مع استمرار ارتفاع عدد الثغرات الأمنية الشائعة في البرامج في المؤسسات الحديثة، فإن إرهاق التنبيهات ليس سوى أحد التحديات العديدة التي يتعين على فرق تكنولوجيا المعلومات مراعاتها. إن الإرهاق وإرهاق التنبيهات المقترن بنقص المواهب الوشيك يخلقان مزيجًا شريرًا يستمر في استنزاف وتقييد فعالية فرق الأمن.
في هذه الجلسة الرئيسية المؤرشفة، يكشف راشيل لوكيت، المؤلف والمدير التنفيذي السابق لتكنولوجيا المعلومات في شركات Pohlad، وجيسون كيكتا، مدير أمن المعلومات ونائب الرئيس الأول للمنتج في Automox، عن طرق تسخير قوة تقنيات الأتمتة الآمنة لمعالجة الحجم المتزايد من نقاط الضعف والتحديات المرتبطة بإرهاق التنبيهات ونقص الموارد بشكل استراتيجي.
كان هذا الجزء جزءًا من ندوتنا عبر الإنترنت المباشرة بعنوان “دليل مديري تكنولوجيا المعلومات للأتمتة لحل مشكلة نقص الموظفين في مكان العمل، وإرهاق التنبيهات، والمزيد”. وقد تم تقديم الحدث بواسطة InformationWeek في 14 أغسطس 2024.
فيما يلي نص الفيديو، وقد تم إجراء تعديلات طفيفة عليه من أجل الوضوح.
راشيل لوكيت: دعونا نتحدث عن هذا الرسم البياني والرسم البياني التالي الذي سنتناوله. يوضح الرسم البياني المشكلة التي نواجهها مع التنبيهات، وهذه تنبيهات مشروعة نحتاج إلى رؤيتها. كما يوضح الرسم البياني الحجم المتزايد للتنبيهات وكيف تساهم في الإرهاق. أخبرنا قليلاً عن هذا الرسم البياني هنا.
جيسون كيكتا: نعم، بالتأكيد. إذًا، يُظهر هذا التوقع الذي تم إعداده العام الماضي بشأن نقاط الضعف الشائعة في حزم البرامج والتي يتعين على العملاء التعامل معها. وكما ترى، من عام 2015 وحتى عام 2023، كان هناك ارتفاع هائل في هذه الثغرات.
الآن، هناك القليل من الفروق الدقيقة هنا. هذا لا يعني بالضرورة أن البرامج أصبحت أقل أمانًا. في الواقع، يعني هذا على الأرجح أننا كصناعة نتحسن في تحديد وفهم أهمية هذه الثغرات الأمنية.
في عام 2015، أستطيع أن أقول إن أغلب البرامج كانت أقل أمانًا مما كانت عليه في عام 2023، بالتأكيد. لكن الناس بدأوا يكتشفون هذه الأمور ويدركون أهميتها.
إنهم ينتجون تصحيحات لهم، وهذا لا يغير النتيجة النهائية لهذه المعادلة، وهي أن فرق تكنولوجيا المعلومات بحاجة إلى تصحيح هذه الثغرات الأمنية أو تغيير التكوين للتعامل معها.
يستمر هذا الحجم في الارتفاع وهو ضخم. إنه أمر مضحك، لأنه تنبأ عندما تم تقديم الشريحة، أنه في عام 2025 سنصل إلى 32000 CVE. حسنًا، لدينا الآن تجعد جديد تمامًا بدأ في يناير من هذا العام، وكما سترى في الشريحة التالية، نحن خارج الخريطة قليلاً.
لذا، ما حدث مع هذه الثغرات الأمنية هو أن البائعين أنتجوها، وأرسلوها إلى NIST، المعهد الوطني للعلوم والتكنولوجيا في واشنطن العاصمة. وهم يديرون قاعدة بيانات الثغرات الأمنية الوطنية NVD.
يقومون بتحليلها، وبعضها يتطلب تعديلًا، وبعضها الآخر يتم رفضه، ويصبح هذا هو العدد الحقيقي للثغرات الأمنية الشائعة التي يجب معالجتها كل عام.
حسنًا، لقد كانوا يعانون من نقص مزمن في الموارد، ويبدو أن بعض الأشخاص ربما تركوا الشركة لأنهم سئموا من نقص الموارد المزمن. ونتيجة لهذا، لديهم تراكم من الثغرات الأمنية التي لم يتم تحليلها حتى الآن.
إذن، ليس لدينا إحصاء رسمي على مستوى العالم، أليس كذلك؟ هذه هي قاعدة البيانات المعتمدة على مستوى العالم، ولا أحد لديه إحصاء رسمي لعدد حالات الاختراق الأمني الخطيرة التي شهدناها هذا العام.
اعتبارًا من شهر يوليو، بلغ عدد الطلبات المتراكمة 16000 طلب، ومن المتوقع أن يتجه هذا العدد نحو الارتفاع. أجرت شركة Fortress للأمن السيبراني تحليلًا مؤخرًا، ومن المتوقع أن يصل عدد الطلبات المتراكمة إلى 30000 طلب بحلول نهاية العام، وهو أمر مذهل.
لذا، ليس من الممكن أن نصل إلى 30 ألفًا ونكون متقدمين على هذا التوقع فحسب، بل إننا لا نعرف حتى ما إذا كانت هذه كلها ثغرات أمنية خطيرة، أو ما إذا كان يتعين رفض بعضها أو تعديلها. لقد أصبحنا خارج الخريطة تمامًا هذا العام. لذا، فمن ناحية، يعد هذا اتجاهًا جيدًا.
لقد أصبح البائعون يتعاملون مع الثغرات الأمنية الشائعة على نحو أكثر جدية. فهم يتعاملون معها بشكل أكثر عدوانية ويديرون برامج مكافأة الأخطاء، ويفعلون بشكل عام الأشياء التي ينبغي عليهم القيام بها. ولكن من الصعب علينا نحن البقية أن نتتبع ونحلل ونبني السياسات والاستراتيجيات اللازمة لإنجاز هذه التصحيحات.
رل: بالتأكيد، وأنت تعلم أن هناك حلًا مشتركًا لهذه المشكلة قيد المناقشة. لقد قرأت العديد من المقالات حول هذا الموضوع والتي تقول إن إحدى النصائح الرئيسية هي تناوب المسؤوليات.
إن الهدف من ذلك هو إشراك المزيد من الأشخاص في المشكلة وتدوير أشخاص مختلفين حتى تتمكن مجموعة جديدة من العيون من النظر إليها. وهذه العيون لا تتعب من التنبيهات ويمكنها التعامل مع هذه الأشياء ومعالجتها على النحو المناسب.
لكن المشكلة تكمن في أن الأمر يعتمد على توافر المزيد من الموارد، وأقول المزيد من الأجساد التي يمكن استخدامها لحل المشكلة. ولكن لا يمكن أن تكون الأجساد الدافئة فقط هي الحل، بل لابد أن تكون هناك موارد ماهرة.
لذا، فإن هذا ليس حلاً مستدامًا على المدى الطويل في حد ذاته. ثم أضف إلى ذلك حقيقة أن لدينا هذا الاتجاه الصناعي الآخر الذي يجعل القيام بذلك أكثر صعوبة إذا كان الحل مستدامًا. هذا الاتجاه هو نقص موارد التكنولوجيا، التي ذكرتها للتو، وحتى الموارد اللازمة لتحليل هذه التقارير الواردة.
حسنًا، لدي بعض التفاصيل أو الإحصائيات هنا حول نقص القوى العاملة، وفقًا لشركة جارتنر. قبل عامين في عام 2022، كانت 50% من الوظائف الشاغرة في مجال التكنولوجيا مفتوحة لمدة ستة أشهر أو أكثر، وبالطبع توقعوا أن يستمر هذا الاتجاه، وأعتقد أنه استمر بالفعل.
كما يقول 58% من العاملين في مجال تكنولوجيا المعلومات إنهم يعانون من الإرهاق الوظيفي، ويقول 89% منهم إنهم يرغبون في ترك العمل. إذن، هناك معدل دوران مرتفع للعمالة ناتج عن الإرهاق الوظيفي الذي نتحدث عنه.
