في الأمن السيبراني ، نسب العديد من المعاني ذات الصلة ولكن المتباينة إلى عبارة “الأعلام الحمراء”. هذه العبارة لها جذور في الاحتيال والتأمين ، والتي شاعها FTC كجزء من قاعدة الأعلام الحمراء لعام 2003 بموجب قانون المعاملات الائتمانية العادلة والدقيقة التي تتطلب من مصدري الائتمان بناء برامج تكتشف سرقة الهوية من خلال علامات التحذير من الاحتيال.
في بعض السياق ، تعتبر الأعلام الحمراء الإلكترونية هي علامات التحذير الصارخة على أن هناك شيئًا ما يحدث بالفعل بشكل خاطئ أو مفقود ، مثل تنبيه من نظام الكشف عن التسلل ، أو مؤشر ترشيح البيانات ، أو فجوة التحكم في المخاطر والامتثال. نظرًا لأن هذه الإشارات غالباً ما تندرج تحت وظيفة الكشف عن إطار الأمن السيبراني NIST ، فإنها غالبًا ما تظهر عندما يحدث حدث ضار بالفعل ، خاصةً عندما يستخدم الأعداء تكتيكات مثل الحركة الجانبية أو نشر البرامج الضارة التي تتماشى مع تقنيات Miter ATT & CK.
في حين أن هذا التخيل للأعلام الحمراء السيبرانية له مكانه في برنامج أمن المعلومات الصحي ، إلا أنه محدود للغاية في تركيزه على المؤشرات التي تسجل فقط بعد التسوية الأولية. في حين أن تقرير تحقيقات خرق بيانات Verizon الأحدث يسلط الضوء على الجداول الزمنية في اكتشاف الانتهاك ، من المهم أن نوضح أن الكشف يحدث في كثير من الأحيان في أسابيع بدلاً من أشهر. اعتمادًا على الصناعة ، قد لا تزال بعض الانتهاكات غير مكتشفة لأكثر من مائة يوم. الاعتماد فقط على المؤشرات التفاعلية يقفل المنظمات في وضعية اكتشاف وإعادة الرضاعة ، وانتزاع الباب المغلق بعد أن يكون الدخيل في الداخل بالفعل.
“الأعلام الحمراء” عبارة شائعة في سياقات السمسرة السيبرانية وسياقات الاندماج والشراء أيضًا ، حيث يتم استخدامها بشكل مختلف قليلاً. في هذه الدوائر ، تميل “الأعلام الحمراء” إلى أن تكون فجوات في الموقف الأمني المحيط للمؤسسة. غالبًا ما تكون أهم أدوات التحكم في الأمن السيبراني الأساسي والتي تمثل حظر الوقاية من الخرق ومعالجتها. ضمن هذا السياق ، تعد نقاط الضعف التي يمكن مراعاتها من إجراء فحص خارجي غير مصادفة أو خارجي في فرض المصادقة متعددة العوامل (MFA) على أنظمة المحيط هي أعلام حمراء شائعة: يمكن اكتشافها من الإنترنت العام ، والمكتيكية والتكتيكية بطبيعتها ، وسمعة سيئة لمساهماتها في أمراض الأمن السابقة.
مرة أخرى ، فإن تصنيف هذه الضوابط له فوائدها. على المدى القصير إلى المتوسط ، من المرجح أن يساهموا في حادث الأمن السيبراني ويجب أن يتم ثلاثية للعلاج. تضم مجموعة فرعية أصغر من الأعلام الحمراء التي تركز على التأمين فكرة الأعلام الحمراء من العناية عبر الإنترنت ، والتي قد تكون مادية لصحة المعاملة. في سياق عمليات الاندماج والشراء ، غالبًا ما ترتفع الفجوات الأمنية الأكثر فظيعة إلى هذا المستوى ، مع أي شيء أكثر دقة للعلاج بعد إغلاق الصفقة. إن فهم وضعية الأمن السيبراني للمنظمة كما يتماشى مع هذه الأنواع من عناصر التحكم في العلم الأحمر أمر ذي قيمة ، ولكنه لا يزال غير مكتمل. يمكنهم الانحراف نحو الوصفي والسطحي ، دون تقديم رؤى تنبؤية أكثر من التحليل الأعمق.
لإغلاق هذه الفجوة ، تحتاج المنظمات إلى تحويل الانتباه إلى الإشارات التنبؤية ، والتي يمكن أن تكون تكتيكية واستراتيجية. قد تسمى المؤشرات التكتيكية “مؤشرات السلائف” أو “الحالات الشاذة” ، ويمكن أن تشمل مسح الاستطلاع غير العادي ، أو محاولات المصادقة غير التقليدية ، أو نقرات ارتباط التصيد غير المعتاد. غالبًا ما تظهر هذه التحذيرات المبكرة قبل وقت طويل من بدء فدية في تشفير الملفات. من خلال التعرف على نشاط السلائف ، الذي يُطلق عليه أحيانًا مؤشرات الهجوم (IOA) ، يمكن أن تتدخل فرق الأمن في المراحل الأولى من الهجوم. غالبًا ما تظهر هذه الإشارات من خلال أدوات تحليل سلوك المستخدم والكيان ، أو أنظمة SIEM ، أو خلاصات ذكاء التهديد. يمكن أن يؤدي التقاطهم في وقت مبكر إلى تقليل وقت السكن والتكاليف المرتبطة به. وجدت الدراسات التي أجراها معهد بونيمون أن المنظمات التي تكتشف التهديدات عاجلاً يمكن أن توفر ما يصل إلى خمسين في المائة مقارنة بتلك التي تتفاعل لاحقًا.
غالبًا ما تكون الإشارات الإستراتيجية الأساسية أكثر دقة وتتطلب تقييمًا قائمًا على المناقشة أو أخذ عينات من التدقيق المكثف للكشف. هل تعتمد جهود الوقاية من فقدان البيانات على جهود وضع العلامات اليدوية لمهندس البنية التحتية المفردة على العمل؟ هل الوصول إلى عدد لا يحصى من التطبيقات السحابية المدارة في جدول بيانات ، مع معايير كلمة المرور غير المتسقة ومتطلبات المصادقة عبر كل منصة؟ هذه نقاط الضعف المحتملة تكمن تحت سطح تحليل الأعلام الحمراء الإلكترونية النموذجية ولكن يمكن أن تسهم بلا شك في الحوادث أو غيرها من نتائج الأمن السيبراني الفقيرة.
النظر في صحة الأسنان على المدى الطويل للمريض دون جدول تفريش منتظم. قد لا تكشف المراجعة السطحية لأسنانه عن أي تجاويف واضحة ، لكن التحليل الأعمق قد يكشف عن ضعف الصحة في اللثة. يمكن أن تكشف مزيد من النقاش مع المريض بدوره عن التزام مخصص وغير مكرر بالصيانة عن طريق الفم. قد تشير مؤشرات السلائف هذه إلى احتمال عدم وجود مخاوف صحية عن طريق الفم في المستقبل غير واضحة من مراجعة طب الأسنان السطحية.
يناسب هذا الموقف الاستباقي داخل استراتيجيات المرونة الحديثة ، مثل تلك التي تم التعبير عنها في NIST SP 800-160. تقوم NIST Standard بتأطير الأمن باعتبارها سلسلة من الوقاية والاكتشاف والانتعاش. إن دمج الانتباه إلى نشاط السلائف يعزز الوقاية ويمكّن الانتعاش السريع في حالة حدوث حل وسط.
هذا ليس لخصم الأعلام الحمراء تماما. بدلاً من ذلك ، ينبغي اعتبارهم جزءًا من الطيف: إشارات المرحلة المتأخرة أو الفجوات التي تكمل علامات الإنذار المبكرة والفحوصات الصحية لبرنامج أمن المعلومات الأعمق. عن طريق الكشف عن الطبقات عبر هذا الطيف ، تكتسب المنظمات استردادًا حقيقيًا.
إلى جانب إمكانات المحقق المحسّنة ، يتم تحفيز الشركات على الاستثمار في التحليل الذاتي خارج عدسة الأعلام الحمراء من قبل شركات التأمين السيبراني ، الذين يتوقعون بشكل متزايد أدلة على الضوابط الوقائية وغالبًا ما يرفعون أقساط أو رفض التغطية للتجاهل أو التحمل غير المعلوم. لا تتمثل مراقبة الحالات الشاذة في تحسين الموقف الأمني فحسب ، بل تتماشى أيضًا مع متطلبات التأمين وتقلل من المخاطر المالية والسمعة ، ويتم إثراء هذه المراقبة وتحسينها عند تحريكها من خلال مراجعات الأمن السيبراني للتهديد والضعف والمخاطر المتبقية.
يختتم اعتماد عبارة “الأعلام الحمراء” في الأمن السيبراني إطار اكتشاف ما بعد الحدث في كثير من الأحيان من سلائفها في الوقاية من الاحتيال ، ولكن اعتمادها في سياق الموقف السيبراني مقابل مخاوف الاكتتاب العليا يجب ألا يمنع تحليل المزيد من العيوب الأساسية. يحتاج هذا المجال اليوم إلى اللغة والنماذج التي تؤكد على الترقب والتعطيل المبكر بدلاً من انتظار الأزمة أو مواءمة برنامج الأمن السيبراني مع المصطلحات القديمة لسوء أول عناصر التحكم في البرنامج.
المحتوى المقدم هنا هو لأغراض إعلامية عامة فقط ويجب عدم تفسيرها على أنها نصيحة قانونية أو تنظيمية أو امتثال أو للأمن السيبراني. يجب على المنظمات استشارة محترفيها القانونيين أو الامتثال أو الأمن السيبراني فيما يتعلق بالالتزامات المحددة واستراتيجيات إدارة المخاطر. في حين أن حلول الكشف عن التهديدات والاستجابة المدارة من LevelBlue مصممة لدعم الكشف عن التهديدات والاستجابة لها على مستوى نقطة النهاية ، فهي ليست بديلاً لرصد الشبكات الشامل أو إدارة الضعف أو برنامج الأمن السيبراني الكامل.
