تقرير كاسبرسكي: تقييم فعالية مراكز العمليات الأمنية والتعامل مع النقطة العمياء

كاسبرسكي
كاسبرسكي

أظهر تقرير عالمي حديث صادر عن خدمات كاسبرسكي الأمنية بعنوان «تشريح العالم السيبراني» * (Anatomy of a Cyber World) وجود نقطة عمياء غير ملحوظة في مراكز العمليات الأمنية ((SOC داخل المؤسسات؛ فبينما يتم قياس الأداء عادةً بناء على سرعة الكشف عن الهجمات السيبرانية والاستجابة لها.

إلا أن المؤسسات نادراً ما تتحقق من كون أنظمتها ترصد أكثر التهديدات أهمية بالفعل أم لا، إن نسبة كبيرة من بيانات القياس عن بُعد التي يتم جمعها لا تصل إلى أنظمة الكشف الفوري.

مقالات ذات صلة

مما يؤدي إلى ظهور فجوات خفية لا ترصدها التقييمات الداخلية بسهولة، الأمر الذي يعزز الحاجة إلى خدمات استشارية مستقلة لمراجعة كفاءة مراكز العمليات الأمنية وكشف أوجه القصور فيها.

تحديات قياس الأداء الحقيقي لمراكز SOC

رغم تزايد استثمارات المؤسسات في مراكز العمليات الأمنية ((SOC، إلا أن قياس الأداء الحقيقي لهذه الجهات ما يزال يشكل تحدياً كبيراً.

فنجاح العمليات الأمنية لا يرتبط فقط بحجم البيانات التي يتم جمعها، وإنما بمدى الاستفادة من تلك البيانات في الكشف عن التهديدات.

وبحسب استطلاع حديث أجرته كاسبرسكي، تعتمد المؤسسات عادةً على نطاق محدود من مؤشرات الأداء الرئيسية عند تقييم فعالية مراكز العمليات الأمنية، إذ يبرز متوسط زمن الاكتشاف (MTTD) ومتوسط زمن الاستجابة (MTTR) كمؤشرين أساسيين.

بينما تتراجع أهمية بعض المؤشرات الأكثر عمقاً، مثل معدلات التنبيهات الخاطئة أو تكلفة كل حادثة أمنية، والتحدي الحقيقي هنا لا يقتصر على سرعة الاستجابة، بل يتمثل في قدرة المركز على رصد التهديدات قبل أن تتطور.

بيانات ضخمة دون استخدام فعلي للكشف

تشير نتائج التقرير العالمي الصادر عن خدمات كاسبرسكي الأمنية إلى نمط ثابت في عمل مراكز العمليات الأمنية؛ إذ يتم جمع بيانات أكثر بكثير مما يُستخدم فعلياً في الكشف عن التهديدات.

ويبلغ متوسط تغطية قواعد الارتباط بين المؤسسات التي شملها التقييم 43%، أي أن أنظمة الكشف النشط تغطي أقل من نصف مصادر البيانات المُجمعة.

أما باقي البيانات فتبقى متاحة داخل النظام لاستخدامها لاحقاً في التحقيقات أو البحث عن التهديدات أو لغايات الامتثال، لكنها لا تُستثمر في الكشف الفوري عن التهديدات.

أسباب تراكم “النقطة العمياء”

لا يمكن دائماً اعتبار هذه الفجوة غير مقصودة. إذ يتم جمع بعض البيانات بشكل متعمد خارج نطاق آليات الارتباط النشطة، بهدف دعم التحقيقات أو تلبية المتطلبات التنظيمية.

غير أنه في العديد من الحالات الأخرى، يتم دمج مصادر البيانات دون وجود خطة محددة للكشف، أو مع تأجيل عملية تطوير القواعد إلى أجل غير مسمى.

ومع أن هذا الوضع يُلاحظ عادة في مراكز العمليات الأمنية الأكثر نضجاً، فإن المراكز الأقل نضجاً تشهد غالباً جمعاً للبيانات دون استخدامها فعلياً.

تأثير حجم المؤسسات على فعالية الرصد

تزداد صعوبة معالجة هذه المشكلة كلما كبر حجم المؤسسة؛ إذ إن مراكز العمليات الأمنية التي تتعامل مع كميات كبيرة من البيانات لا تطبق آليات كشف فعّالة إلا على نحو 30% من مصادر البيانات لديها. ومع توسع البنية التحتية، لا تتطور قدرات فرق هندسة الكشف بالمعدل ذاته.

وغالباً ما تكون البيانات المتنوعة للشبكات، وقواعد البيانات، وخوادم الويب من أكثر المصادر التي تُترك دون تغطية، رغم أنها تشكل عناصر محورية يجب أن تكون في صميم أي استراتيجية فعّالة للرصد والكشف الأمني.

اختلاف منهجيات الكشف بين المؤسسات

يختلف نهج إعداد آلية الاكتشاف الأمني بصورة ملحوظة من مؤسسة إلى أخرى.،إذ تعتمد نحو 50% من مراكز العمليات الأمنية التي خضعت للتقييم على قواعد جاهزة مقدمة من المورّدين، بينما يفضّل نحو 40% بناء آليات الكشف الخاصة بهم داخلياً من البداية.

وغالباً ما تعاني الفرق التي تعتمد على حلول المورّدين من كثرة الإنذارات الخاطئة وفجوات في التغطية بسبب ضعف عمليات التهيئة والتخصيص.

في حين تواجه المؤسسات التي تعتمد بشكل أساسي على تقنيات اكتشاف نقاط النهاية والاستجابة لها (EDR) من نقاط عمياء بسبب غياب الربط والتحليل بين مصادر البيانات المختلفة.

رؤية كاسبرسكي لتعزيز كفاءة الأمن السيبراني

علّق رومان نزاروف، رئيس قسم استشارات مراكز العمليات الأمنية في كاسبرسكي، قائلاً: «حتى في ظل وجود مؤشرات أداء رئيسية محددة مسبقاً، يظل تقييم فعالية مراكز العمليات الأمنية داخليًا تحديًا كبيرًا نتيجة محدودية الرؤية المتأثرة بالتحيز الداخلي.

ولهذا تلجأ المؤسسات إلى الاستعانة بجهات خارجية متخصصة في تقييم مراكز العمليات الأمنية بهدف تقييم آليات الكشف، وتحليل مسارات الأحداث، ومحاكاة الهجمات بهدف فهم ما يتم رصده فعلياً.

ولتحسين الأداء، يجب على المؤسسات إنشاء عملية منظمة لهندسة الكشف، تقوم على آلية متكررة لتطوير منطق الكشف والتحقق من فعاليته ومراجعته بشكل دوري.»

حلول استشارية لتعزيز قدرات SOC

ولمواءمة العمليات الداخلية والتقنيات مع مشهد التهديدات السيبرانية المتغير باستمرار، يمكن للمؤسسات الاستعانة بخدمة استشارات مركز العمليات الأمنية من كاسبرسكي Kaspersky SOC Consulting، التي تدعم بناء مركز عمليات أمنية داخلي من الأساس، أو تقييم كفاءة المراكز الحالية، أو تعزيز قدرات محددة مثل آليات الكشف والاستجابة للحوادث.

وخلال عام 2025، تصدّر مشروع التقييم التقني لمراكز العمليات لأمنية قائمة الخدمات الاستشارية الأكثر طلباً بنسبة 23.4%، تلاه مشاريع تطوير أطر عمل مراكز العمليات الأمنية بنسبة 20%.

فيما سجّل كل من تقييم النضج لمركز العمليات الأمنية وضمان جودة نظام إدارة معلومات وأحداث الأمان (SIEM) نسبة 11.7% لكل واحد منهما، مما يعكس تزايد الحاجة إلى فهم أعمق لأداء مراكز العمليات الأمنية.

قد يهمك ايضا 

  1. كاسبرسكي تدعم عملية للإنتربول في الشرق الأوسط وشمال أفريقيا أدّت إلى أكثر من 200 اعتقال
  2. كاسبرسكي: تعد العلاقات الموثوقة واستغلال الثغرات في التطبيقات العامة أبرز نواقل الهجمات السيبرانية
  3. كاسبرسكي: ارتفاع عالمي مفاجئ في اهتمام الأطفال بالذكاء الاصطناعي بما في ذلك مصر

الوسوم

مقالات ذات صلة

مجموعة beIN الإعلامية

beIN تُحصل على الحقوق الحصرية للألعاب الأولمبية حتى 2028 في الشرق الأوسط وشمال أفريقيا

11 فبراير، 2026
هواوي

هواوي كلاود مصر توقع اتفاقية تعاون مع شركة جولد نت تريدنج لبدء رحلة رقمية مدعومة بالحوسبة السحابية

24 نوفمبر، 2025
باريس تستضيف قمة الذكاء الاصطناعي بحضور قادة ومسؤولين عالميين

باريس تستضيف قمة الذكاء الاصطناعي بحضور قادة ومسؤولين عالميين

10 فبراير، 2025
مسلسل Adolescence .

مسلسل Adolescence يسلط الضوء على التنمر السيبراني وكاسبرسكي تطلق تحذيرات هامة

9 أبريل، 2025

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى