تشهد ساحة التهديدات السيبرانية تطوراً مستمراً يفرض على المؤسسات ضرورة مواكبة تكتيكات الخصوم المتزايدة من حيث التطور والسرعة. ففي عام 2023، اعتمد المهاجمون على أساليب لا تتطلب استخدام البرمجيات الخبيثة لاختراق الأنظمة بنسبة مذهلة بلغت 75% من الهجمات. والأمر الأكثر إثارة للقلق بعد الاختراق الأولي، هو أن متوسط الوقت الذي يستغرقه المهاجمون للانتقال أفقياً داخل النظام، والمعروف باسم «وقت الانتشار»، بلغ 62 دقيقة فقط، بينما تمّ تسجيل أسرع عملية اختراق خلال دقيقتين و7 ثوانٍ فقط.
للتصدي لهذه الهجمات المتطورة، تحتاج فرق الأمن إلى العمل بنفس سرعة المهاجمين، إلا أن الأنظمة التقليدية لإدارة معلومات الأمن (SIEM) أصبحت عائقاً أمام تحقيق ذلك. فقد تم تصميم هذه الأنظمة في حقبة كانت فيها أحجام البيانات أصغر، وسرعة الهجمات أقلّ، ولم تتطور تلك الأنظمة لمواكبة التوسّع الهائل في البيانات أو التصدّي للتهديدات المتقدّمة. وتجد فرق الأمن نفسها مضطرة للتعامل مع أنظمة SIEM قديمة ومعزولة، إلى جانب قواعد بيانات ضخمة وأدوات تحليل منفصلة، ما يعرقل سرعة الاستجابة والتحليل الفعّال للهجمات.
تُعرف أنظمة SIEM التقليدية اليوم بكونها «ثقوب سوداء» للبيانات، حيث تستمر في استيعاب كميات متزايدة من المعلومات دون تقديم قيمة حقيقية، مما يؤدي إلى تدفق هائل من التنبيهات الخاطئة، وإبطاء أوقات الاستجابة، ورفع التكاليف التشغيلية.
ويمثل الجيل الجديد من أنظمة إدارة معلومات الأمن (Next-Gen SIEM) نقلة نوعية في كيفية تصدي فرق الأمن للتهديدات الحديثة. فقد تمّ تصميم هذه الأنظمة في البداية لتوحيد البيانات والذكاء الاصطناعي وأتمتة سير العمل ضمن منصة أمن سيبراني متكاملة، ما يمنح فرق الأمن القدرة على العمل بسرعة وكفاءة لتحقيق الهدف الأهم، وهو منع الاختراقات.
ويمكن لمختلف أعضاء مركز عمليات الأمن تحقيق أعلى مستويات الفعالية مع هذه الأنظمة المتطورة، كما يتضح في الأمثلة التالية:
* يواجه المهندسون الأمنيون تحديات يومية في التعامل مع أنظمة SIEM التقليدية، حيث تتطلب عمليات نقل البيانات وقتاً طويلًا وتفرض تعقيدات تقنية عديدة بسبب بنيتها المتشعبة.
* يعمل الجيل الجديد من أنظمة SIEM على تبسيط عملية استيعاب البيانات من خلال توفير بيانات أمنية متكاملة تشمل معلومات عن نقاط النهاية، والهويات، وأعباء العمل السحابية، ضمن منصّة موحدة. وبهذا، لن يضطر المهندسون الأمنيون لقضاء ساعات طويلة في استيراد البيانات أو مواجهة مشكلات تأخير الشبكة، حيث يتمّ تدفق المعلومات الأساسية للكشف والاستجابة بسلاسة عبر النظام. كما توفر هذه الأنظمة إمكانية استيعاب ومعالجة وتوحيد أي بيانات إضافية بسهولة بفضل الموصلات والمحللات المدمجة، ما يتيح للفرق الأمنية إمكانية التركيز على مواجهة التهديدات بدلاً من إدارة البيانات.
وتعاني أنظمة SIEM التقليدية من تشتيت جهود المحلّلين الأمنيين، حيث تفرض عليهم التنقل بين أدوات ووحدات تحكّم متعدّدة لاستخراج وتحليل البيانات، إضافة إلى إزعاجهم بتنبيهات غير دقيقة وإجراءات يدوية تؤدي إلى إبطاء التحقيقات وتفويت رصد الهجمات.
لكن مع الجيل الجديد من أنظمة SIEM، يتمّ دمج جميع الأدوات ضمن منصّة واحدة، مما يُمكّن المحللين من إنجاز تحليل التهديدات بسرعة دون الحاجة إلى التنقل بين أنظمة مختلفة. كما توفر هذه الأنظمة أتمتة مدمجة لسير العمل، لمساعدة المحللين على تبسيط العمليات والاستجابة للهجمات بفعالية. وبفضل إمكانيات تحليل الحوادث المؤتمتة، يمكن للمحللين التركيز على المهام ذات الأولوية القصوى دون إضاعة الوقت في إجراءات يدوية معقدة. كما يستفيد الجيل الجديد من أنظمة SIEM من قدرات الذكاء الاصطناعي التوليدي وأدوات تصوّر الهجمات المتقدمة، مما يعزز كفاءة المحللين على اختلاف مستويات خبرتهم، ويتيح لهم فرز الحوادث والتحقيق فيها بسهولة.
ويعمل الباحثون عن التهديدات في سباق دائم مع الزمن لاكتشاف الهجمات قبل أن تتسبب بإحداث أضرار واسعة.
ويوفر الجيل الجديد من أنظمة SIEM لفرق البحث سرعة غير مسبوقة في رصد التهديدات، حيث يتيح لهم تنفيذ عمليات بحث أسرع بمعدل يصل إلى 150 ضعفاً مقارنة بأنظمة SIEM التقليدية. كما يزوّدهم بنظام استعلام متطور وبيئات عمل متكاملة للحصول على السياق الضروري لاكتشاف التهديدات المخفية عبر البنية التحتية للمؤسسة.
وفي ظلّ تصاعد التهديدات الأمنية وتزايد التكاليف، يواجه كبار مسؤولي أمن المعلومات تحدياً كبيراً في الحفاظ على توازن فعال بين تعزيز الدفاعات الأمنية وتقليل التعقيدات التشغيلية.
ويمثل الجيل الجديد من أنظمة SIEM تطوراً جوهرياً في مجال الأمن السيبراني، حيث يمنح المؤسسات السرعة والكفاءة والقدرة على خفض التكاليف لمواجهة التهديدات المتقدّمة.
* الرئيس التنفيذي للتكنولوجيا، الأسواق الدولية «كراود سترايك»