أدى التهديد المتزايد للهجمات الإلكترونية إلى زيادة الضغط على مسؤولي أمن المعلومات في قلب مرونة الأعمال. لكن مهمتهم أصبحت أكثر صعوبة.
توصل بحثنا إلى أن 50% من المؤسسات تتحمل الآن ديونًا أمنية حرجة، مما يعني أن لديها ثغرات أمنية في البرامج ظلت دون حل لمدة تزيد عن عام.
هذه دعوة مفتوحة لمجرمي الإنترنت وتتطلب استراتيجية شاملة وطويلة الأجل لإدارة مخاطر التطبيقات لإصلاحها. ومع ذلك، لا تزال معظم المؤسسات تساوي إجراء المزيد من عمليات الفحص مع تحسين الأمان.
يستمر المقال أدناه
يؤدي هذا الافتراض إلى خلق فجوات أمنية خطيرة، خاصة عبر سلاسل توريد البرامج وخطوط أنابيب CI/CD.
والحقيقة هي أن مؤشرات الأداء الرئيسية الأمنية التقليدية لا تقيس فعالية الأمان الحقيقية فحسب، بل إنها تخلق أيضًا إحساسًا زائفًا بالتقدم. تعد التسويات الأخيرة لخطوط الأنابيب والتبعية، مثل حملة البرامج الضارة لسلسلة التوريد Shai-Hulud، مثالًا جيدًا على السبب الذي يجعل حجم المسح العالي وحده لا يفعل الكثير لمنع الانتهاكات.
يحتاج رؤساء أمن المعلومات إلى إعادة التركيز. تقيس المقاييس الأكثر أهمية تراكمات الثغرات الأمنية، ووقت بقاء المهاجم الذي لم يتم اكتشافه، وضوابط الأمان الحالية مع قدرة مثبتة على التخفيف من تهديدات العالم الحقيقي، وليس فقط المخاطر النظرية. وفي نهاية المطاف، فإن العمق والتحقق من الصحة مهمان أكثر بكثير من الاتساع.
لماذا تفشل مؤشرات الأداء الرئيسية للأمان المستندة إلى الحجم في مدراء أمن المعلومات ومجالس الإدارة على حدٍ سواء
إن القياس وفقًا لمؤشرات الأداء الرئيسية المستندة إلى الحجم، مثل عدد عمليات الفحص التي تم إجراؤها ونقاط الضعف التي تم العثور عليها والتنبيهات التي تم إنشاؤها، لا يتتبع سوى الجهد المبذول لزيادة الأمان – وليس النتيجة الفعلية. تخبرك مؤشرات الأداء الرئيسية التقليدية هذه بمدى الحاجة إلى التدابير الأمنية، ولكن ليس ما إذا كانت تمنع أي شيء ذي معنى.
على سبيل المثال، قد يبدو الفحص الذي يعثر على 10000 مشكلة منخفضة التأثير منتجًا على لوحة المعلومات، ولكن في الوقت نفسه ربما لم يتم المساس بتبعية واحدة قابلة للاستغلال لعدة أشهر، مما يمثل خطرًا أمنيًا بالغ الأهمية لم يتم حله.
يرى أعضاء مجلس الإدارة وكبار المسؤولين ارتفاع أرقام مؤشرات الأداء الرئيسية ويفترضون تلقائيًا حماية معززة، في حين أن الأمر قد يكون عكس ذلك تمامًا في الواقع. إن خط القياس غير الواضح هذا يشوه حقيقة كيفية تعامل الفرق الأمنية مع المخاطر الأمنية.
هذه المجازات على مستوى الصناعة تكافئ عن غير قصد فرق الأمن على توليد الضوضاء ولكنها لا تقلل من المخاطر الفعلية. ومع ارتفاع متوسط وقت إصلاح العيوب الأمنية من 171 يومًا إلى 252 يومًا على مدار السنوات الخمس الماضية، فإن التأخير في المعالجة يؤدي بهدوء إلى تراكم المخاطر الأمنية.
إن نقاط الضعف هذه المخبأة في أعماق سلسلة التوريد وخطوط الأنابيب هي بمثابة قنبلة موقوتة.
ومع إرهاق فرق الأمن بالفعل ونضالها للعثور على القدرة على اكتشاف الثغرات الأمنية وإصلاحها، فإن هذه المقاييس القديمة تشجع ثقافة حيث تنظر فرق الأمن ورؤساء أمن المعلومات “فوق كل شيء”، حتى يتم استغلال خلل قديم معروف – وعند هذه النقطة، قد يكون الأوان قد فات.
لقد أدى التنازل عن خطوط الأنابيب ومخاطر التبعية إلى جعل المسح في الوقت المناسب أمرًا عفا عليه الزمن
ومع الوتيرة السريعة للتقدم التكنولوجي والارتفاع الواضح في الهجمات السيبرانية الناجحة، أصبح المسح في الوقت المناسب غير كاف الآن. فهو يتجاهل عوامل الوقت الحرجة – مثل متوسط الوقت اللازم للمعالجة أو المدة التي يمكن للمهاجم أن يعمل فيها دون أن يتم اكتشافه – وهي بالضبط ما يستغله المهاجمون.
تحدث الهجمات الحديثة في الفجوة بين عمليات الفحص، مع عدم قدرة اللقطات الأمنية على التقاط الأهداف المتحركة. بالنسبة لخطوط أنابيب CI/CD، فقد أصبحت قديمة. يتغير الكود عدة مرات في اليوم ويتم تحديث التبعيات تلقائيًا.
وفي الوقت الحاضر، لا يحتاج المهاجم حتى إلى التهرب من الفحص. إنهم ينتظرون فقط البناء التالي أو الالتزام أو سحب التبعية، وبحلول الوقت الذي تتم فيه قراءة تقرير الفحص، فإن البيئة التي تم تقييمها لم تعد موجودة.
تقوم الماسحات الضوئية تقليديًا بفحص المصدر أو الثنائيات، ولكنها لا تقوم بفحص الأعمال الداخلية لعملية الإنشاء، مما يعني أن خطوة الإنشاء الضارة يمكن أن تضخ تعليمات برمجية بعد مرور الفحص.
حدث هذا مع هجوم SolarWinds Orion سيئ السمعة، والذي أضر بآلاف المؤسسات (بما في ذلك الوكالات الحكومية الأمريكية) في عام 2020، حيث قام بحقن تعليمات برمجية ضارة في تحديثات البرامج التي تم توزيعها بعد ذلك على العملاء المطمئنين.
إذا كان البناء مسمومًا بالفعل، فإن الفحص غير ذي صلة.
ما يحتاج CISOs إلى تحديد أولوياته هذا العام
مع تزايد المخاطر السيبرانية وزيادة تطور المتسللين، أصبحت الموازنة بين التحديات المرتبطة بتقييم المخاطر وإثبات قيمة أمان التطبيقات بمثابة حقل ألغام بالنسبة لرؤساء أمن المعلومات. إنهم بحاجة إلى مقاييس يمكن لفرق الأمان تحديد أولوياتها لتعكس بشكل أفضل التطبيق الحقيقي والمخاطر الأمنية لسلسلة التوريد.
يتضمن ذلك تقليل الأعمال المتراكمة للعيوب القابلة للاستغلال، والوقت الذي يستغرقه إصلاح المشكلات الحرجة في الإنتاج، والدليل على أن الإصلاحات تعمل بالفعل، بدلاً من مجرد الفحص. التحول ليس من قياس أقل إلى قياس أكثر. إنها تتراوح من حساب النشاط الأمني إلى قياس التعرض الحقيقي ومرونة الأعمال.
في نهاية المطاف، يجب أن تخبر مقاييس الأمان القيادة بحجم المخاطر التي تمت إزالتها ومدى سرعة عودة الأنظمة إلى وضعها الطبيعي – وليس مدى الجهد الذي بذله فريق الأمان للعثور عليه. سيساعدنا هذا التغيير في التموضع على أن نصبح جميعًا مجهزين بشكل أفضل للدفاع بشكل صحيح ضد المخاطر.
لقد عرضنا أفضل دورة للأمن السيبراني عبر الإنترنت.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات