يشهد مشهد الأمن السيبراني تطوراً سريعاً، ويواجه متطلبات متزايدة ومتطلبات صارمة. ويُعزى هذا التغيير إلى عوامل مختلفة مثل انتشار التهديدات السيبرانية المتطورة (مثل هجمات حجب الخدمة الموزعة وبرامج الفدية)، والتقدم في معايير التكنولوجيا (25/50/100 جيجابت/ثانية)، والحاجة إلى الامتثال للتشريعات المتطورة (مثل قانون الأمن السيبراني 2 وقانون المرونة السيبرانية).
وقد أثر ذلك على سوق الحلول. فقد أصبح هذا السوق، الذي كان في يوم من الأيام ناقلًا للابتكارات الرئيسية، غارقًا في البدع والمعارك الخلفية وسمح للبيانات الصحفية والمقالات المشتراة أن تطغى على واقع التقدم التكنولوجي المتراجع.
في كل عام يبحث النظام البيئي للوسائط عن بطله الجديد وبمرور الوقت تحول التركيز من IDS إلى IPS ومن UTM ثم إلى SIEM. في الآونة الأخيرة، ركزت جهود التطوير على نقطة النهاية وحول المستخدمين النهائيين (UBA - تحليلات سلوك المستخدم). وبالتالي، فقد تم تسليط الضوء على أجهزة EDRs، ومؤخراً أجهزة XDRs، من خلال السرد التجاري. ويواجه أولئك الذين يسعون إلى رؤية أكثر وضوحًا عددًا كبيرًا من المقالات المقارنة التي تحاول الفصل بين أفضل اللاعبين في السوق من خلال شبكة تحليل دقيقة للغاية، على الرغم من أن مبادئها التكنولوجية متطابقة.
السمة المشتركة بين هذه المنتجات، وجميعها ممتازة، هي أنها عززت بشكل كبير من قدراتها في الكشف عن التهديدات وحماية نقاط النهاية من خلال نشر وكلاء البرمجيات. ومع ذلك، فإن هذا النهج المرتكز على الآلة في الأمن السيبراني لا يوفر سوى حماية جزئية ولا يزال يحتوي على مناطق رمادية كبيرة، وعلى أي حال، لن يعمل إلا مع التهديدات المعروفة، على مجموعة محددة من الأجهزة القادرة على دعم الوكيل.
الوكلاء كأبطال لحلول الأمن السيبراني؟
والسبب في انتشار نشر الوكيل على نطاق واسع هو أنه يلبي الحاجة المتزايدة لتحسين الرؤية عبر جميع نقاط النهاية. كما أن حلول EDR مناسبة تماماً لاكتشاف وحماية أصول تكنولوجيا المعلومات لديك من بعض أشكال التهديدات المتقدمة (البرمجيات الخبيثة، والبرمجيات الخبيثة المضادة للبرمجيات الخبيثة، ومحاولات التصيد الاحتيالي، وما إلى ذلك) التي لم تكن أكثر انتشاراً مما كانت عليه منذ انتشار العمل عن بُعد.
ومع ذلك، لتنفيذ مهمتهم، يطلب الوكلاء باستمرار الوصول بامتياز إلى مواردك وأنظمتك. قد يقوم بعضها، على سبيل المثال، بإرسال محتويات قواعد بيانات بريدك الإلكتروني غير المشفرة إلى سحابة لا يمكنك الاطلاع عليها، والبعض الآخر لتطبيق خوارزميات معالجة اللغة الطبيعية (NLP). وسيقوم البعض الآخر بفحص دوري لذاكرة الوصول العشوائي لأجهزتك ونظام الملفات الخاص بك بالكامل ليتمكن من مكافحة التهديدات التي أصبحت أكثر تطوراً للتهرب من تقنيات الكشف عن EDR.
تتطلب الطبيعة المتغيرة للتهديدات زيادة الموارد لمواجهتها. ومع ذلك، فإن نشر الوكلاء في مجمع الحواسيب يعد عملاً ملتزماً. في بعض الحالات، يمكن أن يصبح الوكلاء في بعض الحالات نقاط وصول مميزة إلى جميع أنظمة المعلومات الخاصة بك (# SolarWinds).
وبمجرد أن يتم تخريب EDR/XDR أو تجاوز NIDS، تنخفض بشكل كبير القدرة على الإخطار بأن الشبكة تتعرض للاختراق وأن البيانات قد يتم تسريبها. وعلاوة على ذلك، في حين أن برامج EDRs تعمل بشكل جيد على الأجهزة التي تعمل بأنظمة تشغيل تقليدية (Mac OS وWindows وLinux)، فإن فعاليتها مشكوك فيها في البيئات الأكثر غرابة مثل إنترنت الأشياء أو المعدات الصناعية (SCADA) أو بيئات BYOD.
لماذا لا يزال EDR هو المفضل لدى مدراء أمن المعلومات؟
إذا استمر نشر الوكلاء في التضاعف أضعافًا مضاعفة، فذلك لأن الأمر بسيط: جهاز واحد - وكيل واحد، ولأن كثافة عرض المبيعات يمكن أن توهم بأن هذا يكفي لحماية البنية التحتية لتكنولوجيا المعلومات بأكملها.
ويتفاقم هذا الأمر بسبب عدم قدرة الجهات الفاعلة المعروفة في مجال أمن الشبكات على توفير حلول قوية تقنياً وبأسعار معقولة توفر رؤية دقيقة للشبكة.
توجد حلول مثل NDR (الكشف عن الشبكة والاستجابة) ولكنها غير قادرة على مواكبة تغيرات الشبكة. في الواقع، ولإخفاء تقادمها، فإنها تستخدم في الغالب اختصارات تقنية، لا تتوافق مع نهج انعدام الثقة (مثل تشريح الحزم، وأخذ عينات الحزم، والحصري_على_IP، و FPGA، وما إلى ذلك)، مع وجود بصمة مادية وتكلفة مالية عالية جدًا.
لم يتمكن النهج التقليدي لتحليل الشبكات من التعامل مع العديد من التطورات المهمة:
- الزيادة المستمرة في السرعات (25 جيجابت/ثانية و50 جيجابت/ثانية والآن الانتشار الواسع النطاق لسرعات 100 جيجابت/ثانية);
- تنويع الاستخدامات (BYOD، وإنترنت الأشياء، وما إلى ذلك);
- التعقيد المتزايد للشبكات (التشفير، والافتراضية المتزايدة، ونظام GSM عبر الإيثرنت، وما إلى ذلك);
- التهجين: من النواة إلى الحافة، ومن الحافة إلى السحابة، ومن الحافة إلى الحافة
هكذا أصبحت أجهزة EDRs بطبيعة الحال، من الناحيتين التقنية والتجارية، الحل الوحيد. بعبارة أخرى، الحل الوحيد. من الناحية التقنية، لأنها تسمح بالتحايل على الصعوبات من خلال تحويل مسؤولية الأمن إلى النقطة النهائية، إلى المستخدمين، إذا جاز التعبير. ومن الناحية التجارية، لأن بيع العديد من الاشتراكات بسعر منخفض للوحدة أسهل من إقناع الشركة بالاستثمار في معدات أكثر تكلفة، من حيث الوحدة، ولكنها ستمكنها من الحصول على الرؤية الكاملة التي تحتاجها.
في نهج انعدام الثقة في الأمن السيبراني، لا يزال برنامج EDR بالطبع مهمًا، لكنه ليس سوى لبنة واحدة في بنية أكبر. وبالتالي لا يمكن أن يكون ألفا وأوميغا للسياسة الأمنية لنظام المعلومات. لا يمكن لأي حل للأمن السيبراني أن يدعي أو ينبغي أن يدعي أنه ...
إن EDR أداة ضرورية، لكنها ليست كل شيء...
و NDR نعم! ولكن في وضع انعدام الثقة!
كما ذكرنا أعلاه، تحاول حلول تحليل الشبكات والحلول الأمنية بالفعل حل بعض التحديات السيبرانية التي يمكن أن تكون جزءًا من نهج الثقة الصفرية، والذي يطرح إطار عمل عدم الثقة في أي شيء بشكل مطلق: يتم فحص كل شيء، من البنية التحتية إلى الاستخدام، في جميع الأوقات، وليس فقط حقوق الوصول.
ومع ذلك، فإن جميع الحلول الأمنية للشبكات عادةً ما يتم تقويضها جميعًا باستخدام اختصارات الأجهزة والبرمجيات التي تتطلب منهم وضع الثقة الكاملة في عناصر لا يتحكمون فيها (على سبيل المثال، مثل الاكتفاء بالرؤية فقط على بروتوكولات معينة عبر بروتوكول الإنترنت) أو استخدام "حيل" إحصائية للتعويض عن عدم كفاءتها (أخذ العينات، والتقطيع، وما إلى ذلك).
سراب الإحصاءات مثال صارخ على ذلك. فبعض الحلول التي يتم تسويقها تطبق عمليات التعلم الآلي (M/L) للكشف. تكمن المشكلة في أنه من غير الدقيق والمحفوف بالمخاطر أن يستند المرء في عمليات التعلم الآلي (M/L) على قيم إحصائية مستمدة هي نفسها من أخذ عينات غير خاضعة للرقابة، ناهيك عن الخسائر التي تتسبب فيها المعدلات الإيجابية الزائفة المرتفعة على فرق مركز العمليات الأمنية. على أي حال، لا يمكن الامتثال لإطار عمل مستوحى من "الثقة الصفرية" (التي يتم إساءة استخدامها هي نفسها بشكل متزايد لأسباب تسويقية).
إن استخدام التعلم الآلي لتعزيز قدرات الكشف والتنبيه المتقدمة وتحذير المستخدم من الحالات الشاذة المعقدة المرتبطة بسوء استخدام التطبيقات والعمليات هو أمر مرضٍ من الناحية النظرية، ولكن فقط إذا كانت حدوده معروفة. استنادًا إلى بيانات مجزأة، لا يمكن أن يدعي أنه شامل وقادر على مراقبة الشبكات بشكل كامل. وينطبق الشيء نفسه إذا اقتصر المرء على تحليل الشبكة عبر تدفقات بروتوكول الإنترنت أو حتى عبر_TCP فقط!
إذا لم تكن القدرة على الملاحظة كاملة، فإن الأمر يشبه تحليل جبل جليدي من خلال الاكتفاء بالجزء الظاهر: يبقى الجزء المغمور في الظل. ومن خلال التخلي عن هذه القدرة، نسمح باستمرار البقع العمياء في الشبكات، والتي تتضاعف باستمرار مع تعميم الافتراضية، وتكنولوجيا المعلومات في الظل، و BYOD، وما إلى ذلك...
بالإضافة إلى ذلك، حتى مع مزيلات البيانات ذات الأداء العالي جدًا (مثل Extrahop أو VectraAi)، فإن الالتزام باستخدام أجهزة محددة يجعلها، بحكم تعريفها، غير قابلة للتطوير بشكل كبير ويضعها في إطار استخدام مقيد للغاية.
ولسوء الحظ، فإن الإصدار البرمجي من مجموعة تطبيقاتهم، بسبب أدائه الضعيف (نسبة الموارد المطلوبة إلى التدفقات التي تتم معالجتها)، يتسبب في ارتفاع تكاليف الاستضافة. يدفعهم هذا الأداء المحدود للغاية إلى الابتعاد أكثر فأكثر عن "الثقة الصفرية" التي يدّعونها.
ما الذي يجب أن يفعله مدير أمن المعلومات لزيادة حمايته وتقليل سطح الهجوم والتحكم فيه؟
من الواضح أن إضافة NDR إلى مجموعتك لإكمال EDR الخاص بك. لكن NDR قادر على تحليل حركة المرور بدون ثقة (Z2TA)، أي تحليل كامل لكل حزمة على جميع الطبقات وقادر على استخراج جميع البيانات الوصفية اللازمة (وهو ما يستثني التقنيات القائمة على أخذ العينات).
تجبرنا Z2TA على البدء من صفحة بيضاء من أجل الاستجابة لجميع المشاكل التي تم تحديدها سابقًا وتسمح لنا بتقديم رؤية غير منقوصة لمديري أمن المعلومات لشبكاتهم دون تحيز مفاهيمي. إن Z2TA هو الحل المستقبلي الذي يسمح بمواجهة مجموعة من التهديدات التي لا تستطيع أجهزة EDRs رؤيتها، والتي تكون أحياناً ناقلها.
يعد تحليل حركة مرور البيانات بدون ثقة أداة لا غنى عنها في صندوق أدوات مدير أمن المعلومات لتلبية أعلى متطلبات الأمن السيبراني.
