ما هو اكتشاف الشذوذ في الأمن السيبراني؟

يُحال الشذوذ إلى سلوك أو نتيجة أو إجراء أو سلسلة من الإجراءات تختلف عن السلوك الطبيعي أو المتوقع أو النتيجة أو النمط. يمكن للمرء أن يفكر في الأمر على أنه مخالفة أو اختلاف عن الممارسة العامة.

يتم تعريف تحديد واكتشاف السلوكيات أو الإجراءات المذكورة أعلاه ببساطة على أنها اكتشاف الشذوذ. ومن ثم ، فإن تحديد الأنشطة أو نقاط البيانات التي لا تلبي النمط المتوقع أو الطبيعي يسمى اكتشاف الانحراف. من الأصول الرئيسية لاكتشاف الشذوذ في بيئة تكنولوجيا المعلومات إطار العمل الأمني ​​Zero Trust ، والذي سيتم مناقشته لاحقًا في المقالة.

ما هو اكتشاف الشذوذ في الأمن السيبراني؟

في الأمن السيبراني ، يساعد اكتشاف الأخطاء في العثور على العيوب الهيكلية والتكوينات الأمنية الخاطئة والهجمات الرقمية المحتملة. هناك ثلاثة أقسام فرعية رئيسية تعمل تحت راية كشف شذوذ الأمن السيبراني ؛

• كشف الشذوذ غير الخاضع للإشراف: هو الكشف عن مثل هذه الأحداث أو الأنشطة النادرة التي لا توجد معرفة مسبقة عنها.
• كشف الشذوذ شبه الخاضع للإشراف: يكتشف الاستثناءات من السلوك الطبيعي باستخدام الأمثلة المصنفة.
• كشف الشذوذ الخاضع للإشراف: تكتشف هذه التقنية الحالات الشاذة باستخدام مجموعة بيانات مصنفة. تفرق الملصقات بين السلوكيات غير الطبيعية والعادية.

ما هي أنواع العيوب؟

هناك ثلاثة أنواع شائعة من الحالات الشاذة التي تشير إلى وجود تهديد للأمن السيبراني:

1. شذوذ الوقت

يعتبر أي نشاط يحدث في وقت غير متوقع أو غريب بمثابة شذوذ زمني. من أفضل الممارسات وضع توقيت محدد لجميع الأنشطة في مؤسستك لجميع المستخدمين.

في هذه الحالة ، سيتم تحديده كلما حدث نشاط في وقت لم يتم تحديد موعده للقيام بذلك. فيما يلي مثال واقعي لشذوذ الوقت: حساب موظف من المقرر أن يكون نشطًا من الساعة 9 صباحًا حتى 5 مساءً ، ولكن تم تسجيل الدخول إلى حسابه في الساعة 10 مساءً.

2. عد الشذوذ

عندما يتم تنفيذ أنشطة متعددة في وقت واحد أو في فترة زمنية قصيرة من قبل مضيف أو موظف ، يتم ملاحظة عدد الحالات الشاذة. يجب على المسؤولين تحديد عدد الأنشطة التي يمكن القيام بها في فترة زمنية معينة.

إذا تم تجاوز هذا الرقم (الأساس) للأنشطة المحددة ، فسيتم تنبيه النظام إلى ملاحظة وجود شذوذ في العد. على سبيل المثال ، إذا قمت بتعيين الحد الأقصى لعدد تغييرات التكوين الخاصة بجهاز التوجيه على 11 ، إلا أن جهاز التوجيه يخضع لأكثر من 20 تغييرًا في التكوين.

3. أنماط الشذوذ

عند حدوث تسلسل غير متوقع للأحداث ، يتم ملاحظة شذوذ في النمط. إذا حدثت هذه الأحداث بشكل فردي ، فقد لا يتم اعتبارها نشاطًا شاذًا ، ولكنها معًا تنحرف عن النمط المتوقع ؛ ومن هنا جاء اسم "نمط الشذوذ".

يجب إنشاء خط أساس للنمط المتوقع للأنشطة داخل المنظمة يجب على جميع المستخدمين والمضيفين اتباعه. ثم يمكن مقارنة جميع الأنشطة التي تحدث بنمط خط الأساس للإشارة إلى ما إذا كان هناك سلوك شاذ في النمط.

ثقة معدومة

في روتين العمل المختلط الحالي ، نرى أن الوصول إلى بيانات الشركة وتطبيقاتها يجب أن يتم توفيره لمستخدمي الأجهزة المحمولة ، ومقاولي الأطراف ، ومستخدمي سطح المكتب في وقت واحد. ومع ذلك ، فقد ارتفعت أيضًا مخاطر هجوم رقمي محتمل. يسمح نموذج الثقة المعدومة (Zero Trust) بأقل الامتيازات المطلوبة لإكمال المهمة وينشئ تحذيرًا إذا تم تنفيذ نشاط غير عادي.

في الأساس ، نموذج Zero Trust هو إطار عمل للأمن السيبراني يعامل جميع مستخدمي البيئة الإلكترونية على قدم المساواة. يتطلب أن يتم التصريح لجميع المستخدمين ، والتحقق من صحتها والتحقق منها باستمرار قبل منحهم حق الوصول إلى موارد وبيانات المنظمة.

يعمل إطار Zero Trust وفقًا للمبادئ التالية:

1. التحقق التلقائي

يسمح نموذج Zero Trust للمؤسسات بأتمتة التحقق من الهوية وأنظمة المراقبة الخاصة بها. هذا يوفر لهم مرونة عالية في مستويات الأمان. يسمح هذا الإطار لفرق الأمن التنظيمي بإعداد استجابة توسيد لنشاط المستهلك. بمعنى أنه يمكن البدء في اتخاذ إجراء فوري بمجرد اكتشاف حالة شاذة.

2. تخصيص أقل الامتيازات

يحصل العملاء والموظفون فقط على أقل وصول مطلوب لإكمال إجراء ما. يسمح ذلك لفرق الأمن بتقليل التهديد في الوقت المناسب وتقليل تعرض التطبيقات والبيانات السرية. يضمن نموذج الثقة المعدومة أن كل طلب دخول يتم فحصه تلقائيًا بدقة قبل منح الموافقة.

3. مراقبة بدون توقف

تراقب فرق الأمان باستمرار عملية الوصول إلى بيانات الشركة والموارد التي يتبعها المستخدمون والموظفون. إذا لوحظ انحراف عن النمط الطبيعي ، يتم إصدار تحذيرات ويبدأ تخفيف التهديد. تساعد المراقبة المستمرة في تحديد التهديدات الإلكترونية الداخلية والخارجية وإنهائها.

الهدف من نموذج Zero Trust هو منع التهديدات الإلكترونية المتقدمة من التسبب في ضرر للمؤسسة. يضمن إطار Zero Trust الامتثال لقوانين HIPAA و CCPA و FISMA و GDPR وغيرها من قوانين خصوصية البيانات.

ما هي مجالات عملك التي ستؤمن Zero Trust؟

يعتمد العمل التجاري على أربعة مكونات رئيسية: البيانات والأصول والتطبيقات والمستخدمون النهائيون / العملاء.

★ البيانات

يمكن لإستراتيجيات الثقة المعدومة إدارة مستويات الكشف عن الشذوذ في بيانات الشركة والوصول إليها والإذن. بالإضافة إلى ذلك ، يمكن التعرف بسهولة على أي تنزيلات غير مصرح بها أو عمليات نقل معلومات داخل بيئة عملك.

★ الأصول

إلى جانب أعباء العمل المستندة إلى السحابة ، يستهدف المهاجمون الرقميون أيضًا الأصول التجارية مثل الأجهزة الافتراضية والحاويات والوظائف. يوفر إطار Zero Trust الأدوات المناسبة للتعامل مع مثل هذه المواقف. تركز الشركات جهودها الأمنية من خلال تحديد الأصول الهامة واستخدام الوصول المستند إلى الأدوار للتحقق من طلب الوصول.

★ التطبيقات

تتم مراقبة استخدام التطبيقات وإمكانية الوصول إليها باستمرار في وقت التشغيل. يتيح ذلك لفرق الأمان فهم سلوك المستخدم واكتشاف الانحرافات عن النمط المحدد. يعامل Zero Trust أي تغيير في الاستخدام على أنه نشاط شاذ.

★ العملاء

يشمل العملاء أو المستخدمون النهائيون للشركة الشركاء والموظفين والمقاولين الخارجيين أيضًا. يستخدمون جميعًا حقوق وصول وهويات مختلفة ويصلون إلى تطبيقات وبيانات الشركة من الأجهزة المُدارة وغير المُدارة. يؤدي هذا إلى ظهور العديد من التحديات الإدارية والأمنية التي يمكن معالجتها باستخدام نموذج أمان الثقة المعدومة.

استنتاج

في العالم السيبراني ، تشير الحالات الشاذة إلى هجوم محتمل ، لذلك أصبح اكتشاف حالة شاذة أمرًا بالغ الأهمية للأمن السيبراني. تتطلب تهديدات الأمن الرقمي المتزايدة بنية تحتية أمنية محدثة ومضمونة. لذلك ، يعد أمان Zero Trust طريقة ممتازة لاكتشاف الشذوذ في البنية التحتية لتكنولوجيا المعلومات لديك والتخفيف من حدته.