وأوردت الدراسة التي أجرتها «إي إس جي» بتكليف من كاسبرسكي بعنوان «تحديث مراكز العمليات الأمنية ودور القدرات الموسعة الخاصة بالكشف عن التهديدات والاستجابة لها»، أنه لا تزال مشكلة الإدارة الفعّالة لحالات الطوارئ عبر مركز العمليات الأمنية (SOC) قائمة، مشيرة إلى أنه بحسب دراسة استطلاعية بعنوان «حالة العمليات الأمنية والأتمتة في العام 2020»، أجرتها شركة «دايمنشنل ريسيرتش»، يعاني 83% من موظفي الأمن الرقمي ما يُعرف بـ «إرهاق التنبيهات».
تنوع واسع
بالإضافة إلى حجم التنبيهات، فإن تنوّعها الواسع يمثل مشكلة أخرى لنحو 67% من المؤسسات، وفقًا لدراسة كاسبرسكي.
ويصعّب هذا الأمر على محللي مراكز العمليات الأمنية التركيز على مهام العمل الأكثر تعقيدًا وأهمية.
وقد وجدت الدراسة أن فرق الأمن الرقمي المثقلة بمتابعة التنبيهات والحالات الطارئة في 34% من الشركات، لا تملك وقتًا كافيًا لتحسين الإستراتيجيات والعمليات.
الخدمات الخارجية
ووجدت الدراسة أيضًا أن المؤسسات لا تربط المشكلة بنقص الموظفين، إذ يرى 83% أن مراكز العمليات الأمنية لديها عدد كافٍ من الموظفين لتأمين الحماية الفعّالة للشركة، لكن المستطلعة آراؤهم يرون أن ذلك يرجع إلى الحاجة إلى أتمتة العمليات واللجوء إلى الخدمات الخارجية.
ويكمن السبب الرئيس للجوء إلى الخدمات المُدارة في إتاحة وقت أطول للموظفين للتركيز على المبادرات الإستراتيجية، بدلًا من قضاء الوقت في مهام العمليات الأمنية 55 %.
البحث الاستباقي
وقالت يوليا أندريفا المدير الأول للمنتجات لدى كاسبرسكي، إن جهود المحللين في مراكز العمليات الأمنية تنصبّ على حلّ المشكلات بعد وقوعها بدلًا من البحث الاستباقي عن التهديدات المعقدة التي تحاول التسلل إلى البنية التحتية، داعية إلى وجوب أن تتمثل المهام الأساسية لمراكز العمليات بـ «تقليل عدد التنبيهات، وأتمتة دمجها وربطها في سلاسل الحوادث، وتقليص وقت الاستجابة الإجمالي، وذلك من أجل تحسين فاعلية هذه المراكز. وتساعد حلول الأتمتة وخدمات الخبراء الخارجيين في تحقيق ذلك».
تنظيم العمل
ويوصي الخبراء المؤسسات لتيسير عمل مراكز العمليات الأمنية وتجنيب موظفيها الإرهاق الناجم عن كثرة التنبيهات، بتنظيم نوبات العمل في مركز العمليات الأمنية لتجنيب الموظفين الإرهاق وضمان التوزيع العادل لجميع المهام الرئيسية، كالمراقبة والتحقيق وهندسة تقنية المعلومات والإدارة الشاملة، مؤكدين أن إغراق محللي مراكز العمليات الأمنية بالمهام الروتينية قد يؤدي إلى إرهاقهم، وأنه يمكن لبعض الممارسات، مثل النقل الداخلي والتناوب، أن تساعد في تحسين إدارة هذا الأمر.
معلومات التهديدات
كما أكدوا أن استخدام خدمة معلومات التهديدات، أثبتت جدواها وتتيح دمج المعلومات المقروءة آليًّا في عناصر التحكم الأمنية الحالية، مثل نظام SIEM، في أتمتة عملية الفرز الأولية وإنشاء سياق كافٍ لاتخاذ قرار بشأن ما إذا كان يجب التحقيق في التنبيه على الفور أم لا، مشيرين إلى أنه للمساعدة في تحرير موظفي مراكز العمليات الأمنية من مهام فرز التنبيهات الروتينية، يمكن استخدام الخدمة المُدارة للكشف عن التنبيهات والاستجابة لها، والتي أثبتت كفاءتها، إذ تجمع هذه الخدمة بين تقنيات الكشف المستندة على الذكاء الاصطناعي والخبرة الواسعة في البحث عن التهديدات والاستجابة للحوادث، والتي تتمتع بها الوحدات المهنية الأخرى في كاسبرسكي كفريق البحث والتحليل العالمي.