تسعى (70٪) من المؤسسات لمواكبة كثرة التنبيهات الأمنية الناجمة عن أدوات التحليلات الأمنية ، وفقًا لدراسة جديدة أجرتها “إي إس جي” بتكليف من كاسبرسكي بعنوان “تحديث مراكز العمليات الأمنية ودور القدرات الموسعة الخاصة بالكشف عن التهديدات والاستجابة لها”1. ومن شأن حرص المؤسسات على الاهتمام بجميع التنبيهات أن يُحدث نقصًا في المصادر اللازمة لإنجاز المهام الاستراتيجية ويدفع المؤسسات بالتالي نحو أتمتة العمليات والاستعانة بمصادر خارجية.
وما تزال مشكلة الإدارة الفعالة لحالات الطوارئ عبر مركز العمليات الأمنية(SOC) قائمة؛ فبحسب دراسة استطلاعية بعنوان “حالة العمليات الأمنية والأتمتة في العام 2020″، أجرتها شركة “دايمنشنل ريسيرتش”، يعاني 83% من موظفي الأمن الرقمي ما يُعرف بـ “إرهاق التنبيهات”.
بالإضافة إلى حجم التنبيهات، فإن تنوّعها الواسع يمثل مشكلة أخرى لنحو 67% من المؤسسات، وفقًا لدراسة كاسبرسكي. ويصعّب هذا الأمر على محللي مراكز العمليات الأمنية التركيز على مهام العمل الأكثر تعقيدًا وأهمية. وقد وجدت الدراسة أن فرق الأمن الرقمي المثقلة بمتابعة التنبيهات والحالات الطارئة في 34% من الشركات، لا تملك وقتًا كافيًا لتحسين الاستراتيجيات والعمليات.
ووجدت الدراسة أيضًا أن المؤسسات لا تربط المشكلة بنقص الموظفين، إذ يرى 83% أن مراكز العمليات الأمنية لديها عدد كافٍ من الموظفين لتأمين الحماية الفعالة للشركة، لكن المستطلعة آراؤهم يرون أن ذلك يرجع إلى الحاجة إلى أتمتة العمليات واللجوء إلى الخدمات الخارجية. ويكمن السبب الرئيس للجوء إلى الخدمات المُدارة في إتاحة وقت أطول للموظفين للتركيز على المبادرات الاستراتيجية، بدلًا من قضاء الوقت في مهام العمليات الأمنية (55%).
وقالت يوليا أندريفا المدير الأول للمنتجات لدى كاسبرسكي، إن جهود المحللين في مراكز العمليات الأمنية تنصبّ على حلّ المشكلات بعد وقوعها بدلًا من البحث الاستباقي عن التهديدات المعقدة التي تحاول التسلل إلى البنية التحتية، داعية إلى وجوب أن تتمثل المهام الأساسية لمراكز العمليات بـ “تقليل عدد التنبيهات، وأتمتة دمجها وربطها في سلاسل
الحوادث، وتقليص وقت الاستجابة الإجمالي، وذلك من أجل تحسين فاعلية هذه المراكز. وتساعد حلول الأتمتة وخدمات الخبراء الخارجيين في تحقيق ذلك”.
وتوصي كاسبرسكي المؤسسات بالأخذ بالنصائح التالية لتيسير عمل مراكز العمليات الأمنية وتجنيب موظفيها الإرهاق الناجم عن كثرة التنبيهات:
· تنظيم نوبات العمل في مركز العمليات الأمنية لتجنيب الموظفين الإرهاق وضمان التوزيع العادل لجميع المهام الرئيسية، كالمراقبة والتحقيق وهندسة تقنية المعلومات والإدارة الشاملة.
· قد يؤدي إغراق محللي مراكز العمليات الأمنية بالمهام الروتينية إلى إرهاقهم. ويمكن لبعض الممارسات، مثل النقل الداخلي والتناوب، أن تساعد في تحسين إدارة هذا الأمر.
· استخدام خدمة معلومات التهديدات، التي أثبتت جدواها وتتيح دمج المعلومات المقروءة آليًا في عناصر التحكم الأمنية الحالية، مثل نظام SIEM، في أتمتة عملية الفرز الأولية وإنشاء سياق كافٍ لاتخاذ قرار بشأن ما إذا كان يجب التحقيق في التنبيه على الفور أم لا.
· للمساعدة في تحرير موظفي مراكز العمليات الأمنية من مهام فرز التنبيهات الروتينية، يمكن استخدام الخدمة المُدارة للكشف عن التنبيهات والاستجابة لها، والتي أثبتت كفاءتها، مثل Kaspersky Managed Detection and Response. وتجمع هذه الخدمة بين تقنيات الكشف المستندة على الذكاء الاصطناعي والخبرة الواسعة في البحث عن التهديدات والاستجابة للحوادث، والتي تتمتع بها الوحدات المهنية الأخرى في كاسبرسكي كفريق البحث والتحليل العالمي.