لقد ساعد الاعتماد الشامل للبيئات السحابية الشركات على تحويل عملياتها من خلال قابلية التوسع وفعالية التكلفة، ولكنها فرضت أيضًا ضغطًا إضافيًا على المتخصصين في مجال الأمن. تظهر الأبحاث أن ما يقرب من ثلثي المحللين الأمنيين يقولون إن حجم سطح الهجوم قد زاد في السنوات الثلاث الماضية، مدفوعًا بالاستثمارات الرقمية والسحابية الناجمة عن الوباء. يواجه متخصصو الأمن “دوامة من المزيد” متزايدة باستمرار تجعلهم يقومون بتحليل المزيد من التنبيهات الأمنية، ووضع المزيد من القواعد، والعمل باستخدام المزيد من أدوات الأمان. يؤدي كل ذلك إلى زيادة عبء العمل، ويجعل من الصعب تحديد التنبيهات الأمنية والاستجابة لها بسرعة وإدارة الانتهاكات.
ولكن بصرف النظر عن سطح الهجوم المتزايد، فإن جودة وفعالية سجلات السحابة في حد ذاتها تؤدي إلى تفاقم التحديات التي يواجهها المحللون الأمنيون المثقلون بالأعباء. مع تطور التكنولوجيا السحابية بسرعة كبيرة، لا تزال السجلات المقدمة حديثة، مما يحد من إمكانية الرؤية في البيئات السحابية. وهذا يجعل الحياة أكثر صعوبة بالنسبة لممارسي الأمن، مما يزيد من عبء عملهم واحتمال حدوث اختراق.
في نهاية المطاف، تحتاج المؤسسات إلى إيجاد طريقة لتحسين رؤيتها في البيئات السحابية للبقاء آمنًا مع الحفاظ على الامتثال وزيادة الكفاءة التشغيلية.
مشاكل التسنين
في بعض الحالات، تعاني السجلات السحابية من نقص في الوقت الحالي مما يعرض المؤسسات لمخاطر أمنية. على سبيل المثال، فريق البحث لدينا في Vectra اكتشفت مؤخرًا ثغرة جديدة في Azure باستخدام ملف CSV وتسجيل الدخول لمهاجمة المسؤولين والوصول إلى امتيازات المسؤول. في حالة نجاحها، يمكن للجهات الفاعلة في مجال التهديد منح نفسها إمكانية الوصول إلى أي موارد في البيئة المخترقة، أو سحب البيانات الحساسة، أو نشر برامج الفدية، أو بيع الوصول إلى المنظمة المخترقة إلى عصابات برامج الفدية. قد يكون لهذا عواقب وخيمة على المؤسسة، بدءًا من فقدان ثقة العملاء وحتى الغرامات التنظيمية – وكلها تؤثر على النتيجة النهائية وحصة الشركة في السوق.
وبصرف النظر عن الثغرات الأمنية، هناك مشكلات أخرى متعلقة بالسجل تؤثر على الرؤية السحابية، مما يزيد من عبء عمل المحللين ويعرض المؤسسات لمزيد من خطر الاختراق. وتشمل هذه:
التناقضات في معرفات المستخدمين وعناوين IP – قد يؤدي الافتقار إلى تنسيق البيانات المتسق في السجلات إلى صعوبة تكوين صورة واضحة أثناء الأحداث الأمنية على المحللين. حتى التغيير البسيط في كيفية كتابة عنوان IP، أو كيفية تقديم اسم المستخدم، يمكن أن يخلق كابوسًا للارتباط. وينتج عن ذلك عبء عمل إضافي حيث يجب على المحللين استثمار وقت إضافي في ربط نقاط البيانات المتباينة، مما قد يؤدي إلى تأخير عند الاستجابة للحوادث.
المزيد من الاتصالات المتكررة بشأن حالات انقطاع الخدمة – في حين أن مقدمي الخدمات مثل Microsoft يجيدون بشكل عام إخطار المستخدمين بانقطاعات الخدمة، إلا أن هناك حاجة إلى مزيد من الرؤية والتحكم داخل السجلات لمساعدة المحللين على تتبع تدفق السجل، ومنع تعطيل السجل غير المصرح به أو العرضي. إذا لم يكن الأمر كذلك، فمن الصعب للغاية معرفة ما إذا كان هناك انقطاع يمنع السجلات السحابية من الوصول، أو إذا تم تعطيل السجلات بواسطة شخص من الداخل.
التأخير في توفر أحداث السجل – تعد أحداث السجل ضرورية لإخطار المحللين بالتغييرات العاجلة التي قد يلزم إجراؤها للحفاظ على بيئة السحابة آمنة. لكن التأخير في هذه الإعلانات يمكن أن يعرض المؤسسات للخطر، حيث تكون الجهات الفاعلة في مجال التهديد قادرة على استغلال نقاط الضعف والثغرات الأمنية في غضون 30 دقيقة أو أقل. وبدون إشعار كاف، قد لا يكون لدى المحللين الوقت الكافي لتحليل الوضع، حتى يتمكنوا من التغاضي عن المؤشرات الحاسمة للتسوية وترك أنفسهم عرضة للتهديدات.
يجب على موفري الخدمات السحابية التصرف لمنح المدافعين الأفضلية
من الواضح أنه على الرغم من أن السحابة توفر مجموعة كبيرة من فوائد الكفاءة، إلا أن هناك بعض العمل الذي يتعين القيام به لتحسين الرؤية في هذه البيئات الجديدة. ومع ذلك، لا يمكن حل التحديات الحالية المتعلقة بالسجلات السحابية بسهولة. إذا ثبت أن السجلات المحلية غير كافية، فيمكن للمحللين محاولة تبديل الموردين لتحسين دقتها وفعاليتها. ولكن في السحابة، يمكن أن يجدوا أنفسهم عالقين بين جذع شجرة ومكان صعب. وذلك لأن موفري الخدمات السحابية مثل AWS أو Azure يتمتعون بالتحكم الكامل في السجلات المتوفرة وكيفية تقديمها. وهذا يعني أن الأمر متروك لموفري الخدمات السحابية لتحسين جودة السجلات السحابية وتعزيز الأمان لقاعدة عملائهم.
والخبر السار هو أن هناك خطوات واضحة يمكن لمقدمي الخدمات اتخاذها. أولاً، يجب على موفري الخدمات السحابية العمل على توثيق الأحداث والحقول بدقة. سيساعد هذا في توفير رؤية واضحة لعمليات الإضافة والإزالة لعمليات السجل. يعد ضمان التسليم السريع للسجلات أمرًا مهمًا بنفس القدر لتوفير تحليل فعال للبيانات. من خلال اتباع هذه الممارسات، يمكن لمقدمي الخدمات السحابية تحسين قابلية الاستخدام والفعالية الشاملة للسجلات، وتعزيز رؤى أفضل وقدرات استكشاف الأخطاء وإصلاحها للمستخدمين.
استخدام الذكاء الاصطناعي لإبطال دوامة المزيد
في حين يجب على مقدمي الخدمات التركيز على تحديث السجلات السحابية لتحسين الكفاءة، يجب على المؤسسات أن تفعل ما في وسعها لتقليل مخاطر السحابة الخاصة بهم. على الرغم من أنه سيكون من الصعب دائمًا على المؤسسات التحكم في العوامل الخارجية مثل سطح الهجوم المتزايد، إلا أنها تستطيع التحكم في تأثير “دوامة المزيد” على فرق الأمان الخاصة بها.
وهذا يعني استخدام الذكاء الاصطناعي لتحسين وضوح الإشارة، مما سيقلل العبء على المحللين عند اكتشاف الهجمات والرد عليها سواء داخل الشركة أو في السحابة. سيضمن الوضوح الأفضل للإشارة قدرة الفرق على تحديد الهجمات الحقيقية وتحديد أولوياتها بدقة، مما يضع المؤسسات في أقوى موقف للدفاع عن نفسها ضد التهديدات الحديثة. ففي نهاية المطاف، كلما زادت فعالية إشارة التهديد، أصبح مركز العمليات الأمنية (SOC) أكثر مرونة وفعالية عبر الإنترنت، وهو أمر بالغ الأهمية في عالم يعتمد على السحابة بشكل متزايد.
مارك فوجتاسياك هو نائب الرئيس لتسويق المنتجات – البحث والاستراتيجية في فيكترا
