ارتفاع الطلب على الأمن السيبراني في مركز العمليات الأمنية في القطاع العام

شركة نفط الجنوب

إن توظيف الخدمات المُدارة مثل SOC هو إجراء لمعالجة نقص العمالة المؤهلة والفجوة التكنولوجية في القطاع الحكومي

تكشف البيانات التي جمعها مكتب الأمن المؤسسي التابع لرئاسة الجمهورية عن زيادة في حوادث الهجمات الإلكترونية والثغرات الأمنية في وكالات الحكومة الفيدرالية في يناير. تم تسجيل 989 حادثة خلال الشهر، بزيادة قدرها 75% مقارنة بالفترة نفسها من العام الماضي. ومن بين الحوادث الرئيسية التي تم اكتشافها تسريبات البيانات (413)، وثغرات التشفير (112)، وإساءة استخدام مواقع الويب (107)، والبرامج المعرضة للخطر (82). تثير هذه الأرقام ناقوس الخطر بشأن تقدم التهديدات السيبرانية في القطاع العام وإلحاح تدابير الدفاع والاستجابة، مما أدى إلى زيادة الطلب على الخدمات التي تقدمها مراكز عمليات الأمن، أو ببساطة SOC (اختصار باللغة الإنجليزية لـ مركز العمليات الأمنية) في الهيئات البلدية والولائية والفيدرالية.

ويبرر ارتفاع الطلب بنقص العمالة المتخصصة في مجال أمن المعلومات والفجوة التكنولوجية في الأدوات الأكثر تقدماً للدفاع السيبراني في القطاع العام. إن النقص في المتخصصين المؤهلين يرجع في المقام الأول إلى نقص التدريب في مجال أمن المعلومات، مما يخلق "انقطاعًا" في هذا المجال. ونتيجة لذلك، قامت الوكالات الحكومية بزيادة ميزانياتها المخصصة لتعهيد خدمات الأمن المدارة إلى مقدمي الخدمات من القطاع الخاص المسؤولين عن توفير مراكز العمليات الأمنية.

يقول سيجمار فروتا، رئيس قطاع الحكومة في شركة كريبتوس، وهي شركة برازيلية متعددة الجنسيات متخصصة في التشفير والأمن السيبراني: "مع تزايد عدد الحوادث السيبرانية وتعقيدها، من الضروري تنفيذ أنشطة الدفاع والتعريف والمعالجة والاحتواء والاستجابة للحوادث السيبرانية في أسرع وقت ممكن، وقد أصبح الاستعانة بمصادر خارجية لمركز العمليات الأمنية حلاً قابلاً للتطبيق نظرًا لنقص الموظفين المتخصصين للغاية في القطاع العام للتعامل مع هذه الحوادث".

توفر مراكز العمليات الأمنية مراقبة على مدار الساعة طوال أيام الأسبوع للحوادث الإلكترونية والتقييم المستمر لعمليات أمن الهيئات العامة، وتصحيح أي إخفاقات ورفع مستويات الحماية. تعمل الفرق على تحديد نقاط ضعف الشبكة وتقييم مدى الضرر الناجم عن أي اختراق محتمل باستخدام أدوات واختبارات شاملة، مثل عمليات محاكاة الاختراق، من أجل زيادة قدرات الدفاع والاستجابة لدى العميل. "إن امتلاك المعرفة والخبرة فيما يتعلق بأهمية الثغرات الأمنية وتوقع آثارها وأضرارها يعد أمرًا أساسيًا في بيئة تكنولوجيا المعلومات، لأنه فيما يتعلق بأمن المعلومات غالبًا ما يقال إن هناك نوعين فقط من الوكالات الحكومية في البرازيل: تلك التي تعرف أنها تعرضت للاختراق الرقمي؛ وتلك التي لا تعرف ذلك بعد"، كما يوضح المدير التنفيذي لشركة Kryptus.

من حيث التكاليف، هناك ميزتان لاستعانة جهات حكومية بمصادر خارجية لإدارة مركز العمليات الأمنية. لم يعد الأمن مجرد أصل يُشترى ويُركّب. ولذلك، فإن الميزة الأولى هي أن الحكومة لن تعتمد نموذج النفقات الرأسمالية (CAPEX) - ما يُسمى بميزانية الاستثمار - للسلع الرأسمالية، مثل تراخيص وأجهزة أمن المعلومات، بل ستعتمد نموذج النفقات التشغيلية (OPEX) - ما يُسمى بميزانية الإنفاق - الذي يتميز بتقديم خدمات الاستحواذ، مع دفع شهري مقابلها. بمعنى آخر، تُدرج الميزانية المخصصة لخدمات مركز العمليات الأمنية (SOC) ضمن بنود ميزانية النفقات، والتي عادةً ما يكون من الأسهل على مدير الهيئة العامة جعلها قابلة للتطبيق وتبريرها، كما يلاحظ فروتا. ويتابع قائلاً: "الميزة الثانية هي أن الحكومة لا تحتاج إلى القلق بشأن استبدال تقنيات أمن المعلومات القديمة - وهو أمر يتطور باستمرار على أساس يومي - حيث أن التحديث المستمر لأدوات مركز العمليات الأمنية، مثل SIEM وإدارة الثغرات الأمنية وEDR/XDR وحتى جدران الحماية، منصوص عليها بالفعل في عقد تقديم الخدمة الذي يتضمن الترخيص". كخدمة "من هذه الأدوات."

كما علق المدير التنفيذي لشركة كريبتوس على السلوك النموذجي للمهاجمين السيبرانيين الذين يستهدفون القطاع العام، والذين يسعون عمومًا إلى المساس بخصائص مثل توفر أو أداء الخدمات الرقمية الأساسية المتاحة للمواطنين. "وهذا واضح تمامًا مع نمو الهجمات من هذا النوع الفدية أو هجمات رفض الخدمة (DDoS)، التي تجعل توفير الخدمات الرقمية غير ممكن من خلال جعل بيانات المؤسسة غير متاحة من خلال التشفير من أجل الحصول على مكاسب مالية من خلال الفدية أو الإضرار بوقت استجابة الخدمة الرقمية. ويشير فروتا أيضًا إلى أن مثل هذه الحوادث قد تكون مدفوعة أيضًا بالتحيز السياسي، في حالة الهجمات التي ينفذها المتسللون، بقصد الإضرار بسمعة الكيانات الحكومية، وهو عامل يرفع مستوى التأهب بشأن التهديدات الإلكترونية مع إجراء الانتخابات البلدية في أكتوبر.

وفي مثل هذا السيناريو، من المتوقع أن يحاول المهاجمون الخبثاء استغلال نقاط الضعف في بيئة تكنولوجيا المعلومات في المؤسسات الحكومية مع اقتراب فترة الانتخابات، كما يقول المسؤول التنفيذي. وفي شكل تدابير مضادة، يوصي بخمسة تدابير تعزيزية لفرق الدفاع - ما يسمى تصلب - تعزيز أمن مكونات وخدمات تكنولوجيا المعلومات، مثل التطبيقات وأنظمة التشغيل والخوادم وقواعد البيانات والشبكات وأصولها و النهاية:

• إدارة كلمة المرور/بيانات الاعتماد: تقوية كلمة المرور لتجنب نقاط الضعف النموذجية القابلة للاستغلال في بيانات الاعتماد، مثل كلمات المرور الافتراضية أو التخزين غير الصحيح (غير المشفر) لبيانات الاعتماد على القرص المحلي؛

• تقييم امتيازات المستخدم: اعتماد مبدأ الحد الأدنى من الامتيازات لضمان حصول المستخدمين على حق الوصول فقط إلى ما هو ضروري، وبالتالي تقليل الخروقات الأمنية المحتملة؛

• التحديثات والتصحيحات الآلية: أتمتة عملية تحديث البرامج والبرامج الثابتة للتخفيف من نقاط الضعف المعروفة ومنع هجمات اليوم صفر؛

• حماية البيانات أثناء نقلها على الشبكة: تنفيذ التشفير لحماية حركة المرور على الشبكة والبيانات المخزنة، بما في ذلك النسخ الاحتياطية المشفرة خارج بيئة الإنتاج؛

• التحقق من التكوينات الخاطئة: إجراء عمليات تدقيق منتظمة لتحديد التكوينات الخاطئة على الخوادم وأجهزة التوجيه وجدران الحماية وما إلى ذلك وتصحيحها، وبالتالي تقليل خطر الاستغلال من قبل المهاجمين.

"من الناحية المثالية، ينبغي لمديري أمن المعلومات أن ينتهزوا الفرصة لتبني تدابير ملموسة لـ تصلب ويختتم فروتا قائلاً: "في الإطار الزمني الذي لدينا والذي يبلغ حوالي 150 يوماً حتى الجولة الأولى من الانتخابات، في السادس من أكتوبر/تشرين الأول".