التحدي المتمثل في الالتزام بإطار الضعف الخاص بـ CISA
لقد أصبح من الصعب بشكل متزايد على المؤسسات الحفاظ على أمان أنظمتها. تستهدف التهديدات السيبرانية من الخصوم، بدءًا من مجرمي الإنترنت إلى الجهات الفاعلة التابعة للدولة، المؤسسات لسرقة البيانات أو طلب فدية. إحدى الطرق التي تستخدمها هذه الجهات الخبيثة بشكل متكرر هي استغلال نقاط الضعف، والتي تضاعف ثلاث مرات كنقطة دخول في عام 2023، تمثل الآن 14٪ من جميع الانتهاكات.
ويأتي هذا الارتفاع في استغلال الثغرات الأمنية في وقت أصبح فيه التصحيح أكثر تعقيدًا من أي وقت مضى. ومع انتشار الأدوار المختلطة، تقوم فرق تكنولوجيا المعلومات بإدارة المزيد من الأجهزة، بما في ذلك تلك التي اشتراها الموظفون، في مواقع حول العالم.
للحصول على إرشادات حول التعامل مع هذه المخاطر، أنشأت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) إطارًا يسمى تصنيف نقاط الضعف الخاصة بأصحاب المصلحة (SSVC). يهدف SSVC إلى مساعدة المؤسسات على تحديد أولويات معالجة نقاط الضعف بناءً على تأثير استغلالها عليها. وعلى الرغم من أن الإطار تم إنشاؤه للاستخدام من قبل المنظمات الحكومية – التي تعاني في كثير من الأحيان من نقص الموارد – إلا أنه بمثابة أساس جيد لأي كيان يحتاج إلى تحديد أولويات نقاط الضعف لديه.
عندما تستخدم المؤسسات شجرة اتخاذ القرار SSVC، سيكون لديها ثلاث نتائج محتملة لتحديد الخطوة التالية لثغرة أمنية معينة. هذه النتائج هي:
-
المسار: سيتم رصد الثغرة الأمنية المحتملة.
-
الحضور: يتدخل المشرفون، إما بطلب المزيد من المعلومات أو نشر إشعار.
-
التصرف: يجتمع القادة مع المجموعات الداخلية مثل فرق تكنولوجيا المعلومات والأمن لتحديد الاستجابة وتنفيذها.
يعد SSVC إطارًا جيدًا لأنه يحدد بوضوح جميع القرارات التي يتعين على القادة اتخاذها لتحديد نقاط الضعف التي يجب تحديد أولوياتها. ويطرح أسئلة مثل ما يلي: هل يتم استغلال الثغرة الأمنية بشكل نشط؟ هل هذا الاستغلال قابل للتشغيل الآلي أو يحتمل أن يكون قابلا للتشغيل الآلي؟ ما هو تأثير الثغرة الأمنية على أنظمتك؟
إن تحديد هذه الإجابات سيساعد المؤسسات على تحديد الخطوات التي يجب اتخاذها بعد ذلك. قول ذلك أسهل من فعله.
مع وجود الكثير من نقاط البيانات والتقارير البحثية التي يجب قراءتها للبدء في الإجابة على هذه الأسئلة، ليس من الممكن القيام بذلك يدويًا، وقد يظل ذلك يمثل تحديًا حتى مع التشغيل الآلي الأساسي. وحتى ذلك الحين، يمكن أن تكون النتائج غير متسقة. لذلك، في حين أن SSVC يعمل بشكل جيد كإطار عمل، إلا أنه لا يوضح كيف يمكن للمؤسسة تحديد أولويات نقاط الضعف لديها بشكل واقعي. هذا هو السبب.
الصوامع، ونقص الموظفين والموارد
العقبة الأولى التي تقف في طريق أي منظمة تتبع إطار عمل SSVC هي الأقسام المشتركة بين فرق تكنولوجيا المعلومات والأمن. في حين أن كل فريق مكرس لحماية أمن المنظمة، فإن أولوياتهم تختلف. يتعامل الأمان عادةً مع البحث عن التهديدات وتحديد أولوياتها، بينما يصدر قسم تكنولوجيا المعلومات التصحيحات ويضمن عدم تعطيل العمليات العادية.
إن القدرة على تنفيذ إطار عمل SSVC بكفاءة تتطلب فريقًا ذكيًا يمكنه التعامل مع إدارة الثغرات الأمنية بدءًا من مرحلة الاكتشاف وحتى مرحلة العلاج. لسوء الحظ، غالبًا ما يواجه هذا المثل الأعلى احتكاكًا في العالم الحقيقي. غالبًا ما تواجه فرق تكنولوجيا المعلومات والأمن المنتشرة بالفعل تحديات اتصال تجعل العملية المبسطة صعبة.
التحدي التالي هو نقص الموظفين. بينما زاد عدد المتخصصين في مجال الأمن السيبراني في المؤسسات الكبيرة 15% عن العام السابق، لا يزال موظفو الأمن السيبراني مرهقين. دراسة واحدة وجدت أن أكثر من 70% من المتخصصين في مجال الأمن السيبراني يعملون بشكل متكرر في عطلات نهاية الأسبوع لإدارة المخاوف الأمنية لمؤسساتهم.
بشكل عام، غالبًا ما يعيق نقص الموارد اعتماد إطار معالجة الثغرات الأمنية مثل SSVC. وبينما يعلم القادة أنه ينبغي عليهم القيام بالأشياء بشكل أسرع، فإن الطبيعة الفعلية لتحديد أولويات نقاط الضعف غالباً ما تقف في طريقهم. هناك عدد كبير جدًا من نقاط الضعف التي يمكن البحث عنها يدويًا خلال إطار زمني قصير للحصول على أي شيء يقترب من الإطار الذي وضعته CISA.
الأتمتة ولوحات المعلومات المشتركة تساعد في تحديد الأولويات
كما هو موضح أعلاه، يتطلب متابعة SSVC وجود موظفين مناسبين يعملون بشكل متناغم بالإضافة إلى الموارد اللازمة لتحقيق ذلك على أرض الواقع. عندما يكون الوقت عنصرًا أساسيًا، لا يمكن لفرق تكنولوجيا المعلومات والأمن المخاطرة بالتباطؤ وإضاعة الوقت ذهابًا وإيابًا لتنسيق العمل.
إذًا، من أين نبدأ؟ هناك عدد من الطرق التي يمكن للمؤسسات من خلالها مواكبة إطار عمل SSVC، بما في ذلك دمج إدارة الثغرات الأمنية مع أتمتة التصحيح. يمكن أن يساعد الحل الذي يوحد هذه العمليات المنعزلة عادةً المسؤولين على تصحيح الثغرات الأمنية بشكل أكثر كفاءة من خلال منح المسؤولين القدرة على عرض تقدم معالجة الثغرات الأمنية في الوقت الفعلي، والإبلاغ عن حالتهم عبر لوحات المعلومات، وتحديد أولويات الثغرات الأمنية المهمة تلقائيًا.
تعمل لوحات المعلومات المشتركة على وجه الخصوص على تمكين المؤسسات من مراقبة نقاط الضعف بشكل مستمر بناءً على القواعد التي تحددها وتمنح جميع الأطراف نفس الرؤية لهذه الرؤى. يمكن لفرق تكنولوجيا المعلومات والأمن تلقي إشعارات عند نشر التصحيحات المهمة، حتى يتمكنوا من مراقبة النجاح والتحكم في عمليات التشغيل الآلي إذا لزم الأمر. يمكن أن يقدم القادة الفنيون للمؤسسة الموافقات بناءً على عمليات النشر الاختبارية، وكل ذلك ضمن نفس النظام الأساسي. وفي حالة تداخل التصحيح مع أنظمة المؤسسة، يمكنهم التراجع عنه. السرعة والتحكم هما اسم اللعبة.
الأفكار النهائية
قد يبدو اتباع إطار عمل CISA لتحديد الأولويات بمثابة مهمة مستحيلة، ولكن الحلول المستقلة الصحيحة تجعل ذلك حقيقة واقعة من خلال تمكين تكنولوجيا المعلومات والأمن من التتبع والحضور والتصرف بالوتيرة التي تتطلبها بيئة التهديدات الحالية.