ما المقصود بالكشف عن التهديدات والاستجابة لها (TDR)؟

يشير مصطلح الكشف عن التهديدات والاستجابة لها (TDR) إلى الأدوات والعمليات التي تستخدمها المؤسسات للكشف عن تهديدات الأمن الإلكتروني والتحقيق فيها والحد منها. وهو يجمع بين أساليب الكشف المتقدمة وإمكانات الاستجابة التلقائية والحلول الأمنية المتكاملة لمساعدة المؤسسات على تقليل المخاطر والتكيف مع عالم التهديدات المتغير.

يساعد الكشف عن التهديدات والاستجابة لها الفرق الأمنية على احتواء الحوادث بسرعة واستعادة الأنظمة مع تقليل فترة التعطل قدر الإمكان. ونظرًا إلى أن التهديدات مثل برامج الفدية، والتصيد الاحتيالي، وعمليات الاستغلال من دون انتظار أصبحت أكثر شيوعًا وتطورًا، تحتاج المؤسسات إلى إستراتيجيات استباقية للكشف عن الأنشطة الضارة قبل أن تتسبب في حدوث ضرر.

فالمخاطر كبيرة، والمبادرة مطلوبة: ترصد شركة Microsoft ما يقرب من 600 مليون هجوم إلكتروني يوميًا عبر نظامها البنائي، بمعدل يزيد على 6900 هجوم في الثانية. وبالنسبة إلى المؤسسات، فإن ذلك يعني سلسلة شبه مستمرة من محاولات اختراق أمن البيانات.

لقد أدى التحول الرقمي والتقنيات الناشئة مثل إنترنت الأشياء والذكاء الاصطناعي إلى توسيع نطاق الهجوم على المؤسسات في الوقت الحالي.

وقد أضاف الذكاء الاصطناعي التوليدي، على وجه الخصوص، بعدًا جديدًا إلى عالم التهديدات ويُستغل من خلال أساليب مثل التزويد بالموجهات. وحتى الآن، تشير الأبحاث الصادرة عن معهد IBM Institute for Business Value إلى أن 24% فقط من مبادرات الذكاء الاصطناعي التوليدي آمنة.

لقد تحسن أمن نقطة النهاية، لكن عناصر التهديد تواصل التطور. يستهدف المهاجمون المعاصرون البيانات الحساسة بطرق أكثر تعقيدًا وسرية، بدءًا من إنشاء حالات شاذة بسيطة في حركة المرور على الشبكة ووصولاً إلى شن حملات الهجوم الموزع لحجب الخدمة (DDoS).

تستغل العديد من عناصر التهديد الآن الذكاء الاصطناعي لأتمتة الهجمات وتجنب الكشف واستغلال الثغرات الأمنية على نطاق واسع. حتى التهديدات الداخلية—التي يشنها الموظفون والمتعاقدون—آخذة في الارتفاع، حيث تعرضت 83% من المؤسسات لهجوم داخلي واحد على الأقل في عام 2024.

تحتاج الفرق الأمنية إلى نهج متعدد الطبقات يجمع بين أدوات الكشف عن التهديدات والاستجابة لها إلى جانب أنظمة الكشف عن الاختراق (IDS) ومنصات استعلامات التهديدات لتمكين المراقبة المستمرة والاستجابة السريعة. وبعيدًا عن المزايا التقنية، فإن الميزة التي تعود على العمل جلية: فالكشف الأفضل يعني تقليل عدد الإيجابيات الخاطئة، وتسريع عملية الفرز، وتقليل الوقت اللازم للتعافي عند وقوع الحوادث التي لا مفر منها.

تحمي حلول الكشف عن التهديدات والاستجابة لها من مجموعة واسعة من الحوادث الأمنية، بما في ذلك ما يلي:

• البرامج الضارة وبرامج الفدية: هجمات تعتمد على البرامج الضارة والتشفير وتعطل العمليات أو تطلب دفع مبلغ من المال لاستعادة الوصول.

• التصيد الاحتيالي وسرقة بيانات الاعتماد: هي مخططات الهندسة الاجتماعية التي تخدع المستخدمين للكشف عن بيانات تسجيل الدخول أو البيانات الحساسة.

• التهديدات الداخلية وزيادة الامتيازات: الموظفون الخبيثون أو المهمَلون الذين يستغلون صلاحية وصولهم لاختراق الأنظمة أو تسريب المعلومات السرية.

• التهديدات المستعصية المتقدمة (APTs): هجمات متطورة ومستهدفة يستخدم فيها المخترقون تقنيات خفية للحفاظ على صلاحية الوصول طويلة الأمد داخل الشبكة.

• عمليات الاستغلال من دون انتظار: هجمات تستغل الثغرات الأمنية غير المكتشفة سابقًا في البرامج قبل توفر تصحيح لها.

• الهجوم الموزع لحجب الخدمة (DDoS): هجمات تغرق الأنظمة المستهدفة بكمية هائلة من الزيارات، ما يعطل العمليات العادية.

• اختراق أمن البيانات: الوصول غير المصرح به إلى المعلومات الحساسة ما يؤدي إلى فقدان البيانات أو اختراقها أو سرقتها.

لمكافحة التهديدات الإلكترونية، يمكن للمؤسسات تبني إستراتيجية متعددة الطبقات للكشف عن التهديدات والاستجابة لها مبنية على أربعة عناصر أساسية:

توفر استعلامات التهديدات معلومات مفصلة وعملية حول التهديدات المعروفة والمستجدة. ومن خلال دمج تقارير استعلامات التهديدات—وهي تدفقات البيانات التي تسلط الضوء على الهجمات الإلكترونية الحالية والمحتملة—يمكن للمؤسسات التعرف على أساليب المهاجمين. ويمكنهم أيضًا تقليل الإيجابيات الخاطئة باستخدام أُطر عمل مثل MITRE ATT&CK، وهي قاعدة معرفية يُجرى تحديثها باستمرار لمكافحة تهديدات الأمن الإلكتروني استنادًا إلى السلوك الهجومي المعروف للمجرمين الإلكترونيين.

تُمكّن المراقبة المستمرة فرق مركز العمليات الأمنية (SOC) من الكشف عن الأنشطة المشبوهة في الوقت الفعلي. يمكن أن تساعد أدوات مثل منصات استعلامات التهديدات على جمع البيانات والربط بينها مثل أنماط حركة المرور على الشبكة وتحليلات سلوك المستخدمين (UBA) بهدف الكشف عن مؤشرات الاختراق (IOC) والتهديدات المحتملة.

يتضمن صيد التهديدات الاستباقي البحث عن التهديدات الخفية أو غير المكتشفة باستخدام بيانات القياس عن بُعد والاستعلامات والكشف عن الحالات الشاذة. يمكن أن تساعد تحليلات سلوك المستخدم على الكشف عن الأنشطة المشبوهة من خلال رصد الانحرافات عن السلوك الطبيعي، مثل الوصول إلى البيانات الحساسة في أوقات غير معتادة.

عند الكشف عن تهديد، تعمل أدوات الاستجابة التلقائية على عزل نقاط النهاية وتعطيل الحسابات المخترقة. تتضمن خطط الاستجابة للحوادث الفعالة أدلة إرشادية وأدوات أمنية مدمجة وتنسيقًا مع الأطراف المعنية والتحليل بعد الحادث لمنع تكراره.

في حين أن العناصر الأساسية توضح ما يجب أن يحدث، فإن الأدوات والتقنيات المحددة هي التي تحدد كيفية تنفيذ هذه الإجراءات على نطاق واسع. تنقسم الإمكانات بشكل عام إلى فئتين: تقنيات الكشف التي تكتشف التهديدات الأمنية المحتملة، وتقنيات الاستجابة التي تحتوي التهديدات وتعالجها.

تعتمد تقنيات الكشف ومنصاته عادةً على أحد الأساليب الأربعة التالية:

تجمع معظم منصات الكشف الحديثة بين هذه الأساليب لتحسين الرؤية وتقليل الإيجابيات الكاذبة. وتشمل أدوات الكشف التي تستخدم هذه الأساليب ما يلي:

• كشف نقطة النهاية والاستجابة لها (EDR): تراقب حلول كشف نقطة النهاية والاستجابة لها أجهزة نقطة النهاية—مثل أجهزة الكمبيوتر المحمول والأجهزة المحمولة—بحثًا عن مؤشرات الاختراق. وتوفر العزل والاستعادة وبيانات القياس عن بُعد لإجراء تحقيقات أعمق.

• كشف الشبكات والاستجابة لها (NDR): تعمل أدوات كشف الشبكات والاستجابة لها على فحص حركة المرور الداخلية والخارجية بحثًا عن الأنماط المرتبطة بالحركة الجانبية أو النقل غير المصرح للبيانات.

• الكشف والاستجابة الموسعة (XDR): تدمج أدوات الكشف والاستجابة الموسعة بيانات القياس عن بُعد عبر نقاط النهاية والشبكة والهوية وبيئات السحابة لتمكين الكشف والاستجابة المنسقين.

• إدارة المعلومات الأمنية والأحداث (SIEM): تعمل أدوات إدارة المعلومات الأمنية والأحداث على جمع التنبيهات عبر البيئة وربطها للكشف عن التهديدات المحتملة والأنشطة المشبوهة.

• التنسيق الأمني والأتمتة والاستجابة (SOAR): تعمل أدوات التنسيق الأمني والأتمتة والاستجابة على أتمتة عملية إثراء التنبيهات وفرزها وتصعيدها لتسريع الاستجابة للحوادث وتقليل أحمال التشغيل اليدوية.

وتكون هذه الأدوات أكثر فعالية عند دمجها مع التقنيات المتقدمة مثل الذكاء الاصطناعي والتعلم الآلي (ML). فالجمع بينهم يساعد الفرق الأمنية على تحديد أولويات التهديدات، والتحقيق في مؤشرات الاختراق، وتبسيط عملية الاستجابة عبر حالات الاستخدام المتعددة. كما أنه يتيح إمكانات متقدمة للكشف عن التهديدات والاستجابة لها مثل الكشف عن تهديدات الهوية والاستجابة لها (ITDR) وإدارة وضع أمن البيانات (DSPM):

الكشف عن تهديدات الهوية والاستجابة لها (ITDR): يهدف الكشف عن تهديدات الهوية والاستجابة لها إلى حماية أنظمة الهوية من خلال مراقبة نشاط تسجيل الدخول وسلوكيات الوصول وزيادة الامتيازات بشكل مستمر. ويساعد على الكشف عن الهجمات مثل تعبئة بيانات الاعتماد وسرقة الحسابات، ما يؤدي إلى اتخاذ إجراءات لاحتوائها في الوقت الفعلي مثل قفل الحساب أو إنهاء الجلسة.

إدارة وضع أمن البيانات (DSPM): تساعد إدارة وضع أمن البيانات على اكتشاف البيانات الحساسة وتصنيفها وتقييمها عبر السحابة والبيئات الهجينة . ومن خلال إدخال سياق البيانات في سير عمل الكشف عن التهديدات والاستجابة لها، تسمح إدارة وضع أمن البيانات للفرق بتحديد أولويات التهديدات عالية الخطورة ومعالجتها بشكل أكثر فعالية.

بمجرد التأكد من وجود تهديد، تكرس جهود الاستجابة عادةً للاحتواء والمعالجة والتعافي. وتغطي هذه الجهود مجموعة من الأنشطة—بدءًا من الإجراءات في الوقت الفعلي إلى التحقيق طويل الأمد وتحسين العمليات—وتشمل ما يلي:

وهذه الأساليب مدعومة بمجموعة من التقنيات، بما في ذلك ما يلي:

• التكامل بين إصدار تذاكر الدعم وإدارة الحالات: تتصل منصات الاستجابة هذه بأدوات إدارة خدمات تكنولوجيا المعلومات (ITSM) للتنسيق في التحقيق والتوثيق.

• أدوات التحقيق الجنائي والتدقيق: تجمع هذه الأدوات الأدلة وبيانات سلسلة الحيازة للتحليل بعد الحوادث أو المراجعة القانونية.

• منصات التنسيق الأمني: تضمن هذه المنصات التنسيق بين الأدوات المختلفة بحيث تكون جهود الاحتواء والاتصال والتعافي متسقة وقابلة للتكرار.

عمليات الكشف والاستجابة ليست ثابتة: بل متطورة. واستجابة لهذه التهديدات سريعة التغير، ظهر أسلوب يسمى "الكشف والاستجابة المتقدمان عن التهديدات"، والذي يشتمل عادةً على الذكاء الاصطناعي وتحليل السلوك والترابط بين النطاقات والاستجابة التلقائية. ولا يتمثل الهدف في الكشف عن التهديدات بشكل أسرع فحسب، ولكن في استباق المهاجمين.

تحسن الإستراتيجيات المتقدمة الدقة وتساعد فرق العمليات الأمنية على التكيف مع التهديدات الناشئة، وحماية البيانات الحساسة، وتعزيز الوضع العام. وبفضل التقنيات الأساسية المتوفرة، يمكن للمؤسسات تعزيز إمكانات الكشف والاستجابة من خلال أساليب مثل ما يلي:

• الكشف المدعوم بالذكاء الاصطناعي: يستفيد الكشف المدعوم بالذكاء الاصطناعي من التعلم الآلي لتحديد الأنماط الخفية والحالات الشاذة والقيم الخارجية التي قد تشير إلى هجوم متقدم. وتتطور هذه الأدوات من خلال التعامل مع بيانات جديدة، ما يتيح التعرف بشكل أسرع على التهديدات الناشئة وعمليات الاستغلال من دون انتظار.

• ترابط البيانات: يجمع ترابط البيانات بين المعارف المستمدة من بيانات القياس عن بُعد الخاصة بنقطة النهاية والشبكة والهوية والسحابة. يساعد ترابط الإشارات المتعددة على الكشف عن الهجمات المعقدة متعددة المراحل ويقلل من الإيجابيات الخاطئة من خلال توفير سياق كامل للهجوم.

• الكشف والاستجابة المُدارة: تعمل حلول الكشف والاستجابة المُدارة (MDR) على تعزيز الإمكانات الداخلية بالاستعانة بخبراء من جهات خارجية للمراقبة والتحقيق والاستجابة. غالبًا ما يوفر مقدمو حلول الكشف والاستجابة المُدارة خدماتهم على منصات الكشف والاستجابة الموسعة لتوفير رؤية شاملة لنقاط الهجوم بأكمله وتسريع عملية معالجة الحوادث.

• تقنيات الخداع: تستخدم تقنيات الخداع أدوات الخداع والمصائد والبيانات الاصطناعية لاستدراج المهاجمين والكشف عن الأنشطة الخفية في وقت مبكر. توفر هذه الأنظمة تنبيهات عالية الدقة مع الكشف عن أساليب المهاجمين ونواياهم.

• حلقات التغذية الراجعة والضبط التكراري: تجمع حلقات التغذية الراجعة إدخال المحللين ونتائج الحوادث لضبط مستويات الكشف وتحسين أدلة الاستجابة. يعمل الضبط التكراري على ضبط النماذج أو المستويات أو القواعد بشكل منهجي لتقليل الإيجابيات الخاطئة والاستجابة لأنماط التهديد المتقدمة.

تتضمن عملية الكشف عن التهديدات والاستجابة الفعالة إجراءات تلقائية لإيقاف التهديدات النشطة. لكن الفرق الأكثر فعالية تأخذ في الحسبان الجانب البشري أيضًا في عملية الاستجابة: تقليل إجهاد التنبيه، وضبط التنبيهات بمرور الوقت، وتوثيق الدروس المستفادة. يمكن أن تساعد هذه التدابير الأمنية—جنبًا إلى جنب مع تقييم الوضع الأمني بشكل مستمر—الفرق على استباق التهديدات المتطورة.