تستمر المؤسسات في تعزيز وضع الأمن السيبراني الخاص بها من خلال التقنيات الجديدة وكميات أكبر من تدريب الموظفين، لكن الانتهاكات لا تزال تحدث، وغالبًا ما يكون ذلك بسبب خطأ بشري. على الرغم من أن الحاجة إلى أمان نقطة النهاية واضحة، إلا أن هذا ليس سوى جزء من اللغز.
في الواقع، يقول مدراء تكنولوجيا المعلومات أن الأشخاص يمثلون أحد أكبر تحديات الأمن السيبراني. تؤدي الأخطاء غير المقصودة، ونقص المعرفة بالأمن السيبراني، والتكوينات الخاطئة والهفوات اللحظية إلى ظهور حوادث الأمن السيبراني التي كان من الممكن منعها أو التقليل منها.
على سبيل المثال، لا تزال تكنولوجيا معلومات الظل شائعة لأن المستخدمين يحبون الراحة التي توفرها خدمات التخزين السحابية وتطبيقات SaaS، ولكن يمكن أن يكون لهذه الحلول تأثير سلبي على الوضع الأمني للمؤسسة. وبالمثل، تنتقل المؤسسات إلى المنصات السحابية من أجل الراحة.
يقول ستيف كوب، كبير مسؤولي أمن المعلومات في شركة تصنيفات الأمن السيبراني والاستجابة والمرونة: “أعتقد أننا بحاجة إلى أن نضع في اعتبارنا أن الراحة لا تعني دائمًا الأمان”. بطاقة الأداء الأمني. “أعتقد أننا بحاجة إلى أن نكون مدركين تمامًا للمبادئ الأمنية التي يتم تطبيقها في البيئة السحابية. أشياء مثل الوصول المستند إلى الأدوار، والامتيازات الأقل، والسماح للأشخاص في المؤسسة بالقدرة على القيام بأشياء قد تشكل خطرًا علينا، مثل إنشاء جهاز كمبيوتر أو خادم وتعريضه للإنترنت، أو إضافة خدمات مكشوفة للعامة، أو إنشاء حاوية التخزين التي نضعها فيها والتي تكون مكشوفة للجميع على الإنترنت بشكل افتراضي.
يتطلب تحقيق ذلك فهم مبادئ الأمان في البيئة السحابية والترابط الافتراضي بين الأنظمة الأساسية.
“نظرًا لأن الأساس الذي تقوم عليه البنية التحتية لهذه البرامج السحابية ليس شيئًا نديره كمستهلكين، فإننا ندخل أيضًا في الجانب الذي لا نعرفه حقًا، وهو خصوصيات وعموميات تلك المنصة. يقول كوب: “في بعض الأحيان، قد يكون لاتخاذ قرار واحد وتكوين واحد عواقب لم نفكر فيها، أو ربما لم نكن نعرف عنها”. “تحتاج المنظمة حقًا إلى شخص يتمتع بخبرة كبيرة من وجهة نظر البنية الأمنية.”
ستيف كوب، بطاقة SecurityScorecard
ثيو برازيل، رئيس أمن المعلومات ومدير العمليات في شركة الأمن السيبراني أسبر، يحذر من أنه في حين أن العديد من المؤسسات تخصص ميزانيات كبيرة للحلول التقنية، فإن نقص وعي المستخدم يمكن أن يقوض حتى الدفاعات الأكثر تقدمًا.
“[These security holes] “إنها صعبة لأنها تنطوي على قيود تقنية وسلوك بشري، وتتطلب مزيجًا من الحلول التكنولوجية المتقدمة – مثل الأتمتة، والذكاء الاصطناعي للكشف عن الحالات الشاذة، وهياكل الثقة المعدومة – وتحسين الحوكمة والتدريب والرقابة الإجرائية للتخفيف بشكل فعال”. البرازيل في مقابلة عبر البريد الإلكتروني.
يجب على CISOs التحقق من أن الأدوات التي يحصلون عليها ويستخدمونها تفعل ما يزعمون أنها تفعله، وإلا قد تكون هناك مفاجآت.
وفي الوقت نفسه، تتعرض البيانات والملكية الفكرية للخطر لأنه من السهل جدًا الاشتراك في الخدمات السحابية التابعة لجهات خارجية وSaaS واستخدامها، بحيث لا يربط المستخدمون العاديون استخدام بياناتهم بالمخاطر التنظيمية.
“المستخدمون الذين يرسلون مشكلات صيغة جدول البيانات إلى نماذج المساعدة عبر الإنترنت قد يشاركون عن غير قصد بيانات الشركة. يقول روجر غرايمز، مبشر الدفاع القائم على البيانات في التدريب على التوعية الأمنية ومنصة التصيد الاحتيالي: “قد يفعل الأشخاص الذين يستخدمون أدوات التدقيق النحوي في رسائل البريد الإلكتروني أو المستندات الشيء نفسه”. كنو بي4 في مقابلة عبر البريد الإلكتروني. “من السهل جدًا على أي شخص يستخدم أداة تدعم الذكاء الاصطناعي ألا يدرك أنه يقوم عن غير قصد بتسريب معلومات سرية خارج بيئته التنظيمية.”
ما الذي يمكن للممثلين السيئين رؤيته بالضبط؟ يرغب مدراء أمن المعلومات (CISOs) في المعرفة، لذا فهم يقومون ببناء علاقات داخلية تتيح لهم رؤية المشكلات الأمنية المحتملة واستخدام منصات إدارة الأصول لفهم نطاق الأصول التي يحتاجون إلى حمايتها.
“[Y]يجب أن يكون لديك تلك النظرة الخارجية. يقول جوناثان فاولر، كبير مسؤولي أمن المعلومات في حلول التكنولوجيا القانونية ومزود الخدمات القانونية للمؤسسات: “ما الذي يمكن أن يراه الخصوم أو المهاجمون المحتملون في بيئة مؤسستي، وآمل أن أتمكن من التقاط الأشياء قبل أن يتمكنوا من ذلك”. كونسيليو. “إذا تمكنت من فعل ذلك، فيمكنني البدء في سد بعض تلك الثقوب قبل أن يرونها، والبدء في استخدامها لمحاولة الدخول”.
اعرف ما لديك
من المهم أن يكون لدى CISOs المعرفة والرؤية لكل الأصول الموجودة في مجموعة التكنولوجيا الخاصة بشركتهم، على الرغم من أن بعض CISOs يرون مجالًا للتحسين.
يقول فاولر: “إنك تنفق الكثير من الوقت والمال على الأشخاص والعمليات والتكنولوجيا لتطوير نهج أمني متعدد الطبقات ودفاع متعمق، وهذا لن ينجح إذا كنت لا تعلم أن لديك ما تدافع عنه هناك”. “إنني أسمع ذلك باستمرار في المؤتمرات: “إننا كممارسين في مجال الأمن نكافح من أجل الحصول على جرد دقيق لبيئاتنا”. وهو ليس نشاطًا ضارًا”.
تكمن المشكلة في التشتيت: فالعمل التجاري يعمل بسرعة خفيفة ويسير في اتجاهات عديدة ومختلفة بحيث قد يتم التغاضي عن الثغرات الموجودة في المحيط أو البيئة.
“[W]إننا ننفق الكثير من المال كصناعة على المنصات التي ستقوم بمسح بيئتك بأكملها وستخبرك بكل شيء موجود، مع التأكد من عدم تفويت أي شيء. يقول فاولر: “كن هادئًا”. “حسنًا، هذا رائع، ولكن هناك مجموعة أعمال كاملة لم أكن أعلم بوجودها حتى تطلب منك إجراء مسح ضوئي أو تعيين وكيل. إنه أمر محبط في بعض الأحيان، وأعتقد أن إحدى الطرق التي يمكنك من خلالها المساعدة في دعمه، [is having] التكنولوجيا الجيدة في المكان [and] علاقات عمل جيدة.”
جوناثان فاولر، كونسيليو
لكن CISOs لا يتمتعون بالرؤية التي يحتاجون إليها، وفقًا لكوب من SecurityScorecard.
“[W]نحن بحاجة إلى الرؤية عبر تلك المنصات حتى نتمكن من رؤية كل ما يحتمل أن يكون موجودًا ومعرضًا للخطر. لا أعرف أي أدوات تقوم بعمل رائع في هذا الوقت الآن. يقول كوب: “إنها تتحسن، وأعتقد أننا ننضج من وجهة نظر أدوات الأمان السحابية، ولكن لا تزال هناك بعض الثغرات في التقنيات”. “أعتقد أن التقنيات هي المفتاح حقًا بالنسبة لنا لفهم كيف يفكر المهاجم عندما يهبط في بيئة سحابية، لفهم ما نحتاج إلى تأمينه وحمايته.”
الثقة المعدومة ليست رصاصة فضية
تعد الثقة المعدومة أمرًا حيويًا، لكن فعاليتها تختلف بشكل كبير. يضع بعض البائعين المنتجات على أنها ذات ثقة معدومة عندما تكون في الحقيقة عبارة عن جدار حماية أو VPN. والأسوأ من ذلك أنه ليس لدى الجميع نفس تعريف “الثقة المعدومة”.
“[W]عندما تنظر إلى تقارير الانتهاك، وإذا عدت ونظرت إلى الحوادث مرة أخرى، فستجد أن لديك الكثير من الشركات التي حددت جميع المربعات، وهم يعيشون في شبكة منعدمة الثقة، لكنهم لم ينفذوا ذلك حقًا يقول كوب من Security Scorecard: “كل الإمكانيات التي نعتبرها بمثابة انعدام الثقة، وبالتالي كانت هناك فجوات”.
يمثل استرداد الحساب تحديًا لأن المستخدمين النهائيين يريدون الراحة، وغالبًا ما تتعارض الراحة مع الأمان. آرون بينتر، الرئيس التنفيذي لشركة التحقق من الهوية علامة الاسم، يقول إن أقسام المساعدة وخدمة العملاء تمثل مشكلة لأن الشركات تتجاهل عمليات إعادة التعيين الخلفية للمصادقة متعددة العوامل (MFA) وتثق كثيرًا في الأدوات والعمليات الحالية.
“يضع مدراء تكنولوجيا المعلومات ثقتهم في الأسئلة الأمنية، ومراقبة مشرف خدمة العملاء، واستخدام مكالمات Zoom للتحقق المرئي لمنع هجمات الهندسة الاجتماعية في مكتب المساعدة. يقول بينتر في مقابلة عبر البريد الإلكتروني: “إنها ثغرة أمنية هائلة لا يزال يتم استغلالها من قبل الجهات الفاعلة السيئة يوميًا”. “يتعرض مدراء تكنولوجيا المعلومات لدينا لضغوط من الرئيس التنفيذي، ومجلس الإدارة، ومكتب التحقيقات الفيدرالي، ووزارة الصحة، حيث يقدمون جميعًا إرشادات تشتد الحاجة إليها، ولكنها غالبًا ما تكون قصيرة النظر للدفاع ضد هذه الهجمات الإلكترونية المعقدة. لا شيء مضمون. وطالما أننا نواصل الإيمان بالأسطورة القائلة بأن أسلوب التمويل الأصغر آمن بنسبة 100%، فإننا نترك شركاتنا وحساباتنا المصرفية مفتوحة على مصراعيها أمام الجهات الفاعلة السيئة لاستغلالها أثناء عملية إعادة تعيين الحساب.
يجب على CISOs تنفيذ التقنيات المتقدمة التي تتضمن الذكاء الاصطناعي، والتشفير المحمول، والتعلم الآلي، والتعرف على القياسات الحيوية المتقدمة لأنها ستكون بمثابة أدوات دعم حاسمة لمكاتب المساعدة في مجال تكنولوجيا المعلومات ووكلاء خدمات العملاء، مما يعزز قدرتهم على الحماية ضد الاحتيال ومنع مصادقة منتحلي الشخصية في المركز الأول.
الخط السفلي
يساعد التواصل بين الإدارات وعدد كبير من الأدوات المتاحة المؤسسات على حماية نفسها من الهجمات الإلكترونية، ولكن لا يوجد شيء فعال بنسبة 100%، ومن السهل خداع الأشخاص، وأصبحت الجهات الفاعلة السيئة أكثر تعقيدًا.
“تعود العديد من الانتهاكات إلى حقيقة أن بيانات اعتماد المستخدم قد تم اختراقها. لم يكن المهاجم مضطرًا إلى اختراق أي شيء، لقد قام فقط بتسجيل الدخول لأن لديه بيانات الاعتماد،” كما يقول كوب من SecurityScorecard. “يمكنك التأكد من أن لديك بعض المستخدمين الذين يختارون كلمة المرور نفسها لـ Netflix كما يفعلون لشبكة VPN الخاصة بالشركة.”
