MXDR
لطالما كانت حلول الاكتشاف والاستجابة المُدارة والموسعة (MXDR) عنصراً أساسيًا للشركات الكبرى. وتوفر هذه الحلول مراقبة على مدار الساعة طوال أيام الأسبوع، ومعالجة مستمرة للتهديدات، واستجابة سريعة للحوادث – كل ذلك دون الحاجة إلى نشر بنية تحتية داخلية وصيانتها. والأهم من ذلك، أنها تتيح إمكانية التنبؤ بتكاليف الأمن الإلكتروني. وتبدو كخيار مثالي للشركات الصغيرة والمتوسطة أيضًا. لكن، هذا ليس هو الحال دائمًا على أرض الواقع. وبالنسبة للشركات الصغيرة والمتوسطة، قد ينتهي المطاف بحل MXDR القياسي إلى تعقيد الأمور على فريق أمان تكنولوجيا المعلومات الداخلي بدلاً من تبسيطها، مما يُثقل كاهل أعضاء الفريق بوابل من التنبيهات المُربكة والأدوات الكثيرة.
تناقش هذه المقالة الفروقات بين خدمة MXDR المناسبة لمؤسسة كبيرة، وتلك التي تتلاءم تمامًا مع الإطار الأمني للشركات الصغيرة والمتوسطة المتنامية. وسنحدد كذلك الصفات التي نرى ضرورة توفرها في حل MXDR الأمثل لهذه الشركات.
لماذا تفشل حلول MXDR المخصصة للمؤسسات الكبرى مع الشركات الصغيرة والمتوسطة؟
تمتلك الشركات الكبرى عادةً بالفعل فريقًا متخصصًا للأمن الإلكتروني، ولديه عمليات ناضجة نسبيًا وخبراء مؤهلون قادرون على دمج الخدمة وإدارتها بكفاءة وسلاسة. ولذلك، غالبًا ما تستخدم المؤسسات الكبيرة حلول MXDR كجزء من نموذج مركز عمليات الأمن الهجين: يتولى فريق مزود خدمات خارجي بعض المهام، لكن يبقى جزء كبير من العمل على عاتق الفريق الداخلي.
تفتقر معظم الشركات الصغيرة والمتوسطة إلى مجموعة الحلول الضرورية، والأهم من ذلك، إلى فريق أمن إلكتروني داخلي متخصص – على الأقل فريق يمتلك فهمًا كافيًا لتكتيكات المهاجمين وتقنياتهم وإجراءاتهم (TTPs)، بالإضافة إلى المهارات اللازمة لمواجهتها. وغالبًا لا يتوفر لديها ما يكفي من الوقت أو الخبرة لدمج مصادر تتبع متعددة، أو إعداد قواعد الارتباط، أو تحليل سيل التنبيهات. وفي أغلب الأحيان، تقع مسؤولية الأمان في الشركات الصغيرة والمتوسطة على عاتق أعضاء فريق تكنولوجيا المعلومات الذين لا يملكون ببساطة الطاقة الاستيعابية للتواصل المستمر مع المحللين الخارجيين.
غالبًا ما تكون نتيجة محاولة دمج حلول مستوى المؤسسات الكبرى في البنية التحتية للشركات الصغيرة والمتوسطة هي زيادة العبء بدلاً من تبسيط العمليات: سيل من تنبيهات الحوادث لا يجد من يحللها، وواجهات وعمليات معقدة يضيع فيها الفريق ببساطة. وفي ظل هذه الظروف، يصبح من الصعب للغاية تطوير الخبرات الداخلية؛ فالفريق يكون منشغلاً جداً بمحاولة الحفاظ على مستوى كافٍ من أمن الشركة. وهذا هو بالتحديد السبب الذي يجعل الشركات الصغيرة والمتوسطة بحاجة إلى شكل مختلف من MXDR: نموذج أكثر وضوحًا، مبني على الشراكة، ويركز على تطوير الفريق الداخلي بدلاً من إحلاله.
تشريح حل MXDR المثالي للشركات الصغيرة والمتوسطة
عندما يحتاج الفريق الداخلي إلى ضمان الأمن وتطوير خبراته الخاصة في الوقت ذاته، ويجب على خدمة MXDR أن توفر الدعم من خبراء مؤهلين وذوي خبرة، بدلاً من مجرد الحلول محل وظيفة الأمن الإلكتروني. ويجب أن تكون العلاقة قائمة على الشراكة، بحيث لا يكتفي مزود الخدمة بتحمّل بعض المسؤوليات والمساعدة في تحييد التهديدات فحسب، بل يفعل أيضًا ما يلي:
- يوضّح لفريق العميل كيفية وقوع الحادث، وما الاستنتاجات التي يمكن استخلاصها
- يوفر أدوات متقدمة للتحقيق والاستجابة المستقلة، دون تقييد عمل الفريق الداخلي.
- يساعد في ترسيخ أو دمج اهتمامات الأمن الإلكتروني ضمن الثقافة المؤسسية للشركة
بعبارة أخرى، تعمل خدمة MXDR المثالية للشركات الصغيرة والمتوسطة مع الفريق الداخلي، وليس بديلاً عنه. وفيما يلي، نستعرض الخصائص المحددة التي يجب أن يتمتع بها هذا الحل.
المرونة والقدرة على التكيف مع مستوى نضج الشركة
لا تختلف الشركات الصغيرة والمتوسطة في احتياجاتها فحسب، بل في درجة نضجها الأمني الإلكتروني أيضًا. لذلك، لا ينبغي أن تقتصر خدمة MXDR على الأتمتة الأساسية أو على سيناريوهات “مقاس واحد يناسب الجميع”. ويجب أن يكون مزود الحل قادرًا على التكيف مع خصوصية كل عميل.
يعني هذا أنه يجب تكوين قواعد الكشف وفرز التنبيهات بناءً على خصائص البنية التحتية، والبرامج وأدوات الأمان المستخدمة، وسلوكيات مجموعات المستخدمين المختلفة. ويتيح هذا التمييز بين التهديد الحقيقي والنشاط الطبيعي، وبالتالي تقليل عدد التنبيهات الإيجابية الكاذبة.
يساعد هذا المستوى من التخصيص على تقليل عدد طلبات التوضيح التي يتعين على خبراء MXDR توجيهها إلى فريق العميل – على سبيل المثال، ما إذا كان قيام مستخدم معين بتشغيل PowerShell يُعد سلوكًا اعتياديًا أم شاذًا. ويسرّع هذا من عملية اكتشاف التهديدات والاستجابة للحوادث، ويقلل عبء العمل على فريق الأمن الإلكتروني الداخلي لدى العميل، مما يسمح لأعضاء الفريق بالتركيز على المهام الإستراتيجية.
الشفافية والوضوح
بالنسبة للفريق المسؤول عن الأمن الإلكتروني في الشركات الصغيرة والمتوسطة، من الضروري جدًا ألا يغرق في مئات الإشعارات. وهو يحتاج إلى أن يفهم بسرعة ماهية التهديد الحقيقي، وما الإجراءات التي اتُخذت بالفعل، والخطوات التي يجب اتخاذها بعد ذلك. ولذلك، يجب على فريق خدمة MXDR عالية الجودة ألا يقتصر تحليله على الأحداث الخبيثة الواضحة فحسب، بل يمتد ليشمل الأنشطة المشبوهة الصادرة عن البرامج المشروعة. وبناءً على ذلك، يجب اختيار التنبيهات المتعلقة بالنشاط العدائي فقط، من بين آلاف التنبيهات الأخرى. ويجب تقديم صورة واضحة وجاهزة لما حدث للعميل، لا مجرد عدد كبير من الفرضيات، على أن تكون الصورة مدمجة في حادث واحد ومصحوبة بالسياق. ويشمل ذلك تحديد السبب الجذري، والأحداث ذات الصلة، والأصول المتأثرة.
لتسهيل عملية الإدارة على الشركة، يجب أن يوفر المزود نظرة عامة على جميع الأصول المحمية وحالتها الحالية، ليتمكن العميل من فتح لوحة المعلومات في أي وقت ورؤية ما هو تحت السيطرة وما يتطلب الاهتمام. وإذا ما زالت هناك أسئلة لدى الفريق الداخلي، فيجب أن يكون قادرًا دائمًا على التواصل مباشرة مع خبراء الخدمة للعمل معًا – على سبيل المثال، مراجعة تفاصيل حادث معين.
هناك عنصر شفافية آخر هو إعداد التقارير. ويجب أن يتوفر خيار لتخصيص التقارير لتلبية احتياجات العميل ومتطلباته؛ على سبيل المثال، عبر توفير ملخص مريح كل أسبوعين يتضمن أهم الاستنتاجات، ووصفًا تفصيليًا للحوادث عند الضرورة. وتعد المرونة في وسائل الاتصال أمرًا حيويًا أيضًا؛ إذ يجب أن يكون العميل قادرًا على اختيار القناة الأكثر ملاءمة – سواء تطبيق مراسلة، أو بريد إلكتروني، أو غير ذلك – لضمان التواصل مع الفريق الداخلي في الوقت المناسب عند الحاجة إلى اتخاذ قرار بشأن حادثة ما. ويساعد هذا إدارة الشركة على متابعة الأمور عن كثب، بينما يمكن للخبراء الفنيين مراقبة الأحداث بوتيرة معقولة والتعمق فيها عند اللزوم.
بفضل هذا النهج، يخفف حل MXDR من وطأة أحد أكبر التحديات التي تواجه الشركات الصغيرة والمتوسطة: الحاجة إلى فرز مئات الإشعارات وتحديد أولوياتها بشكل مستقل.
الوصول إلى معلومات التهديد المحدثة
في حالة تفضيل الفريق الداخلي التعامل مع اختبار الفرضيات وتحليل السبب الجذري بشكل داخلي، فمن الضروري أن يقوم حل MXDR بتمكين الصيد الاستباقي للتهديدات وتحليل الآثار باستخدام أدوات XDR المتاحة. لذلك، يجب على مزود حل MXDR أن يمنح العميل إمكانية الوصول إلى قواعد المعرفة حول التكتيكات والتقنيات الحالية للمهاجمين (استخبارات التهديدات)، ومعلومات عن الحملات الجديدة، والتحليلات ذات الصلة. ومع ذلك، إذا لزم الأمر، كما في حالة إدراك فريق العميل أن خبرته غير كافية على الرغم من توفر بيانات التكتيكات والتقنيات والإجراءات (TTP)، فلا يزال يتعين توفير خيار تصعيد التنبيه إلى فريق MXDR لإجراء التحليل.
المساعدة في بناء ثقافة أمان
يبدأ جزء كبير من الحوادث نتيجة خطأ موظف. لذلك، يجب على مزود حل MXDR الجيد أن يساعد العميل في تعزيز ثقافة أمن إلكتروني صحية داخل المؤسسة. ويتم ذلك إلى حد كبير من خلال رفع مستوى وعي الموظفين العاديين بالحيل الحديثة التي يستخدمها المهاجمون.
لا يستلزم النهج الأكثر فاعلية محاضرات نظرية مجردة، بل تدريبًا يعتمد على حوادث واقعية حدثت بالفعل داخل الشركة. على سبيل المثال، إذا بدأ هجوم بفتح موظفين في فريق معين لرسالة بريد إلكتروني للتصيد الاحتيالي، فيجب أن يخضع ذلك الفريق لتدريب يركز تحديدًا على هذا السيناريو. ومن الناحية المثالية، يجب اختبار مدى تقدمهم من خلال حملة لمحاكاة التصيد الاحتيالي. وتساعد هذه الإجراءات الاستباقية في تخفيف المخاطر المرتبطة بالعامل البشري، وبالتالي تقليل الخسائر المالية المحتملة، وهذا مصدر قلق بالغ للمؤسسات التي تسعى للنمو.
على سبيل المثال، يتيح لك حلنا Kaspersky Next MXDR Optimum تعيين تدريب للموظفين مباشرة من بطاقة التنبيه ببضع نقرات. علاوة على ذلك، لتعزيز مهارات ومعارف “المدافعين في الخطوط الأمامية”، يقدم حلنا برامج تدريب على الاستجابة مُصممة خصيصًا لفرق تكنولوجيا المعلومات والأمن الإلكتروني. وتسمح هذه البرامج للمختصين بالتعامل بعمق مع الأدوات المتقدمة في بيئات تحاكي سيناريوهات العالم الحقيقي، مما يُمكّنهم من حل الحوادث بسرعة وفعالية. على سبيل المثال، يمكنهم تعلم كيفية التحقق بأمان من تجزئة كلمات المرور، والبحث عن التناقضات بين سياسات النطاق الموصى بها والسياسات الفعلية، وتقييم أمان معاملات Active Directory.
خاتمة
بالنسبة للشركات الصغيرة والمتوسطة، لا يجب أن تكون خدمة MXDR “صندوقاً أسود” غامضًا على الإطلاق. بل هي منظومة قائمة على الشراكة تجمع بين:
- دعم من خبراء لا يقتصر دورهم على توفير الحماية فحسب، بل يساعدون الفريق أيضًا على التعمق في سياق الحوادث
- الوصول إلى أدوات XDR الواضحة وسهلة الإدارة للتطوير التدريجي للخبرات الداخلية
- التدريب الموجه لكل من الفريق الداخلي لتكنولوجيا المعلومات وجميع الموظفين الآخرين في جميع أقسام الشركة
انطلاقاً من هذه الفلسفة، صممنا حلنا Kaspersky Next MXDR Optimum: كخدمة تعمل بتناغم مع أدوات XDR وتدعم إستراتيجية نمو الشركات الصغيرة والمتوسطة. ويمكنك معرفة المزيد عن هذا الحل عبر صفحة Kaspersky Next Optimum.
النصائح