كتب : محمود الضبع – صابر محمد
تمكّنت (28%) أكثر من ربع الشركات التي طبقت أحد حلول الكشف عن التهديدات والاستجابة لها عند النقاط الطرفية Endpoint Detection and Response (EDR) من الكشف عن الهجمات الإلكترونية في غضون ساعات قليلة، إن لم يكن فورًا تقريبًا، عقب وقوعها، وذلك وفق ما ورد في نتائج دراسة كاسبرسكي لمخاطر أمن تقنية المعلومات. وأظهرت الدراسة أن هذه النسبة في منطقة الشرق الأوسط وتركيا وأفريقيا جاءت أقلّ بكثير، وبلغت 13% فقط.
ويُعدّ الكشف في الوقت المناسب عن حوادث الهجمات الرقمية ضروريًا لتقليل الخسائر الناجمة عنها، فكلما طال مكوث المجرمين الإلكترونيين دون أن يلاحظهم أحد في شبكة الشركة، زاد عدد البيانات التي يمكنهم جمعها واقتربوا أكثر من أصول الشركة المهمة. ولذلك يسمح تقليل "زمن المكوث" للشركات باحتواء الهجوم الرقمي قبل أن يتسبب في إحداث ضرر كبير.
وسُئلت 2,961 شركة حول العالم عن الوقت الذي استغرقته في اكتشاف هجوم رقمي واجهته في العام السابق، وذلك في دراسة استطلاع لآراء صانعي القرار في مجال تقنية المعلومات، أجريت بتكليف من كاسبرسكي في 2019. وكشف التحليل التفصيلي للردود المقدّمة عن وجود علاقة قوية بين تطبيق حلول الكشف عن التهديدات والاستجابة لها عند النقاط الطرفية (EDR) وزمن المكوث.
وأكد 28% من الشركات التي تستخدم هذه الحلول أنها استطاعت الكشف عن هجوم رقمي في غضون بضع ساعات، وأن 14% من هذه المجموعة تمكّنت من اكتشاف الهجوم على الفور تقريبًا، وهو أعلى من المعدّل البالغ 6% فقط. وقد استطاعت 14% من الشركات اكتشاف الحادث في غضون بضع ساعات مقارنة بنسبة 7% من جميع المشاركين. وقال 8% فقط من مستخدمي حلول EDR إن الأمر استغرقهم عدة أشهر لاكتشاف تعرضهم لهجوم ما. لكن معظم المشاركين في الدراسة قالوا إنهم احتاجوا إلى عدة أيام للكشف عن الهجوم، سواء كانوا يستخدمون تلك الحلول أم لا.
وأكّدت يانا شيڤشينكو ـ مدير أول لتسويق المنتجات في كاسبرسكي، أن حلول EDR تتيح قدرة أعلى على اكتشاف التهديدات ورؤيتها في البنية التحتية للنقاط الطرفية، وتسهّل التحليل الفعال للأسباب الجذرية والبحث عن التهديدات والاستجابة السريعة للحوادث، وقالت: "تؤتمت حلول EDR المهام الروتينية التي قد يواجهها المحللون خلال ممارستهم أنشطة الكشف عن التهديدات ومعالجة الحوادث، لكن الدراسة أظهرت أن هذه الحلول لا تساعد جميع الشركات في تقليل زمن المكوث، ربّما لأن التنبيهات بشأن الأنشطة المريبة تتطلب تدخّل المحللين الأمنيين للتحقيق والبتّ فيما إذا كان الإجراء يشكل خطرًا. لذلك، فإن استخدام حل مهني غنيّ بالمزايا في شركات لا تتمتع بخبرة داخلية في التعامل مع الحوادث المعقدة، قد لا يحقق التأثير المنشود".
وتقدّم كاسبرسكي حلّين من فئة EDR يلبّيان متطلبات أنواع مختلفة من العملاء؛ إذ يزوّد الحلّ Kaspersky EDR خبراء الأمن في الشركات التي تتمتع بالنضج في مجال أمن تقنية المعلومات بقدرات متقدمة على اكتشاف التهديدات، وإجراء تحقيقات متعمّقة مدعومة بمعلومات التهديدات، وتحديد إطار عمل MITRE ATT&CK، والبحث عن التهديدات، وتفعيل استجابة مركزية للهجمات المعقدة متعددة المراحل.
أما الحلّ Kaspersky EDR Optimum فيتيح إمكانيات أساسية للكشف عن التهديدات والاستجابة لها، تشمل رؤية أفضل للنقاط الطرفية، والتحليل المبسط للأسباب الجذرية، وخيارات الاستجابة المؤتمتة، وذلك للشركات ذات الموارد والخبرات المحدودة في مجال الأمن الرقمي.