم بيعها. يعد هذا النوع من المعلومات بمثابة إشارة مستهدفة محددة إلى أن الشركة قد تعرضت لاختراق بيانات على مستوى ما.
إن أوجه التشابه بين الاستخبارات العسكرية والأمن السيبراني ليست مجرد مفاهيمية؛ لديهم آثار عملية. غالبًا ما تستخدم العمليات العسكرية تحليلات البيانات في الوقت الفعلي لإنشاء تقارير حالة سريعة، مما يتيح ذلك اتخاذ القرار السريع. وعلى نفس المنوال، يمكن لنظام SIEM الذي تم تكوينه جيدًا أن يقدم تحليلًا في الوقت الفعلي للتنبيهات الأمنية الناتجة عن البنى التحتية للأجهزة والبرامج. وفي كلا السياقين، تعد سرعة ودقة تحليل الاستخبارات أمرًا بالغ الأهمية لتحقيق نتائج ناجحة.
المنظمات التي تنفذ كلا الأمرين بنجاح مراقبة الويب المظلم وحلول SIEM ستستفيد بطرق متعددة. وبصرف النظر عن زيادة مجمع البيانات للتحليل، فإنه يضيف عنصرًا استباقيًا إلى مجال رد الفعل العام للأمن السيبراني. فهو يسمح بتوقع الهجمات بدلاً من مجرد الاستعداد لها، وبالتالي يوفر الميزة الإستراتيجية للوقت – والتي غالبًا ما تكون العامل الأكثر أهمية في كليهما. العمليات العسكرية والأمن السيبراني.
باختصار، إن فن جمع المعلومات الاستخبارية وتحليلها، الذي تم صياغته وصقله عبر قرون من الإستراتيجية العسكرية، يجد ساحة معركة جديدة في مجال الأمن السيبراني. تعمل أنظمة SIEM كمراكز تشغيلية حيث تواجه هذه الاستراتيجيات التي تم اختبارها عبر الزمن التحديات الفريدة التي يفرضها العصر الرقمي. يعد نظام SIEM الحديث، الذي تم إثراءه بظهور مراقبة الويب المظلم، بمثابة شهادة على القوة التآزرية للجمع بين القديم والجديد. وبينما نواصل التنقل في المشهد المتطور للتهديدات، المادية والرقمية على حد سواء، فإن تكامل هذه المجالات المتنوعة والمترابطة سيكون أمرًا أساسيًا لابتكار آليات دفاعية أكثر قوة ومرونة للمستقبل.
توفر AT&T عددًا من منتجات وحلول الأمن السيبراني المتقدمة المصممة لمساعدة الشركات على التنقل في المشهد المليء بالتحديات للتهديدات السيبرانية اليوم. مراقبة الويب المظلم لشركة AT&T يوفر حلاً رائدًا في مجال مراقبة الويب المظلم لتحديد بيانات الاعتماد والمؤشرات المستهدفة الأخرى للانتهاك. بالإضافة إلى ذلك، AT&T يو إس إم في أي مكان، وهو حل مركزي لمراقبة الأمان، هو في الأساس نظام SIEM على المنشطات. من خلال توفير الأحداث والتنبيهات الأمنية في مكان واحد، يمكّن USM Anywhere صناع القرار من اتخاذ القرارات بناءً على معلومات استخباراتية قابلة للتنفيذ.