إرسال السجلات والتنبيهات وبيانات القياس عن بُعد عبر صمام ثنائي البيانات

اكتشف كيف
نستخدمُ الذكاء الاصطناعي في ترجمات الموقع، ومع أننا نسعى جاهدين لبلوغ الدقة قد لا تكون هذه الترجمات دقيقةً بنسبة 100% دائمًا. تفهّمك لهذا الأمر هو موضع تقدير لدينا.
الصفحة الرئيسية/ المدونة / قواعد الكشف عن الثغرات الأمنية التي لا يمكن للذكاء الاصطناعي إعادة كتابتها
الكشف عن الثغرات الأمنية في يومها الأول

قواعد الكشف عن الثغرات الأمنية في يوم الصفر التي لا يمكن للذكاء الاصطناعي إعادة صياغتها

يعتمد كل من MetaDefender و Predictive Alin AI في الكشف عن البرامج الضارة على العوامل الثابتة التي تنطبق على كل من البنية التحتية التشغيلية (OT) والبنية التحتية الحيوية
بقلم OPSWAT
شارك هذا المنشور
جدول المحتويات
  1. لماذا تقع صناعة الأمن السيبراني في دوامة رد الفعل
  2. القاعدة الأولى: سيتكيف المهاجمون دائمًا بسرعة أكبر من الدفاعات الثابتة
  3. القاعدة 2: Fusion الإشارات أي محرك فردي
  4. القاعدة الثالثة: يجب أن تولد أنظمة الكشف المعلومات الاستخباراتية، لا أن تكتفي باستهلاكها
  5. بناء نظام الكشف على أساس ما لا يستطيع المهاجمون تغييره

لماذا تقع صناعة الأمن السيبراني في دوامة رد الفعل

تعيش صناعة الأمن السيبراني في حالة استجابة دائمة. فكل ربع سنة يجلب معه فئة جديدة من التهديدات، وتقنية جديدة للالتفاف على الأنظمة، واختصارًا جديدًا يوعد بإعادة تعريف مفهوم الدفاع. وهذا يخلق معضلةً أمام مديري الأمن السيبراني (CISO) ومديري التكنولوجيا (CTO) المسؤولين عن اتخاذ قرارات البنية التحتية ذات الأفق الطويل: حيث يجب أن تظل استراتيجيات الكشف صالحة لمدة تتراوح بين خمس إلى عشر سنوات، حتى مع تغير مشهد التهديدات كل بضعة أشهر. لذا، فإن الدفاعات متعددة الطبقات أمر ضروري. والسؤال المطروح هو: ما الذي يجب أن ترتكز عليه هذه الطبقات حتى تصمد مع تطور التهديدات؟

إن بناء هذه الاستراتيجية المستدامة يعني النظر إلى ما وراء التغيرات التي تطرأ على مشهد التهديدات، وتحديد العناصر الثابتة التي لا تتغير: وهي القيود الأساسية التي تستمر في تشكيل سلوك التهديدات بغض النظر عن كيفية أدوات . توفر هذه العناصر الثابتة أساسًا متينًا تستند إليه الدفاعات متعددة الطبقات، بحيث تظل بنية الكشف فعالة مع تغير التهديدات والتقنيات المحددة. في هذا المنشور، نركز على ثلاثة من هذه العناصر الثابتة نظرًا لتأثيرها المباشر الأكبر على الطريقة التي يجب بها بناء مسارات الكشف الحديثة.

لا يمكن للبنية التحتية الحيوية أن تتحمل دورة الاستجابة

في بيئات OT والبنية التحتية الحيوية، لا يتم تثبيت تصحيحات الأنظمة بسرعة؛ فالتحديثات غالبًا ما تكون خاضعة لسيطرة الموردين، كما أن فترات التعطل تنطوي على عواقب تشغيلية. وعندما يدخل ملف ضار إلى هذه البيئة، نادرًا ما يظل معزولاً. ولا تزال العديد من أساليب الكشف تعتمد على افتراضات لا تصمد في ظل هذه الظروف:

  • ستكون التهديدات مشابهة لما شهدناه من قبل
  • يمكن للفحص الثابت أن يحدد النية بشكل كامل
  • يُعد التأخير في التحليل مقايضة مقبولة

تشير الثوابت إلى واقع مختلف:

  • ستستمر التهديدات المجهولة في الظهور
  • يلزم إجراء تحليل سلوكي للكشف عن النية
  • تؤثر سرعة الكشف على نتائج الاحتواء
  • تفوق الإشارات المتعددة في الأداء على الكشف باستخدام محرك واحد
  • يجب أن تولِّد أنظمة الكشف المعلومات الاستخباراتية الخاصة بها

تلك الفجوة بين الافتراض والواقع هي المكان الذي ينشط فيه المهاجمون بأكبر قدر من الفعالية. ويبدأ القسم التالي بالثابت الأول الذي يكشف عنها باستمرار.

القاعدة الأولى: سيتكيف المهاجمون دائمًا بسرعة أكبر من الدفاعات الثابتة

الدفاع الثابت مجرد وهم مؤقت. فالمهاجمون يقومون بعملية عكس هندسة منطق الكشف، ويتبادلون تقنيات التهرب، ويكررون محاولاتهم باستمرار. وبمجرد نشر أي تقنية دفاعية وتركها دون تغيير، لا تظل أي منها فعالة لفترة طويلة في مواجهة خصم مصمم على التغلب عليها. وقد ظل هذا الأمر ساريًا منذ نشر أول بيئة اختبار (ساندبوكس)، كما أن البرامج الضارة التي يُنتجها الذكاء الاصطناعي لا تؤدي إلا إلى تسريع هذه الدورة.

والنتيجة العملية هي أن البرامج الضارة المُراوغة لا تحتاج إلى التغلب على كل طبقات الكشف. بل يكفيها التغلب على الطبقة التي تعتمد عليها. وأصبح من الممكن الآن إنتاج المتغيرات بسرعة أكبر، واختبارها في مواجهة الضوابط الدفاعية، وصقلها في دورات متتالية. وما كان يستغرق أسابيع من التطوير في الماضي، أصبح الآن ممكنًا في دورات تُقاس بالساعات.

لماذا تتحمل بيئات OT الضرر أولاً

في بيئات OT، تتفاقم مشكلة التكييف. فدورات إصدار التصحيحات طويلة، وغالبًا ما تكون الأنظمة خاضعة لسيطرة الموردين، وتصل البرامج عبر تحديثات البرامج الثابتة وحزم الموردين أدوات الميدانية أدوات يصعب استبدالها. وتصبح تلك الملفات نفسها آليات توزيع مثالية لأنها متوقعة وموثوق بها ويصعب فحصها دون تعطيل العمليات.

يمكن تنقية بعض هذه الملفات، في حين يتعذر تنقية البعض الآخر. فالملفات القابلة للتنفيذ وصور البرامج الثابتة وملفات التصحيح يجب أن تعمل على النحو المقصود، مما يحد من المجالات التي يمكن فيها تطبيق عمليات إزالة التهديدات وإعادة البناء. وهذا يترك مجموعة أضيق من طرق الفحص القابلة للتطبيق، وغالبًا ما يصبح الفحص الثابت هو الإجراء الافتراضي في العديد من هذه البيئات، على الرغم من أنه يمثل السطح الذي تعلم المهاجمون كيفية التحايل عليه.

كيف يزيل المحاكاة على مستوى التعليمات ميزة التهرب

لا تزال تقنية "الصندوق الرملي" التقليدية القائمة على الأجهزة الافتراضية تلعب دورًا، لكنها تخلق ظروفًا تعلم المهاجمون كيفية استغلالها. يمكن لتقنيات التهرب أن تكتشف البيئات الافتراضية، أو تؤخر التنفيذ، أو تغير السلوك بناءً على إشارات التحليل. وفي كثير من الحالات، يتم إجراء التحليل بعد وصول الملف بالفعل إلى نقطة النهاية، مما يحول عملية الكشف إلى عملية تأكيد بدلاً من الوقاية.

يعالج MetaDefender هذه المشكلة بالتحول من أسلوب التفجير المعتمد على الأجهزة الافتراضية (VM) إلى التحليل الديناميكي القائم على المحاكاة. وباستخدام المحاكاة على مستوى التعليمات، يقوم مسار الكشف بتنفيذ الملفات في بيئة خاضعة للرقابة لا تكشف عن العناصر التي تعتمد عليها البرامج الضارة عادةً للتملص من الكشف. ولا تجد عمليات الفحص المضادة للأجهزة الافتراضية أي شيء يمكن التعرف عليه، ويتم مراقبة مسارات التنفيذ المؤجلة، ويُسمح للحمولات متعددة المراحل بالانتشار.

التحليل التقليدي Sandbox التحليل الديناميكي في MetaDefender

Sandbox التقليدي القائم على الآلة الافتراضية

MetaDefender

مقاومة التهرب

عرضة لعمليات الفحص المضادة لـ VM، والتوقيت، والبيئة

المحاكاة على مستوى التعليمات تتغلب على آليات مكافحة الأجهزة الافتراضية والتهرب القائم على التأخير

أنواع الملفات المدعومة

محدود

أكثر من 50 نوعًا من الملفات، بما في ذلك الملفات القابلة للتنفيذ، والنصوص البرمجية، وملفات التصحيح، وبرامج التثبيت

نتيجة الحكم

نتيجة واحدة من بيئة الاختبار

حكم موحد يجمع بين السمعة والتحليل الديناميكي وتقييم المخاطر وتعقب التهديدات

السرعة

10-15 دقيقة لكل ملف

شبه فوري؛ أكثر من 25,000 عملية تحليل يوميًا لكل خادم

التثبيت

Cloud في معظم الحالات

في الموقع، أو في السحابة، أو هجين

توليد المعلومات الاستخباراتية

استخراج محدود للـ IOC

يتم إدخال مؤشرات التغيرات السلوكية في مسار الكشف وإعادة تدريب الذكاء الاصطناعي التنبئي Alin

في الواقع، يكشف هذا عن كيفية عمل الملف بدلاً من شكله الظاهري. ويصبح مسار التنفيذ الكامل مرئيًا بغض النظر عن آليات التحايل المضمنة في العينة. وبالنسبة لأنواع الملفات التي لا يمكن تنقيتها، مثل الملفات القابلة للتنفيذ وملفات التصحيح والبرامج النصية وبرامج التثبيت، يُعد هذا النوع من التحليل الديناميكي الطريقة الأكثر موثوقية لتحديد الغرض من الملف قبل أن يتوغل أكثر في البيئة.

وقد أثبتت إحدى وكالات الطب الشرعي الحكومية ذلك عمليًا. فقد كُلفت الوكالة بتحليل الملفات التي تمت مصادرتها من أجهزة المشتبه بهم، والتي احتوت الكثير منها على برامج ضارة مدمجة بعمق في صيغ لا يمكن تعديلها دون المساس بقيمة الأدلة. واستبدلت الوكالة برامج مكافحة الفيروسات القديمة والمراجعة اليدوية بنظام المسح المتعدد المقترن ببيئة اختبار معزولة تعتمد على المحاكاة. وأصبح من الممكن التحقق من الملفات التي كانت عملية فحصها تستغرق ساعات في السابق خلال دقائق معدودة، كما أدوات التهديدات التي كانت تتخفى عن أدوات القائمة على التوقيعات من خلال التحليل السلوكي دون المساس بسلامة الأدلة.

لا يزال هناك قيد يستحق الإشارة إليه. فالتحليل المتعمق يحسّن مستوى الرؤية، لكنه يبطئ عملية اتخاذ القرار. فإذا كان كل ملف مجهول يتطلب فحصًا شاملاً قبل التوصل إلى نتيجة، فإن زمن الاستجابة يصبح جزءًا من البنية، وسيبحث المهاجمون عن طرق للتحايل عليه. ويؤدي هذا التوتر مباشرةً إلى المبدأ الثابت التالي: لا توجد طريقة واحدة، مهما كانت فعاليتها، تكفي بمفردها.

القاعدة 2: Fusion الإشارات أي محرك فردي

لا يوجد محرك كشف واحد قادر على تحقيق النتائج المثلى بمفرده. ولا يُعد هذا قيدًا يقتصر على تقنية معينة، بل هو خاصية إحصائية تنشأ عن الجمع بين مصنفات مستقلة. فعندما تقوم محركات متعددة بتقييم الملف نفسه باستخدام أساليب مختلفة، لا تتراكم معدلات الخطأ الخاصة بها بطريقة خطية، بل تتعاضد، مما ينتج عنه قدرة كشف مجمعة تتفوق باستمرار على أي محرك بمفرده، بغض النظر عن مدى تقدمه.

النتيجة واضحة، حتى لو كانت غير مريحة. فالبرامج الضارة المراوغة لا تحتاج إلى التغلب على كل آلية حماية ممكنة، بل يكفيها التغلب على الآلية التي تعتمد عليها أكثر من غيرها. فالملف الذي يتجاوز فحوصات السمعة لكنه يثير مؤشرات سلوكية، أو يتجنب الكشف عن التوقيعات لكنه يُظهر تشابهاً غير عادي مع عائلة معروفة من البرامج الضارة، يُكتشف في مسار متعدد الطبقات. أما في النموذج أحادي المحرك، فيستمر في التقدم.

لا تزال التهديدات القائمة على الملفات تمثل أهم وسيلة للهجوم

لماذا يفشل الكشف عن الطائرات أحادية المحرك في الواقع العملي

تستخدم معظم البيئات بالفعل أدوات متعددة، لكن الإشارات التي تولدها غالبًا ما تكون غير مترابطة. فهناك نظام يُصنف ملفًا ما على أنه مشبوه، وآخر يعتبره سليمًا، وثالث يُنتج مؤشرات تتطلب تفسيرًا يدويًا. وبذلك يقع عبء الربط بين هذه العناصر على عاتق المحلل.

وهذا يؤدي إلى ظهور حالتين متسقتين من حالات الفشل:

  1. يتم التهرب بنجاح وبهدوء عندما يتجاوز التهديد آلية المراقبة الأولية ولا يؤدي أبدًا إلى إجراء فحص أعمق
  1. يزداد حجم التنبيهات عندما تؤدي الإشارات المتداخلة أو المتضاربة إلى حدوث تشويش يفتقر إلى الوضوح

وعلى نطاق واسع، لا يمكن لأي من هذين السيناريوهين أن يستمر. ففي البيئات عالية الإنتاجية، إما أن يفوت الكشف عن الأمور المهمة، أو أن يثقل كاهل الفريق المسؤول عن الاستجابة.

يحول MetaDefender أربع إشارات إلى نتيجة موثوقة واحدة

يعالج MetaDefender هذه المشكلة من خلال تنظيم عملية الكشف على شكل مسار موحد بدلاً من مجموعة من الفحوصات المستقلة. تقوم كل طبقة بتقييم الملف نفسه من منظور مختلف، ثم يتم دمج النتائج في نتيجة واحدة مترابطة.

مسار الكشف عن "MetaDefender ومساهمة الإشارات

طبقة

ما الذي يساهم به

السمعة

يحجب المؤشرات المعروفة مثل التجزئات والنطاقات الخبيثة، نظام منع التطفل

التحليل الديناميكي

يقوم بتشغيل عينات مجهولة للكشف عن السلوكيات الخفية واستخراج مؤشرات التهديد (IOCs)

تقييم درجة الخطر

يربط الإشارات معًا لتكوين درجة مخاطر قائمة على الثقة

البحث عن التهديدات

يحدد العلاقات بين العينات، ويربط الأنشطة بالحملات والمجموعات

تجيب كل طبقة على سؤال مختلف. تتناول "السمعة" ما هو معروف بالفعل، بينما يكشف "التحليل الديناميكي" ما هو غير معروف. ويوفر "تقييم المخاطر" السياق، في حين يربط "البحث عن التهديدات" بين الأحداث المنفصلة ليشكلها في شكل معلومات قابلة للتنفيذ. والنتيجة النهائية هي قرار واحد يستند إلى جميع الأدلة المتاحة، وليس أربعة نتائج منفصلة. وعبر الطبقات الأربع جميعها، يحقق مسار العمل كفاءة في الكشف عن هجمات "اليوم صفر" بنسبة 99.9%.

مسار الكشف الموحد عن الثغرات الأمنية في يوم الصفر

مؤسسة مالية عالمية تتغلب على معوقات SOC

قامت مؤسسة مالية عالمية، تعالج ما يقرب من 1000 رسالة بريد إلكتروني مشبوهة يوميًا، بإجراء تحليل ديناميكي داخل مركز عمليات الأمن (SOC) من خلال بيئة اختبار (sandbox) قائمة على آلة افتراضية ومتكاملة مع أنظمة الأتمتة SOAR. كان النظام يعمل بشكل جيد إلى أن زاد حجم الرسائل. فازدادت Sandbox ، وأجبرت الحوادث ذات الأولوية العالية على التدخل اليدوي، وأصبحت الأتمتة عائقًا بدلاً من أن تكون عاملًا مضاعفًا للقوة.

من خلال نشر MetaDefender على مستوى الشبكة الخارجية، قامت المؤسسة بنقل عملية دمج الإشارات إلى مرحلة مبكرة. وأصبح يتم تحليل الملفات قبل تسليمها بدلاً من بعد تنفيذها على أجهزة المستخدمين. وقد تم التخلص من الاختناقات في قوائم الانتظار، وانخفض وقت التحليل من دقائق إلى ثوانٍ، واستعاد مركز العمليات الأمنية (SOC) قدرته على التركيز على التحقيقات بدلاً من إدارة الأعمال المتراكمة.

ثغرة الكشف في مراكز العمليات الأمنية (SOC) التقليدية القائمة على بيئة الاختبار

تقنية الذكاء الاصطناعي التنبؤية من Alin تحل مشكلة التوازن بين السرعة والعمق

تساهم الأنابيب متعددة الطبقات في تحسين الدقة. لكنها لا تكفي، بمفردها، للتخلص من الوقت اللازم للتوصل إلى نتيجة. فعند التعامل مع أحجام كبيرة من البيانات، يؤدي إخضاع كل ملف لتحليل متعمق إلى حدوث تأخير، ويمكن استغلال هذا التأخير في مراحل أخرى من سلسلة الهجوم.

يعمل نظام "Predictive Alin AI" قبل مرحلة المعالجة كطبقة ذكاء ما قبل التنفيذ، مما يعني أن النتائج تُصدر قبل تنفيذ الملف، دون الحاجة إلى تشغيله في بيئة اختبار. وقد تم تدريبه على مجموعات بيانات مخصصة للمؤسسات وتراعي الخصوصية، كما يتم إعادة تدريبه باستمرار على ثغرات "صفر يوم" التي تم التحقق منها في بيئة الاختبار،

يقدم نظام "ألين" (Alin) للذكاء الاصطناعي التنبؤي نتائج استنادًا إلى التعلم الآلي في غضون أجزاء من الثانية دون الحاجة إلى تشغيل الملفات. يتم إيقاف الملفات التي يُتوقع أنها ضارة على الفور، بينما تخضع الملفات الأخرى لفحص أعمق. يتم تقديم النتائج بمعدل P99 أقل من 100 مللي ثانية ومعدل إيجابية كاذبة لا يتجاوز 0.1٪، مما يعني أن البيئات ذات الحجم الكبير تحصل على قرارات سريعة ودقيقة دون إغراق المحللين بكميات هائلة من البيانات غير المهمة.

والنتيجة ليست الاستبدال بل التنسيق. فالتنبؤ عالي السرعة يتعامل مع الكميات الكبيرة على المستوى العام، بينما يوفر التحليل المتعدد المستويات التعمق اللازم حيثما دعت الحاجة. ومع مرور الوقت، تعزز حلقة التغذية الراجعة بين الاثنين كليهما، مما يحسّن من الكشف المبكر دون زيادة التشويش.

خلاصة القول هي أن الإشارات المنسقة، وليس زيادة عدد المحركات، هي التي تحل المشكلة. تتحسن عملية الكشف عندما يتم دمج تلك الإشارات وربطها ببعضها البعض، والتصرف بناءً عليها كنظام متكامل. وهذا يقودنا إلى الحقيقة الثابتة النهائية: أن أنظمة الكشف التي تكتفي باستهلاك المعلومات الاستخباراتية ستتخلف في نهاية المطاف عن تلك التي تولدها.

القاعدة الثالثة: يجب أن تولد أنظمة الكشف المعلومات الاستخباراتية، لا أن تكتفي باستهلاكها

هناك فرق جوهري بين نظام الكشف الذي يعتمد على موجزات التهديدات الخارجية ونظام الكشف الذي ينتج معلوماته الاستخباراتية بنفسه. فالكشف القائم على الموجزات يواجه حاجزًا هيكليًا: فهو لا يستطيع سوى تحديد ما سبق أن اكتشفه شخص آخر ووثّقه وشاركه. أما التهديدات الجديدة، والمتغيرات المعدلة، والهجمات الموجهة المصممة لتفادي البنية التحتية العامة للكشف، فتقع خارج نطاق هذا الحاجز.

التحليل الديناميكي يغير هذا الوضع. فعندما يتم تنفيذ ملف ما من خلال الفحص القائم على المحاكاة، لا تقتصر النتيجة على مجرد حكم نهائي، بل تنتج مؤشرات سلوكية ونشاطًا شبكيًا وبيانات تكوين وآثار التنفيذ. وتصبح هذه المعلومات بمثابة معلومات استخباراتية مباشرة تتيح إجراء عمليات البحث الرجعي وتجميع المتغيرات والحجب الاستباقي استنادًا إلى السلوك الملحوظ، بدلاً من المؤشرات المبلغ عنها.

لماذا تحتاج الصناعات الخاضعة للتنظيم إلى أدلة، وليس مجرد أحكام

في مجالات البنية التحتية الحيوية الخدمات المالية والدفاع، لا يُعد وجود أدلة قابلة للتحقق مجرد تفضيل على مستوى البنية التحتية، بل هو مطلب تشغيلي مرتبط بالامتثال وإمكانية التدقيق.

تتزايد توقعات الأطر التنظيمية بإجراء تحليلات قابلة للتحقق بشأن التهديدات المجهولة، وليس مجرد التحقق القائم على قواعد البيانات. فالحكم الثنائي الذي يفتقر إلى الأدلة الداعمة لا يصمد أمام التدقيق أو التحقيق. ويجب أن تكون أنظمة الكشف قادرة على توضيح كيفية تصرف الملف، والمؤشرات التي تم استخلاصها، وكيفية التوصل إلى القرار.

ويؤدي ذلك أيضًا إلى تغيير الطريقة التي تفهم بها المؤسسات المخاطر التي تواجهها. فالبيئة التي تولد معلوماتها الاستخباراتية بنفسها تُشكّل رؤية محلية لأنشطة التهديدات بمرور الوقت. وتظهر أنماط متكررة عبر الحملات، وإعادة استخدام البنية التحتية، وأنماط السلوك المتكررة التي تستهدف مسارات عمل محددة. وتوفر المصادر الخارجية، إلى جانب المعلومات الاستخباراتية المُنتجة داخليًّا، عمقًا أكبر في التحليل.

كيف يكمل كل من MetaDefender و Predictive Alin AI الحلقة

يقوم MetaDefender بتوليد المعلومات الاستخباراتية كجزء من مسار الكشف الخاص به. ويُنتج كل ملف يتم تحليله من خلال التحليل الديناميكي القائم على المحاكاة مؤشرات سلوكية، وعناصر مستخرجة، وإشارات مترابطة يتم إعادة تغذيتها إلى النظام. وبذلك يصبح الكشف عملية تعلم مستمرة بدلاً من أن يكون قراراً يُتخذ لمرة واحدة.

ولا تظل هذه المعلومات الاستخباراتية معزولة. بل يتم إدخالها في نظام الذكاء الاصطناعي التنبئي «Predictive Alin AI»، حيث تُستخدم الثغرات الأمنية «صفر يوم» التي تم تأكيدها في بيئة الاختبار لإعادة تدريب نماذج الكشف قبل التنفيذ. فكل تهديد يتم تأكيده يعزز قدرة النظام على التعرف على الأنماط المماثلة في وقت أبكر، قبل أن يتم التنفيذ. وهذا يخلق حلقة تغذية مرتدة بين التحليل المتعمق والتنبؤ السريع.

تُظهر إحدى الوكالات الحكومية الوطنية المسؤولة عن حماية الأنظمة الحساسة وبيانات المواطنين الفرق في الأداء العملي. فقد كانت بيئة الاختبار السابقة التي تستخدمها تُصدر تقارير مفصلة، لكنها كانت تُجبر المحللين على تفسير الإشارات السلوكية المتفرقة يدويًّا، مما أدى إلى تآكل الثقة في قدرتها على كشف الثغرات الأمنية في يومها الأول، حيث كانت العينات المُراوغة تتسلل عبرها.

بعد نشر MetaDefender تحولت تقنية "الصندوق الرملي" من مجرد أداة مستقلة لإعداد التقارير إلى مسار كشف موحد يقدم تقييمًا واحدًا لكل ملف، مدعومًا بأدلة سلوكية منظمة وتقييم لمستوى التهديد. وكان هذا هو النوع من المعلومات الاستخباراتية التي تمكنت الوكالة أخيرًا من الاستفادة منها بشكل مباشر.

النموذج الأمني الجديد

ما تقدمه منصة «Intelligence Loop» لفرق مراكز العمليات الأمنية (SOC)

بالنسبة لفرق SOC، يُعد هذا التحول قابلاً للقياس. حيث يتلقى المحللون نتائج تم ربطها مسبقًا بأدلة سلوكية، بدلاً من الإشارات المنفصلة التي تتطلب تفسيرًا يدويًّا. كما تنخفض حالات الإيجابية الكاذبة، ويقل وقت التحقيق لأن السياق مرفق بالفعل بكل عملية كشف.

وعلى نطاق واسع، فإن هذا التمييز له أهميته. فنظم الكشف التي تكتفي باستهلاك المعلومات الاستخباراتية تميل إلى توليد المزيد من العمل مع زيادة الحجم. أما الأنظمة التي تولد المعلومات الاستخباراتية فتخفف من هذا العبء من خلال تحسين الدقة والسياق مع مرور الوقت.

الهدف هو بناء نظام للكشف يستند إلى العناصر التي لا يستطيع المهاجمون تغييرها. ويُعد توليد المعلومات الاستخباراتية أحد هذه العناصر، وتتمتع الأنظمة التي تعتبره وظيفة أساسية بميزة تتعزز مع ظهور كل تهديد جديد.

بناء نظام الكشف على أساس ما لا يستطيع المهاجمون تغييره

تُشكل هذه العوامل الثلاثة الثابتة قيودًا، سواء على المهاجمين أو على الأنظمة المصممة لصد هجماتهم. وسيستمر المهاجمون في التكيف، وسيظل الكشف أحادي المحرك يفوت ما تستطيع الإشارات المتعددة الطبقات رصده، وستظل الأنظمة التي تولد المعلومات الاستخباراتية تتفوق على تلك التي تكتفي باستهلاكها.

تُعد هذه الثوابت مفيدة لأنها تصف العناصر التي لا يستطيع المهاجمون تغييرها. ولهذا تأثير مباشر على كيفية بناء أنظمة الكشف. فالدفاعات الثابتة تفقد فعاليتها بمرور الوقت. كما أن دمج الإشارات يتفوق دائمًا على الأساليب المنعزلة. فكل ثغرة «يوم صفر» يتم تأكيدها إما أن تُحسّن من كفاءة الكشف في المرة التالية، أو تصبح فرصة ضائعة يستغلها شخص آخر في نهاية المطاف.

تم تصميم كل من MetaDefender وPredictive Alin AI بحيث يأخذان هذه القيود في الاعتبار. فالتحليل الديناميكي القائم على المحاكاة يكشف السلوك الحقيقي، بينما تعمل سلسلة المعالجة متعددة الطبقات على ربط الإشارات معًا للتوصل إلى نتيجة واحدة، وتضمن حلقة الذكاء التحسني للنظام مع كل ملف يتم تحليله.

بالنسبة للمؤسسات التي تعمل في بيئات تنطوي على مخاطر كبيرة، فإن النتيجة ملموسة. فقد أصبح الكشف أسرع وأكثر دقة وأكثر موثوقية. ويقضي المحللون وقتًا أقل في مطابقة الإشارات، ويخصصون وقتًا أطول لاتخاذ الإجراءات اللازمة بناءً عليها.

إذا كنت ترغب في استكشاف المجموعة الكاملة من ثوابت الكشف والبنية التي تقوم عليها، فاقرأ ورقة المعلومات الخاصة بنا بعنوان «ثوابت الأمن السيبراني»: opswat

اكتشف ميزة الكشف عن الثغرات الأمنية في يومها الأول
العلامات:

آخر المقالات

اشترك في التثبيتة الإخبارية OPSWAT

احصل على آخر تحديثات شركة OPSWAT إلى جانب معلومات عن الفعاليات و الأخبار التي تدفع الصناعة إلى الأمام.
سجّلني

تابعنا على مواقع التواصل الاجتماعي Media

اتبع OPSWAT على لينكد إن وفيسبوك وتويتر ويوتيوب للمزيد!

ابق على اطلاع دائم OPSWAT!

اشترك اليوم لتلقي آخر تحديثات الشركة, والقصص ومعلومات عن الفعاليات والمزيد.
اشترك