سلطت مؤسسة جارتنر اليوم الضوء على أفضل 10 تقنيات لأمن المعلومات، وتداعياتها المنعكسة على المؤسسات الأمنية خلال العام 2016. كما استعرض محللو المؤسسة أبرز النتائج التي توصلوا إليها خلال قمة جارتنر للأمن وإدارة المخاطر، التي تتواصل أعمالها لغاية يوم الخميس.
في هذا السياق قال نيل ماكدونالد، نائب الرئيس والمحلل البارز والزميل الفخري لدى مؤسسة الدراسات والأبحاث العالمية جارتنر: "ينبغي على فرق عمل أمن المعلومات والبنى التحتية مواكبة التوجهات الحديثة من أجل دعم وتلبية متطلبات الأعمال الرقمية الصاعدة، وفي الوقت نفسه تعزيز قدرتهم على التصدي لبيئة التهديدات المتطورة والمتنامية. كما يتوجب على قادة الأمن والمخاطر التفاعل بشكل كامل مع أحدث التوجهات التقنية، وذلك في حال أرادوا صياغة وتنفيذ والحفاظ على برامج فعالة وعالية الكفاءة في مجال الأمن وإدارة المخاطر، التي ستعزز فرص أعمالهم الرقمية وإدارة المخاطر في وقت واحد".
وفيما يلي أفضل 10 تقنيات لأمن المعلومات قامت مؤسسة جارتنر بتحديدها:
وسطاء أمن الوصول إلى السحابة
يؤمن وسطاء أمن الوصول إلى السحابة (CASBs) مجموعة خبراء في مجال أمن المعلومات يتمتعون بنقاط تحكم هامة بهدف تأمين آلية استخدام آمنة ومتسقة للخدمات السحابية على امتداد عدة شركات لتوريد الخدمات السحابية. ورغم أن معظم تطبيقات البرمجيات كخدمة (SaaS) ذات شفافية وخيارات تحكم محدودة، إلا أن تبني تطبيقات البرمجيات كخدمة أضحى شائعاً بين المؤسسات، ما يفاقم من حجم الضغوط التي تعاني منها الفرق الأمنية سعياً وراء تحقيق الشفافية والتحكم. من جهةٍ أخرى، تعمل حلول البرمجيات كخدمة على سد العديد من الثغرات في مجال الخدمات السحابية الفردية، كما أنها تتيح لمدراء أمن المعلومات (CISOs) إمكانية تنفيذ هذه المهام في وقت واحد، وعبر مجموعة متنامية من الخدمات السحابية، بما فيها المقدمة من قبل شركات توريد تطبيقات البنية التحتية كخدمة (IaaS)، والمنصة كخدمة (PaaS). وعلى هذا النحو، يقوم وسطاء أمن الوصول إلى السحابة بتلبية المتطلبات الهامة بهدف صياغة السياسات، ومراقبة السلوك، وإدارة المخاطر على امتداد مجموعة كاملة من شركات الخدمات السحابية المستثمرة.
الكشف والاستجابة للأجهزة الطرفية
يشهد سوق حلول الكشف والاستجابة للأجهزة الطرفية (EDR) توسعاً وانتشاراً سريعاً، وذلك لتلبية الحاجة بضرورة وجود حماية أكثر فعالية للطرفيات، وللكشف عن الاختراقات المحتملة والتعامل معها بوتيرة أسرع. وتقوم أدوات الكشف والاستجابة للأجهزة الطرفية عادةً بتسجيل أحداث الكثير من الطرفيات والشبكات، ومن ثم تخزين هذه المعلومات إما محلياً على الجهاز الطرفي، أو ضمن قاعدة بيانات مركزية. بعد ذلك يتم استخدام قواعد البيانات ذات مؤشرات تسوية معروفة، وعمليات تحليل للسلوك، وتقنيات تعلّم الآلات من أجل تأمين البحث المتواصل في البيانات، وذلك بهدف الكشف عن الانتهاكات في وقت مبكر (بما فيها التهديدات الداخلية)، والاستجابة السريعة لهذه الهجمات.
المنهجيات غير المعتمدة لحماية الطرفيات
المنهجيات المعتمدة لتأمين الحماية ضد البرمجيات الخبيثة غير فعالة ضد الهجمات المتطورة والمستهدفة. كما أن المنهجيات المتطورة ومتعددة التقنيات تظهر بأن المنهجيات التقليدية المعتمدة، بما فيها حلول حماية بطاقات الذاكرة وتأمين الحماية ضد عمليات الاحتيال التي من شأنها منع الطرق الشائعة التي تتبعها البرمجيات الخبيثة لاختراق الأنظمة، وتقنيات الحماية ضد البرمجيات الخبيثة القائمة على تعلّم الآلات، تستعين بالنماذج الحسابية كبديل عن الاعتماد عند تحديد وحجب البرمجيات الخبيثة.
عمليات التحليل المسلكي للمستخدم والتجهيزات
تسهل عمليات التحليل المسلكي للمستخدم والتجهيزات إجراء عمليات التحليل الأمنية على نطاق واسع، على غرار قيام عمليات أمن المعلومات وإدارة الحدث بتمكين عمليات المراقبة الأمنية على نطاق واسع. كما تتيح عمليات التحليل المسلكي للمستخدم والمؤسسة إمكانية إجراء عمليات تحليل ترتكز على المستخدم وتدور حول سلوك المستخدم، وحول سلوك باقي التجهيزات الأخرى، مثل الطرفيات والشبكات والتطبيقات. كما أن الروابط التي تجمع عمليات التحليل عبر مختلف التجهيزات تعزز من دقة نتائج عمليات التحليل، ومن القدرة على كشف التهديدات.
التجزئة الميكروية وشفافية تدفق الاتصالات
حالما يحصل المهاجمون على موطئ قدم في أحد أنظمة المؤسسة، فإنهم يبدؤون بالتسلل أفقياً (شرقاً/غرباً) دون أي عوائق إلى باقي الأنظمة. ولمعالجة هذا الأمر، هناك مطلب متنامي بضرورة وجود تقنية "التجزئة الميكروية" (للحصول على المزيد من التجزئة المفصلة) لحركة البيانات (شرقاً/غرباً) في شبكات المؤسسة. وبالإضافة إلى ذلك، هناك العديد من الحلول التي توفر الشفافية والمراقبة الضرورية لتدفقات الاتصالات، فأدوات المحاكاة الافتراضية تمكن مدراء العمليات والأمن من فهم ومعرفة أنماط التدفق، وصياغة سياسات للتجزئة، ومراقبة الانحرافات. وأخيراً، توفر الكثير من شركات التوريد آلية التشفير الاختياري لحركة البيانات في الشبكة (عادةً ما تتم عبر مسارات متكاملة لبروتوكول الإنترنت من النقطة إلى النقطة) بين أحمال العمل لحماية البيانات أثناء الحركة، ولتوفير العزل المشفر بين أحمال العمل.
الاختبار الأمني لنماذج التطوير والعمليات (DevSecOps)
ينبغي أن تصبح الاحتياجات الأمنية جزءاً لا يتجزأ من سير أعمال نماذج التطوير والعمليات (DevOps)، أو ما يطلق عليه. فنماذج التشغيل الصاعدة تستعين بالنصوص "المخصصة"، و"المبرمجة"، و"القوالب" من أجل تعزيز عملية التكوين والتهيئة الرئيسية للبنية التحتية الأمنية، بما فيها السياسات الأمنية كاختبار التطبيقات خلال عميات التطوير، أو الربط الشبكي أثناء زمن التشغيل. بالإضافة إلى ذلك، تقوم العديد من الحلول بأداء فحص أمني مؤتمت للعثور على الثغرات خلال عملية التطوير، لكي تبحث عن نقاط الضعف والثغرات المعروفة قبل الانتقال بالنظام إلى عملية الإنتاج. وسواءً كان الدافع الأمني ينطلق من النماذج أو النصوص المبرمجة أو القوالب أو سلسلة الأدوات، فإن المفهوم والنتيجة المرجوة هي ذاتها، وهي توفير تهيئة أو تكوين مؤتمت، وشفاف، ومتسق للبنية التحتية الأمنية الرئيسية، وذلك استناداً على السياسات التي تعكس حالة عملية النشر الحالية لأحمال العمل.
حلول مزامنة مراكز العمليات الأمنية الموجهة بالاستقصاء
يتخطى أداء مراكز العمليات الأمنية (SOC) الموجهة بالاستقصاء حدود التقنيات الوقائية والمحيطية، بل وآلية المراقبة القائمة على الأحداث. وينبغي إنشاء مراكز العمليات الأمنية الموجهة بالاستقصاء بهدف إجراء عمليات استقصاء البيانات، على أن تستخدم للتواصل مع كل جانب من جوانب العمليات الأمنية. وللتصدي للتحديات التي تواجه نموذج "الكشف والاستجابة" الجديد، ينبغي على مراكز العمليات الأمنية الموجهة بالاستقصاء تخطي حدود الدفاعات التقليدية، وذلك من خلال الاستعانة بالبنى المتكيفة والمكونات المستشعرة للسياق. ولدعم تطبيق هذه التغييرات المطلوبة في برامج أمن المعلومات، يجب تطوير مراكز العمليات الأمنية لتصبح مراكز عمليات أمنية موجهة بالاستقصاء (ISOC)، مع إمكانية أتمته ومزامنة عمليات مراكز العمليات الأمنية لتصبح محركاً رئيسياً.
المتصفح عن بعد
تبدأ معظم الهجمات من خلال استهداف المستخدمين النهائيين بالبرمجيات الخبيثة عن طريق رسائل البريد الإلكتروني، أو الرابط، أو المواقع الخبيثة. ومن هنا تتجلى منهجية جديدة لمواجهة هذا الخطر، وتقوم على تقديم جلسة للمتصفح عن بعد انطلاقاً من "السيرفر المتصفح" (عادةً ما يكون قائماً على نظام التشغيل لينوكس) الموجود في مكان العمل، أو الذي يتم تسليمه كخدمة قائمة على السحابة. فمن خلال عزل وظيفة التصفح عن بقية الطرفيات والشبكات في الشركة، يتم إبقاء البرمجيات الخبيثة خارج نطاق نظام المستخدم النهائي، وبذلك تخفض المؤسسة وبدرجة كبيرة من المساحة السطحية المعرضة للهجوم، وذلك عن طريق نقل خطر الاصابة بالهجوم إلى جلسات السيرفر، الذي بإمكانه إعادة الضبط إلى حالة جيدة ومعتمدة مع كل عملية فتح لجلسة تصفح جديدة، أو لعلامة تبويب، أو الدخول إلى رابط ما.
الخداع
تعرف تقنيات الخداع من خلال أدوات الخداع و/أو الاحتيال المستخدمة والمصممة بهدف اعتراض أو التخلص من العمليات المعرفية للمهاجم، أو لتعطيل أدوات التشغيل المؤتمتة للمهاجم، أو لتأخير أنشطة المهاجم، أو لتعطيل عملية الاختراق. فعلى سبيل المثال، تقوم قدرات تقنيات الخداع على خلق نقاط ضعف وثغرات، وأنظمة، ومشاركات، وملفات تعريف الارتباط (كوكيز) وهمية. فإذا حاول المهاجم مهاجمة هذه المصادر الوهمية، فهذا مؤشر ملموس وقوي على وجود هجوم قيد التحضير، فالمستخدم المصرح له لا يحاول الوصول إلى هذه المصادر. وينتشر استخدام تقنيات الخداع بوتيرة متنامية في الشبكات، والتطبيقات، والطرفيات، والبيانات، عبر استخدام أفضل الأنظمة التي تجمع مختلف التقنيات. وبحلول العام 2018، تشير توقعات مؤسسة جارتنر إلى أن 10 بالمائة من الشركات ستستخدم تقنيات وأدوات الخداع، والمشاركة بفعالية كبيرة في عمليات الخداع الموجهة ضد المهاجمين.
الخدمات الموثوقة والنافذة
بالتزامن مع قيام أقسام الأمن في المؤسسات بتوسيع قدرتها على حماية تقنيات التشغيل وإنترنت الأشياء، يجب أن تظهر نماذج أمنية جديدة تهدف إلى نشر وإدارة الثقة على نطاق واسع. لذا، تم تصميم الخدمات الموثوقة على نطاق واسع من أجل تلبية احتياجات المليارات من الأجهزة، التي تمتلك قدرات معالجة محدودة. وينبغي على الشركات الباحثة عن نطاق أوسع من الثقة، أو عن خدمات معتمدة من الجميع، فعليها التركيز على الخدمات الموثوقة التي تتضمن توفير حلول تخزين آمنة، وسلامة البيانات، والتي تحدد هوية وعملية مصادقة لكل جهاز. كما تستعين بعض المنهجيات الرائدة ببنى النشر المتطورة، الموثوقة والمتسلسلة، من أجل إدارة تراخيص الثقة الموزعة وسلامة البيانات على نطاق واسع.