تقرير كاسبركي: تقييم فعالية مراكز العمليات الأمنية والتعامل مع النقطة العمياء
أظهر تقرير عالمي حديث صادر عن خدمات كاسبرسكي الأمنية بعنوان «تشريح العالم السيبراني» * (Anatomy of a Cyber World) وجود نقطة عمياء غير ملحوظة في مراكز العمليات الأمنية ((SOC داخل المؤسسات؛ فبينما يتم قياس الأداء عادةً بناء على سرعة الكشف عن الهجمات السيبرانية والاستجابة لها، إلا أن المؤسسات نادراً ما تتحقق من كون أنظمتها ترصد أكثر التهديدات أهمية بالفعل أم لا. إن نسبة كبيرة من بيانات القياس عن بُعد التي يتم جمعها لا تصل إلى أنظمة الكشف الفوري؛ مما يؤدي إلى ظهور فجوات خفية لا ترصدها التقييمات الداخلية بسهولة، الأمر الذي يعزز الحاجة إلى خدمات استشارية مستقلة لمراجعة كفاءة مراكز العمليات الأمنية وكشف أوجه القصور فيها.
رغم تزايد استثمارات المؤسسات في مراكز العمليات الأمنية ((SOC، إلا أن قياس الأداء الحقيقي لهذه الجهات ما يزال يشكل تحدياً كبيراً. فنجاح العمليات الأمنية لا يرتبط فقط بحجم البيانات التي يتم جمعها، وإنما بمدى الاستفادة من تلك البيانات في الكشف عن التهديدات. وبحسب استطلاع حديث أجرته كاسبرسكي، تعتمد المؤسسات عادةً على نطاق محدود من مؤشرات الأداء الرئيسية عند تقييم فعالية مراكز العمليات الأمنية، إذ يبرز متوسط زمن الاكتشاف (MTTD) ومتوسط زمن الاستجابة (MTTR) كمؤشرين أساسيين، بينما تتراجع أهمية بعض المؤشرات الأكثر عمقاً، مثل معدلات التنبيهات الخاطئة أو تكلفة كل حادثة أمنية. والتحدي الحقيقي هنا لا يقتصر على سرعة الاستجابة، بل يتمثل في قدرة المركز على رصد التهديدات قبل أن تتطور.
تشير نتائج التقرير العالمي الصادر عن خدمات كاسبرسكي الأمنية إلى نمط ثابت في عمل مراكز العمليات الأمنية؛ إذ يتم جمع بيانات أكثر بكثير مما يُستخدم فعلياً في الكشف عن التهديدات. ويبلغ متوسط تغطية قواعد الارتباط بين المؤسسات التي شملها التقييم 43%، أي أن أنظمة الكشف النشط تغطي أقل من نصف مصادر البيانات المُجمعة. أما باقي البيانات فتبقى متاحة داخل النظام لاستخدامها لاحقاً في التحقيقات أو البحث عن التهديدات أو لغايات الامتثال، لكنها لا تُستثمر في الكشف الفوري عن التهديدات.
لا يمكن دائماً اعتبار هذه الفجوة غير مقصودة. إذ يتم جمع بعض البيانات بشكل متعمد خارج نطاق آليات الارتباط النشطة، بهدف دعم التحقيقات أو تلبية المتطلبات التنظيمية. غير أنه في العديد من الحالات الأخرى، يتم دمج مصادر البيانات دون وجود خطة محددة للكشف، أو مع تأجيل عملية تطوير القواعد إلى أجل غير مسمى. ومع أن هذا الوضع يُلاحظ عادة في مراكز العمليات الأمنية الأكثر نضجاً، فإن المراكز الأقل نضجاً تشهد غالباً جمعاً للبيانات دون استخدامها فعلياً. وتتعدد الأسباب وراء ذلك، ومن بينها إدخال مصادر بيانات قبل اكتمال تطوير قواعد الكشف، أو الاكتفاء بمتطلبات الامتثال دون وجود حاجة تشغيلية لربط البيانات وتحليلها، أو عدم وضوح المسؤولية الداخلية عن تطوير آلية الكشف، بالإضافة إلى محدودية الموارد التي تؤدي إلى تأجيل الأعمال الهندسية. وفي جميع الأحوال، تظل أجزاء كبيرة من البيئة التقنية خارج نطاق المراقبة الفورية.
تزداد صعوبة معالجة هذه المشكلة كلما كبر حجم المؤسسة؛ إذ إن مراكز العمليات الأمنية التي تتعامل مع كميات كبيرة من البيانات لا تطبق آليات كشف فعّالة إلا على نحو 30% من مصادر البيانات لديها. ومع توسع البنية التحتية، لا تتطور قدرات فرق هندسة الكشف بالمعدل ذاته. وغالباً ما تكون البيانات المتنوعة للشبكات، وقواعد البيانات، وخوادم الويب من أكثر المصادر التي تُترك دون تغطية، رغم أنها تشكل عناصر محورية يجب أن تكون في صميم أي استراتيجية فعّالة للرصد والكشف الأمني.
يختلف نهج إعداد آلية الاكتشاف الأمني بصورة ملحوظة من مؤسسة إلى أخرى. إذ تعتمد نحو 50% من مراكز العمليات الأمنية التي خضعت للتقييم على قواعد جاهزة مقدمة من المورّدين، بينما يفضّل نحو 40% بناء آليات الكشف الخاصة بهم داخلياً من البداية. وغالباً ما تعاني الفرق التي تعتمد على حلول المورّدين من كثرة الإنذارات الخاطئة وفجوات في التغطية بسبب ضعف عمليات التهيئة والتخصيص، في حين تواجه المؤسسات التي تعتمد بشكل أساسي على تقنيات اكتشاف نقاط النهاية والاستجابة لها (EDR) من نقاط عمياء بسبب غياب الربط والتحليل بين مصادر البيانات المختلفة. كما أن العديد من المؤسسات تضع نطاق الاكتشاف الخاص بمركز العمليات الأمنية عند تأسيسه فقط، ثم لا تعيد تقييمه لاحقاً، مما يسمح بتراكم النقاط العمياء تدريجياً مع توسع البنية التحتية وتطورها.
علّق رومان نزاروف، رئيس قسم استشارات مراكز العمليات الأمنية في كاسبرسكي، قائلاً: «حتى في ظل وجود مؤشرات أداء رئيسية محددة مسبقاً، يظل تقييم فعالية مراكز العمليات الأمنية داخليًا تحديًا كبيرًا نتيجة محدودية الرؤية المتأثرة بالتحيز الداخلي، ولهذا تلجأ المؤسسات إلى الاستعانة بجهات خارجية متخصصة في تقييم مراكز العمليات الأمنية بهدف تقييم آليات الكشف، وتحليل مسارات الأحداث، ومحاكاة الهجمات بهدف فهم ما يتم رصده فعلياً. ولتحسين الأداء، يجب على المؤسسات إنشاء عملية منظمة لهندسة الكشف، تقوم على آلية متكررة لتطوير منطق الكشف والتحقق من فعاليته ومراجعته بشكل دوري.»
ولمواءمة العمليات الداخلية والتقنيات مع مشهد التهديدات السيبرانية المتغير باستمرار، يمكن للمؤسسات الاستعانة بخدمة استشارات مركز العمليات الأمنية من كاسبرسكي Kaspersky SOC Consulting، التي تدعم بناء مركز عمليات أمنية داخلي من الأساس، أو تقييم كفاءة المراكز الحالية، أو تعزيز قدرات محددة مثل آليات الكشف والاستجابة للحوادث. وخلال عام 2025، تصدّر مشروع التقييم التقني لمراكز العمليات لأمنية قائمة الخدمات الاستشارية الأكثر طلباً بنسبة 23.4%، تلاه مشاريع تطوير أطر عمل مراكز العمليات الأمنية بنسبة 20%، فيما سجّل كل من تقييم النضج لمركز العمليات الأمنية وضمان جودة نظام إدارة معلومات وأحداث الأمان (SIEM) نسبة 11.7% لكل واحد منهما، مما يعكس تزايد الحاجة إلى فهم أعمق لأداء مراكز العمليات الأمنية.
وللاطلاع على مزيد من التفاصيل حول فعالية قدرات الكشف داخل مراكز العمليات الأمنية والخطوات العملية لتعزيز المراقبة الأمنية، يمكنك قراءة التقرير الكامل.
*يعرّف تقرير «تشريح العالم السيبراني» بأنّه تقرير عالمي مفصّل وشامل يستند إلى إحصائيات الحوادث التي جُمعت عبر خدمات كاسبرسكي للاكتشاف والاستجابة المدارة (Kaspersky MDR)، وخدمة الاستجابة للحوادث من كاسبرسكي (Kaspersky Incident Response)، وخدمة تقييم واختبار مستوى الاختراق (Kaspersky Compromise Assessment)، بالإضافة إلى خدمة استشارات مركز العمليات الأمنية من كاسبرسكي (Kaspersky SOC Consulting). ويتناول هذا التقرير أبرز أساليب المهاجمين، وتقنياتهم، وأدواتهم، كما يستعرض خصائص الحوادث المكتشفة، وتوزيعها عبر الأقاليم الجغرافية والقطاعات الصناعية المختلفة.