شركة أبحاث مستقلة هولندية TNO يعمل مع المركز الوطني للأمن السيبراني (NCSC) للتحقيق في المواضيع والتطورات المستقبلية ذات الصلة بالمركز الوطني للأمن السيبراني ودائرته الانتخابية.
وكجزء من ذلك، طُلب تقييم كيفية مراكز العمليات الأمنية سوف تتطور في المستقبل القريب وما هي الاتجاهات التي ستؤثر عليها. والنتيجة هي تقرير يقدم مخططًا للتطورات المستقبلية. SOC المستقبل.
بالتعاون مع زملاء آخرين، باحثو TNO ريندر وولثويس و ريتشارد كيركديك أجرى فريق من الباحثين مقابلات مع كبار مسؤولي أمن المعلومات ومديري مراكز العمليات الأمنية وأصحاب المصلحة الآخرين لتحديد الشكل الذي سيبدو عليه مركز العمليات الأمنية في عام 2030. وقال وولثويس: “أحد الاستنتاجات الرئيسية هو أنه من المحتمل أن يكون هناك عدد أقل بكثير من مراكز العمليات الأمنية بحلول ذلك الوقت لأن الحفاظ على تشغيل مركز العمليات الأمنية سيكون معقدًا ومكلفًا”.
“نتوقع أن تقوم العديد من المنظمات بالاستعانة بمصادر خارجية لعمليات مركز العمليات الأمنية الخاصة بها لمقدمي خدمات الأمن المدارة [MSSPs] وأضاف أن “المنظمات التي لديها ملف مخاطر محدد فقط – على سبيل المثال، الشركات في الصناعات الحيوية أو تلك التي لديها بنية تحتية تقنية محددة للغاية – ستظل قادرة على تبرير إنشاء مركز عمليات أمنية داخلي”.
“المراكز الوطنية للاستجابة لطوارئ الحاسبات” [computer emergency response teams] واقترح كيركديك أن “على سبيل المثال، يمكن للمركز الوطني للأمن الإلكتروني الهولندي أن يدعم هذا المسعى من خلال توفير أدلة تشغيلية محددة مسبقًا أو قوالب أدلة تشغيلية للتهديدات المعروفة”.
وسوف يصبح التعاون وتبادل المعلومات أكثر أهمية في السنوات القادمة، سواء من جانب الحكومة أو داخل القطاعات. وقال وولثويس: “هذا اتجاه آخر نراه في هولندا، وهو إنشاء مراكز عمليات أمنية قطاعية”.
من المحتمل أن يكون هناك عدد أقل بكثير من مراكز العمليات الأمنية بحلول عام 2030 لأن الحفاظ على تشغيل مركز العمليات الأمنية سيكون معقدًا ومكلفًا
رايندر وولثويس، TNO
“قد تبرم مثل هذه الأطراف القطاعية اتفاقيات إطارية مع مقدمي خدمات الأمن المدارة الذين يقدمون لجمهورهم إمكانية الوصول بسهولة إلى خدمات العمليات الأمنية. وبهذه الطريقة، يمكنك الجمع بين المعرفة الخاصة بالقطاع والخبرة في مجال الأمن السيبراني.”
في حين أن العديد من مراكز العمليات الأمنية لا تزال حاليًا مجهزة بمحللين من الخط الأول والثاني وأحيانًا حتى من الخط الثالث، يتوقع الباحثون أن يختفي هذا الإعداد في المستقبل. قال كيركديك: “هذا لا يعني أن هناك حاجة إلى عدد أقل من الأشخاص. ومع ذلك، فإن زيادة الأتمتة ستخفف من عبء المحللين الحاليين من المهام الروتينية المتكررة وتسمح لهم بتحويل انتباههم إلى مهام أكثر تعقيدًا”.
وتعني الأتمتة واسعة النطاق أيضًا ضرورة صيانة حلول الأتمتة المختلفة في مركز العمليات الأمنية، لذلك “ستكون هناك مهمة هندسية جديدة لتحسين كل هذه الحلول”، كما قال كيركديك.
ومن بين التطورات المهمة المرتبطة بهذا الأمر أن مراكز العمليات الأمنية سوف تصبح أكثر استباقية وقادرة على التنبؤ في السنوات القادمة. وقال وولثويس إن هذا أيضاً سوف يتطلب أدواراً مختلفة في مراكز العمليات الأمنية.
التركيز على الهجمات المتقدمة
وأشار الباحثون إلى أن هذه الأدوار المتغيرة لموظفي مركز العمليات الأمنية يجب أن تؤخذ في الاعتبار أيضًا في ضوء مشهد التهديد المتغير.
وحذر وولتهوس من أنه “نظراً للوضع الجيوسياسي، هناك تركيز متزايد على الهجمات التي ترعاها الدول، وهي الهجمات التي تبدأها حكومات البلدان وعادة ما تكون ناجمة عن طموحات جيوسياسية”.
“بالإضافة إلى ذلك، لا تزال المنظمات الإجرامية الكبيرة التي تركز على تحقيق أرباح غير مشروعة نشطة رقميًا. ونتوقع أن يكون التركيز أكثر على هذه الأنواع من التهديدات وأقل على تلك التي يرتكبها الأطفال المهووسون بالبرمجيات الخبيثة أو المتسللون الأخلاقيون الذين يمارسون ذلك من أجل الإثارة والاستفادة من الأدوات القياسية وتقنيات الهجوم. وسوف يركز مركز العمليات الأمنية في المستقبل بشكل أكبر على الهجمات المتقدمة، حيث يتم اكتشاف التهديدات القياسية وحلها من خلال تكنولوجيا المعلومات القوية والأتمتة.”
وعلاوة على ذلك، قد يخفف الأتمتة الشاملة إلى حد ما الضغوط على سوق العمل. ويقول كيركديك: “ستكون القوى العاملة النادرة من خبراء الأمن السيبراني مكرسة للأشياء التي لا يمكننا أتمتتها. وبهذه الطريقة، تحصل على أقصى عائد من موظفيك مع ضمان قدرتهم على القيام بأعمال صعبة”.
ومن التطورات الأخرى التي لاحظها الباحثون انتقال الكثير من البنية الأساسية إلى السحابة. وقال وولثويس: “هذا له عواقب على ما يمكنك مراقبته وكيفية مراقبته لأنك تعتمد على مقدمي الخدمات السحابية. ومن ناحية أخرى، فإن له مزايا أيضًا لأنه لديك بنية أساسية موحدة ومشهد تكنولوجي أقل تنوعًا. وبالتالي، تصبح المراقبة أسهل، ومثل هذه البيئة الموحدة تلائم بشكل جيد التخفيف الآلي من الحوادث”.
ويعتقد وولثويس أن الدول الأوروبية الأخرى يمكنها أن تتعلم شيئاً من هولندا فيما يتعلق بإنشاء مركز العمليات الأمنية وأن تتطلع إلى المستقبل. وقال: “نحن نقود الطريق بشكل جيد إلى حد معقول بهذا النوع من التطوير في أوروبا. ولكن من الأهمية بمكان أن نتعاون بشكل أوثق في مجال الأمن على المستوى الأوروبي”.
ويعتقد أن بعض شركات خدمات الأمن المدارة الحالية في السوق سوف يتم الاستحواذ عليها من قبل شركات خدمات تكنولوجيا المعلومات الكبيرة القادرة على تقديم مركز عمليات أمنية مُدار لعملائها. وقال: “من الأهمية بمكان أن نضمن أنه في مثل هذه الإنشاءات، لا تنتهي جميع شركات خدمات الأمن المدارة الأوروبية في أيدي الولايات المتحدة، على سبيل المثال. وهذا يجعلنا عُرضة للخطر بشكل خاص واعتمادًا على الولايات المتحدة”.
وفي هذا السياق، يرى الباحثون أن هناك مهمة تقع على عاتق الحكومات والاتحاد الأوروبي. ويقول كيركديك: “يتم بالفعل تبادل الكثير من المعرفة على المستوى الأوروبي، على سبيل المثال، من قبل وكالة الأمن السيبراني الأوروبية ومركز الكفاءة الأوروبي للأمن السيبراني. ولكن يتعين علينا أن نحذر من أن يصبح المشهد مجزأ للغاية. ومن الجيد أن يتم تطوير المبادرات. ومع ذلك، فإن الترشيد أمر مرغوب فيه أيضًا على المستوى الأوروبي حتى يظل من الواضح من هو المسؤول عن ماذا وماذا يمكن للمنظمات أن تتوقعه وما ينبغي لها أن تتوقعه”.
مخطط مركز العمليات الأمنية المستقبلي
يصف التقرير الذي أعده باحثو TNO نتيجة لأبحاثهم مخططًا لمركز العمليات الشمسية في المستقبل. هذا المخطط استفزازي بعض الشيء عمدًا.
وأوضح وولثويس: “لقد أخذنا بعض الأمور إلى أقصى الحدود. ربما تتحرك التطورات بشكل أبطأ مما نتوقعه حاليًا، لكننا مقتنعون بأن مركز العمليات الأمنية كما نعرفه اليوم سيكون مختلفًا تمامًا في النهاية. إن التوظيف، وهو الهدف الأساسي، أكثر استباقية. ستكون منظمة مختلفة تمامًا”.
وقال إن مراكز العمليات الأمنية الحالية قد لا تتعرف على نفسها بعد في هذه الصورة المستقبلية. ومع ذلك، وفقًا لـ TNO، سيحتاج مديرو أمن المعلومات ومراكز العمليات الأمنية إلى قبول التغيير لأن التطورات العالمية تتطلب ذلك.
وقال كيركديك: “إذا أردنا تحقيق مستوى عالٍ من الأتمتة بحلول عام 2030، فيجب أن نبدأ هذا التحول الآن”.
ويتوقع الباحثون أن المنظمات التي تصر على الحفاظ على عمليات مركز العمليات الأمنية التقليدية التي يقودها الإنسان سوف تصبح أقل فعالية في إدارة الحوادث الأمنية، وبالتالي، أكثر عرضة للوقوع ضحية للهجمات الإلكترونية. وقالوا: “المهاجمون يستخدمون الأتمتة أيضًا – بصفتك مدافعًا، لا يمكنك ببساطة أن تتخلف عن الركب”.
