مركز أبحاث الأمن: استعادة الثقة المفقودة من خلال العمل بذكاء
في المؤسسة النموذجية، يتم تقسيم المسؤوليات على النحو التالي: يقوم فريق تكنولوجيا المعلومات بتشغيل أنظمة تكنولوجيا المعلومات ويقوم فريق الأمن بتشغيل أنظمة الأمنقد لا يكون هناك أي خطر من تأثير أنظمة الأمان على أنظمة تكنولوجيا المعلومات حتى يتم تشغيل أدوات الأمان على أجهزة المستخدم النهائي والخوادم وعناصر نشطة في الشبكة (سيتفق معي مسؤولو جدار الحماية، حيث يتلقون الكثير من الحزن غير المبرر من فرق تكنولوجيا المعلومات بأن “جدار الحماية يبطئ الأمور”).
من بين أدوات الأمان التي قد يكون لها تأثيرات محتملة على الأنظمة التي تديرها تكنولوجيا المعلومات هي برامج التشغيل المرتبطة بنواة البرامج الضارة. ومع تحسين الجهات الفاعلة في التهديد الإلكتروني لهجماتها، تتحسن أيضًا قدرات أدوات مكافحة البرامج الضارة. لأداء وظيفتها بكفاءة، يُسمح لهذه الأدوات بالوصول إلى مستويات أعمق من أنظمة التشغيل والتطبيقات. وهنا تنشأ القضايا الفنية والمسؤولية وإدارة الحوادث. لحل هذه القضايا، يجب على فرق تكنولوجيا المعلومات والأمن العمل معًا، وليس ضد بعضها البعض.
خذ أداة أمان تتطلب تشغيل جزء من البرنامج (وكيل/خدمة/برنامج تشغيل النواة) على أنظمة تديرها تكنولوجيا المعلومات، سواء كانت أجهزة كمبيوتر أو خوادم للمستخدم النهائي. لا يمكن لفريق الأمان ولا ينبغي له أن يطلب من فريق تكنولوجيا المعلومات تثبيت البرنامج المذكور على أنظمته، مع الوثوق بشكل أعمى في فريق الأمان بأن “هذا البرنامج آمن”.
بدلاً من ذلك، يجب على فريق تكنولوجيا المعلومات الإصرار على التبرير الصحيح واختبار تأثير الأداء. يجب إجراء تقييم لكيفية تأثير هذه الأدوات، التي يديرها فريق الأمان، على أداء فريق تكنولوجيا المعلومات. أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPOs) العقد بين فريق تكنولوجيا المعلومات وبقية الشركة.
ولسوء الحظ، وبناءً على تجربتي وتحليل أكبر حادث تكنولوجيا معلومات تسبب فيه شركة أمنية حتى الآن، فإن العديد من الشركات، حتى في الصناعات الخاضعة للتنظيم، فشلت في القيام بذلك.
ربما تتذكر تلك الشركات التي، حتى بعد أيام من قامت CrowdStrike بتوزيع تحديث قناة معيب وأصدرت إصلاحًا بعد بضع ساعات، ولم تتمكن من استئناف العمليات العادية. خطوط دلتا الجوية على سبيل المثال، بينما استعادت جميع شركات الطيران الأمريكية الأخرى عملياتها في غضون يومين من توفر الإصلاح، لم تتمكن دلتا من العمل لمدة خمسة أيام. وفقًا لمنشور مدونة CrowdStrike، فإن اللوم على عدم الاستعادة في الوقت المناسب يقع على عاتق فرق تكنولوجيا المعلومات والأمن في CrowdStrike.
في حين أنني لا أدعو إلى تقليل حصة CrowdStrike من اللوم، فإنني أزعم أن الفشل في استئناف العمليات بمجرد توفر الإصلاح، يمثل فشل فرق تكنولوجيا المعلومات والأمن في المنظمات المتضررة.
الهدف الأساسي لفريق تكنولوجيا المعلومات هو تقديم قيمة تجارية من خلال التأكد من توفر أنظمة تكنولوجيا المعلومات الضرورية وأدائها ضمن المعايير المتفق عليها، في حين أن الهدف الأساسي لفريق الأمن هو تقليل احتمالية التأثير المادي بسبب حدث إلكتروني. لم يكن CrowdStrike حدثًا إلكترونيًا؛ بل كان حدثًا في تكنولوجيا المعلومات تسبب فيه أحد موردي الأمن. تحدث أحداث مماثلة بسبب أخطاء Microsoft كل عام.
لا مفر من أن يؤدي عدم الاستعداد لاستعادة العمليات الطبيعية ضمن أوقات العودة إلى العمل وأوقات إعادة التشغيل المتفق عليها إلى تشويه سمعة فريق تكنولوجيا المعلومات والأمن في كتب المسؤولين التنفيذيين لوظائف الأعمال الأخرى.
من الصعب استعادة الثقة والسمعة المفقودة. كصناعة علينا أن نتعلم من هذا وأن نعمل بذكاء أكبر.
وفيما يلي ثلاثة دروس مستفادة من هذه الحادثة التي حددت عصرنا:
- التركيز على اختبار الاسترداد بناءً على RTO وRPO المتفق عليهما. يجب على فرق الأمان أن تصر على أن يقوم فريق تكنولوجيا المعلومات بإجراء اختبار الاسترداد الذي يغطي السيناريوهات التي تجعل فيها أداة الأمان نظام التشغيل غير قابل للتمهيد.
- يجب على مسؤولي المعلومات ومديري أمن المعلومات التحدث بشكل مشترك مع بقية المديرين التنفيذيين للشركة وشرح الحاجة إلى أدوات أمنية متخصصة ولكن أيضًا ضمانات بأن الاسترداد الذي تم اختباره يقع ضمن المعايير المتفق عليها (على سبيل المثال، RTOs وRPOs).
- التعاون مع المستشار القانوني للشركة وقسم المشتريات لمراجعة عقود البائعين الأمنيين وتحديد المزايا غير العادلة التي ضمنها البائعون في العقود فيما يتعلق بالتعويضات بسبب أخطائهم في تقديم الخدمة.