إن التصحيح ليس استراتيجية أمنية – بل هو قرار لإدارة التغيير له عواقب مالية وتشغيلية ومخاطر.
يدرك مدراء تكنولوجيا المعلومات بالفعل أن التهديدات الحالية تتحرك بسرعة. ومما يزيد من تفاقم هذا التحدي الاستخدام المتزايد للأتمتة من قبل المهاجمين لتحديد نقاط الضعف واستغلالها.
نائب الرئيس للأمن السيبراني والمنتجات في Spinnaker Support.
إن الكثير من العمل المبكر الذي كان يستغرق وقتًا طويلاً يتم الآن على الفور تقريبًا. عندما تصبح ثغرة أمنية جديدة علنية، يقوم المهاجمون الآن بالتحقق من صحتها مقابل البرمجيات الحقيقية في غضون أيام، وأحيانًا ساعات، باستخدام تقنيات الأتمتة والاكتشاف المعتمدة على الذكاء الاصطناعي التي تظهر مسارات الاستغلال بشكل أسرع بكثير من الاختبارات البشرية على الإطلاق.
يؤدي هذا إلى ضغط النافذة التي يمكن للمؤسسات الاستجابة من خلالها، حتى عندما تقوم بتشغيل عمليات تصحيح منضبطة.
ومع ذلك، تعمل أنظمة المؤسسة وفق جدول زمني مختلف. تتطور منصات تخطيط موارد المؤسسات (ERP) ببطء لأنها تقع في مركز العمليات المالية والتشغيلية وسلسلة التوريد. حتى التحديثات البسيطة يمكن أن تؤثر على عمليات التكامل أو منطق إعداد التقارير أو الإضافات المخصصة التي تم إنشاؤها على مدار سنوات عديدة. حسب التصميم، تتغير هذه الأنظمة فقط عندما يكون القيام بذلك آمنًا.
إذن ماذا يحدث عندما تتسارع آليات الهجوم، بينما تظل آليات التغيير المؤسسي حذرة وبطيئة؟ والنتيجة هي فجوة متزايدة الاتساع بين كيفية خلق المخاطر وكيفية تخفيفها.
يتحرك المهاجمون ضد نقاط الضعف التي يمكن الوصول إليها عبر الهوية والتكوين والبنية، في حين أن التصحيحات لا تعالج إلا مجموعة فرعية من العيوب المعروفة في كود البائع. ويعني عدم التطابق هذا أن التعرض يظل قائمًا، بغض النظر عن مدى سرعة تطبيق التحديثات.
يزيل التصحيح ثغرة أمنية معينة، لكن المهاجمين يستغلون نقاط الضعف الأساسية التي يمكن أن تمتد عبر العديد من نقاط الضعف، ولهذا السبب نادرًا ما يؤدي إصلاح أحد التهديدات الشائعة إلى إغلاق مسار الهجوم بالكامل.
المشكلة مع الأمن تتمحور حول التصحيح
لقد أصبح التصحيح هو الاستجابة الافتراضية للمخاطر الأمنية، ولكنه في بيئات تخطيط موارد المؤسسات (ERP) يعد أداة غير حادة وهشة بشكل متزايد. تم إنشاء هذه الأنظمة من طبقات من التعليمات البرمجية المخصصة والوحدات النمطية القديمة وعمليات التكامل المقترنة بإحكام والتي لا يعكسها أي نموذج بائع قياسي، مما يجعل التحديثات غير قابلة للتنبؤ بطبيعتها.
ومع تزايد الضغط من أجل التصحيح بشكل أسرع، اضطرت العديد من المؤسسات إلى قبول المزيد من المخاطر التشغيلية مقابل الأمان المتصور. تتعطل الأنظمة، وتفشل الواجهات، وتتعطل عمليات سير العمل المهمة، حتى عندما تظل أجزاء كبيرة من البيئة غير قابلة للإصلاح أو غير مدعومة.
منصات تخطيط موارد المؤسسات (ERP) ليست مصممة للتحرك بسرعة اكتشاف الثغرات الأمنية الحديثة، ومع ذلك يفترض أمان التصحيح الأول أنه يجب عليها ذلك.
لماذا يقوم مديرو تكنولوجيا المعلومات بتكييف الدفاع المتعمق لمناظر التطبيقات
يقوم العديد من مديري تكنولوجيا المعلومات بإعادة النظر في الدفاع المتعمق وإعادة تفسيره لبيئات التطبيقات المعقدة بدلاً من مجرد الشبكات أو نقاط النهاية. وهذا ليس لأنهم يريدون الابتعاد عن الترقيع، ولكن لأن الترقيع أصبح قرارًا عالي المخاطر يتعلق بالمسؤولية.
إذا أدى التحديث المتعجل إلى إتلاف عملية ERP الأساسية، فإن البائع يتحمل الكثير من اللوم. إذا تم استغلال نقطة ضعف معروفة قبل تطبيق التصحيح، فإن المؤسسة تتحمل مسؤولية الفشل. وهذا الاختلال في التوازن يجعل الاعتماد على عنصر تحكم واحد محفوفًا بالمخاطر بشكل متزايد.
يوفر الدفاع المتعمق طريقة لنشر هذه المخاطر. فبدلاً من الاعتماد على التصحيحات وحدها، فإنه يضمن حصول المؤسسة على أكثر من خط حماية واحد خلال الفترات الطويلة التي لا يمكن فيها تطبيق التحديثات، أو عدم وجودها بعد.
ومن الناحية العملية، لا يتعلق الأمر بتجميع الأدوات بقدر ما يتعلق بتشكيل البيئة بحيث لا يكون هناك أي تحكم واحد بمثابة الحل السحري.
تفترض نماذج Zero Trust وجود خرق، وتتطلب التحقق المستمر، وتقليل نصف قطر الانفجار. يلعب الترقيع دورًا، لكن مساهمته محدودة:
– يعالج العيب الذي تم تحديده بالأمس، وليس مجهول اليوم أو يوم الصفر في الغد
– لا يفعل شيئًا لتحسين إدارة الهوية أو التجزئة أو قوة المصادقة أو قدرات الكشف
– يتطلب الاعتماد على الجداول الزمنية وممارسات الإفصاح الخاصة ببائع واحد
وعلى النقيض من ذلك، تدعم ميزة Defense in Depth الثقة المعدومة عن طريق إضافة طبقات تعويضية: التكوينات المقواة، وتقليل الامتيازات، وضوابط الحركة الجانبية، والمراقبة، وعمليات التخفيف السريعة المستقلة عن دورات تصحيح البائعين.
بالنسبة لأنظمة تخطيط موارد المؤسسات (ERP)، يبدأ ذلك بخط أساس أقوى للتكوين، ورؤية أكثر وضوحًا حول كيفية ظهور نقاط الضعف في المؤسسة الخاصة، وعمليات الاستجابة التي تعكس كيفية عمل النظام فعليًا.
على عكس التصحيح، الذي يؤدي إلى تقليل المخاطر بشكل محدود لمرة واحدة، فإن عناصر التحكم هذه تتراكم بمرور الوقت، مما يقلل من فئات كاملة من الهجمات.
تصلب الأجزاء التي تسيطر عليها المنظمة
يعد تقوية التكوين إحدى الخطوات الأولى الأكثر فعالية. تنبع العديد من نقاط الضعف من الإعدادات أو الامتيازات التي لم تتم إعادة النظر فيها بالكامل مطلقًا، أو من الواجهات التي تُركت نشطة بسبب العادة وليس الضرورة.
هذه نقاط ضعف هيكلية في كيفية تشغيل النظام، وليست عيوبًا في كود البائع، ولن يتم التخلص منها أبدًا عن طريق التصحيح. وهي أيضًا واحدة من المجالات القليلة التي يتمتع فيها مديرو تكنولوجيا المعلومات بسلطة كاملة.
لا تعتمد عملية التعزيز على دورات الإصدار أو خرائط طريق التطوير ويمكن تحسينها تدريجيًا، مما يقلل المخاطر على الفور.
فهم نقاط الضعف في الممتلكات الخاصة بك
تشكل الرؤية الطبقة التالية. قد يصف تقرير البائع كيفية عمل الخلل في منتج قياسي، ولكن القليل من المؤسسات تعمل على شيء قريب من ذلك. تؤثر مسارات العمل المخصصة والوحدات القديمة وملحقات الجهات الخارجية جميعها على كيفية الكشف الفعلي عن نقطة الضعف.
ولذلك يحتاج مدراء تكنولوجيا المعلومات إلى تحليل يرتكز على بيئاتهم الخاصة. إن معرفة ما إذا كان يمكن الوصول إلى الثغرة الأمنية بالفعل، وكيف يغير الكود المخصص إمكانية معالجتها وما إذا كانت الضوابط الحالية تقلل المخاطر بالفعل، يساعد الفرق على التركيز على الأمور الأكثر أهمية، بدلاً من الاستجابة لدرجات الخطورة التي قد لا تنطبق على ممتلكاتهم.
تتوافق قدرات الاستجابة مع كيفية عمل المنظمة
عندما يحدث خطأ ما، فإن كيفية استجابة مؤسستك هي الاختبار الحاسم للمرونة. تحتاج الفرق إلى الوضوح بشأن العمليات التي تتأثر، وكيفية انتقال البيانات عبر البيئة، وأين يمكن أن يحدث العزل دون انقطاع غير ضروري. يدعم نموذج الأمان متعدد الطبقات هذا.
يحد خط الأساس المتشدد من التعرض، وتؤدي الرؤية الأفضل إلى تقصير وقت التحقيق، كما أن عملية الاستجابة المصممة حول بنية المؤسسة تتيح اتخاذ قرارات أسرع وأكثر ثقة.
الحوكمة والامتثال والسيطرة على خارطة الطريق
ويتوقع المنظمون والمدققون وجود أدلة على الرقابة المستمرة بدلاً من التأكيد على أن الأنظمة محدثة بكل بساطة. توضح أطر العمل مثل ISO27001 ذلك من خلال التعامل مع التصحيح كعنصر صغير واحد فقط من عناصر الحماية والإدارة، إلى جانب الهوية والكشف والاستجابة والاسترداد.
إنهم يريدون معرفة كيفية إدارة المخاطر بين التحديثات الرئيسية وكيفية الحفاظ على الامتثال عندما لا تتوافق خرائط طريق البائع مع أولويات العمل.
بالنسبة للعديد من مديري تكنولوجيا المعلومات، فإن القضية الأساسية هي السيطرة. إنهم بحاجة إلى المرونة اللازمة لتحديد متى تكون الترقية مناسبة، وكيفية تسلسل التغيير وكيفية إثبات الامتثال دون دفعهم إلى جداول زمنية مزعجة.
إن النهج الدفاعي المتعمق متعدد الطبقات يدعم ذلك من خلال تعزيز التدابير التي يمكن للمنظمة تشكيلها بشكل مباشر.
أساس أكثر ثباتًا للمرونة على المدى الطويل
أصبحت المرونة شيئًا يتم إنشاؤه داخل البيئة بشكل متزايد بدلاً من توفيرها من خلال التصحيحات وحدها. لا يزال مدراء تكنولوجيا المعلومات يعتمدون على إصلاحات البائعين، لكنهم يكملونها بعناصر التحكم التي يمتلكونها: خيارات التكوين، والرؤى الخاصة بالعقار، وعمليات الاستجابة المصممة خصيصًا لكيفية عمل أنظمتهم.
بناء الثقة من خلال الاستقلال
لا يعني هذا التحرك نحو الاستقلال التخلي عن البائع الخاص بك، ولكنه يعني تعزيز طبقات الحماية التي تقع جنبًا إلى جنب مع دعم البائع. في العديد من البيئات، يعني هذا أيضًا أن نكون واقعيين بشأن مكان تأخير التصحيحات أو عدم توفرها أو عدم إنتاجها، بما في ذلك الأنظمة القديمة أو الأنظمة المخصصة بشكل كبير.
ولذلك تعمل العديد من المؤسسات مع شركاء دعم خارجيين يقدمون وجهة نظر خاصة بالمنصة ويقدمون الضمان والخبرة والاستمرارية عبر هذه العقارات. تمنح هذه العلاقات مدراء تكنولوجيا المعلومات خيارات للحفاظ على الامتثال وإدارة المخاطر والحفاظ على استقرار الأنظمة دون الاعتماد على طريق واحد للحماية.
المنتج النهائي هو نموذج تشغيل أكثر ثقة وتوازنًا في التكلفة. قد تتحرك التهديدات بسرعة وقد لا تتماشى جداول الموردين دائمًا مع جداولك الخاصة، ولكن مؤسستك لم تعد محددة بأي منهما.
وبدلاً من ذلك، يتماشى الأمان مع واقعك التشغيلي، والذي يتشكل من خلال الاستمرارية والتحكم وحرية اتخاذ القرارات وفقًا للجدول الزمني الخاص بك.
لقد عرضنا أفضل دورة للأمن السيبراني عبر الإنترنت.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات