إدارة سطح الهجوم (ASM) هي الاكتشاف والتحليل وتحديد الأولويات والمعالجة والمراقبة المستمرة للثغرات الأمنية الإلكترونية ونواقل الهجوم المحتملة التي تشكِّل سطح هجوم المؤسسة.
على عكس تخصصات الأمن الإلكتروني الأخرى، يتم إجراء ASM بالكامل من وجهة نظر المتسلل، وليس وجهة نظر المدافع. إذ إنها تحدِّد الأهداف وتقيّم المخاطر بناءً على الفرص التي توفِّرها لأي متسلل خبيث.
تعتمد ASM على العديد من الأساليب والموارد نفسها التي يستخدمها المتسللون. يتم تصميم وتنفيذ العديد من مهام وتقنيات التكنولوجيا من قِبل قراصنة أخلاقيين على دراية بسلوكيات المجرمين الإلكترونيين ويمتلكون مهارات تكرار أفعالهم.
يتم استخدام إدارة سطح الهجوم الخارجي (EASM)، وهي تقنية ASM جديدة نسبيًا، أحيانًا بالتبادل مع ASM. ومع ذلك، تركِّز EASM على وجه التحديد على الثغرات الأمنية والمخاطر التي تمثِّلها أصول تكنولوجيا المعلومات الخارجية أو التي تواجه الإنترنت في المؤسسة - والتي يُشار إليها أحيانًا باسم سطح الهجوم الرقمي للمؤسسة.
تعالج ASM أيضًا الثغرات الأمنية في أسطح الهجمات المادية والاجتماعية للمؤسسة، مثل الهجوم الداخلي الخبيث أو عدم كفاية تدريب المستخدم النهائي ضد عمليات التصيد الاحتيالي.
أدت زيادة اعتماد السحابة والتحول الرقمي والتوسع في العمل عن بُعد في السنوات الأخيرة إلى جعل البصمة الرقمية للشركة المتوسطة وسطح الهجوم أكبر وأكثر توزيعًا وديناميكية، مع وجود أصول جديدة تتصل بشبكة الشركة يوميًا.
لا يمكن للعمليات التقليدية لاكتشاف الأصول وتقييم المخاطر وإدارة الثغرات الأمنية، والتي تم تطويرها عندما كانت شبكات الشركات أكثر استقرارًا ومركزية، أن تواكب سرعة ظهور الثغرات الأمنية الجديدة ونواقل الهجوم في شبكات اليوم. على سبيل المثال، يمكن لاختبار الاختراق أن يختبر الثغرات الأمنية المشتبه بها في الأصول المعروفة، لكنه لا يمكن أن يساعد فِرق الأمن على تحديد المخاطر الإلكترونية الجديدة الثغرات الأمنية التي تظهر يوميًا.
لكن سير العمل المستمر لأدوات ASM ومنظور المتسللين يمكِّن فِرق الأمن ومراكز العمليات الأمنية (SOCs) من إنشاء وضع أمني استباقي في مواجهة سطح الهجوم المتزايد والمتغير باستمرار. توفِّر حلول ASM رؤية في الوقت الفعلي للثغرات الأمنية ونواقل الهجوم عند ظهورها.
ويمكنها الاستفادة من المعلومات المستمدة من الأدوات والعمليات التقليدية لتقييم المخاطر وإدارة الثغرات الأمنية للحصول على سياق أكبر عند تحليل الثغرات الأمنية وتحديد أولوياتها. ويمكنها التكامل مع تقنيات الكشف عن التهديدات والاستجابة لها -بما في ذلك إدارة المعلومات والأحداث الأمنية (SIEM) أو اكتشاف نقاط النهاية والاستجابة لها (EDR) أو الكشف والاستجابة الموسَّعة (XDR)- لتحسين التخفيف من حدة التهديدات وتسريع الاستجابة لها على مستوى المؤسسة.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
تتكون ASM من أربع عمليات أساسية: اكتشاف الأصول وتصنيفها وتحديد أولوياتها والمعالجة والمراقبة. مرة أخرى، نظرًا لأن حجم وشكل سطح الهجوم الرقمي يتغير باستمرار، تُجرى هذه العمليات بشكل مستمر، وتعمل حلول إدارة سطح الهجوم (ASM) على أتمتة هذه العمليات كلما أمكن. الهدف هو تسليح فِرق الأمن بالمخزون الكامل والحالي للأصول المكشوفة وتسريع الاستجابة للثغرات الأمنية والتهديدات التي تمثِّل أكبر خطر على المؤسسة.
يُجري اكتشاف الأصول تلقائيًا وباستمرار بحثًا عن الأجهزة والبرمجيات والأصول السحابية التي تواجه الإنترنت والتي يمكن أن تكون نقاط دخول للمتسلل أو المجرم الإلكتروني الذي يحاول مهاجمة المؤسسة. يمكن أن تشمل الأصول ما يلي:
بمجرد تحديد الأصل، يتم تصنيفه وتحليله بحثًا عن الثغرات الأمنية وترتيبه حسب أولويته من حيث قابليته للهجوم، وهو مقياس موضوعي لمدى احتمالية استهداف المتسللين له.
يتم جرد الأصول حسب الهوية وعنوان IP والملكية والارتباط بالأصول الأخرى في البنية التحتية لتكنولوجيا المعلومات. يتم تحليلها لتحديد التعرّضات المحتملة، وأسباب تلك التعرّضات (مثل التكوينات الخطأ وأخطاء البرمجة والتصحيحات المفقودة)، وأنواع الهجمات التي قد ينفّذها المخترقون عبر هذه التعرّضات (مثل سرقة البيانات الحساسة، ونشر برامج الفدية أو البرامج الضارة الأخرى).
بعد ذلك، يتم تحديد أولويات الثغرات الأمنية من أجل معالجتها. تحديد الأولويات هو التقييم: عادةً ما يتم إعطاء كل ثغرة أمنية تصنيفًا أمنيًا أو درجة المخاطر بناءً على:
عادةً ما تتم معالجة الثغرات الأمنية بترتيب الأولوية. وقد يتضمن هذا:
يمكن أن تتضمن المعالجة أيضًا تدابير أوسع نطاقًا ومتعددة الأصول لمعالجة الثغرات الأمنية، مثل تنفيذ الوصول الأقل امتيازًا أو المصادقة متعددة العوامل (MFA).
نظرًا لأن المخاطر الأمنية في سطح الهجوم في المؤسسة تتغير في أي وقت يتم فيه نشر الأصل/الأصول الجديدة أو الحالية بطرق جديدة، تتم مراقبة كل من الأصول التي تم جردها للشبكة والشبكة نفسها باستمرار وفحصها بحثًا عن الثغرات الأمنية. تمكِّن المراقبة المستمرة أدوات ASM من اكتشاف وتقييم الثغرات الأمنية ونواقل الهجوم الجديدة في الوقت الفعلي، وتنبيه فِرق الأمن إلى أي ثغرات جديدة تحتاج إلى اهتمام فوري.