كيفية أتمتة الاستجابة لتحذيرات الثغرات الأمنية باستخدام منصة Tines

في ظل التزايد المستمر لعدد الثغرات الأمنية، باتت الحاجة لأتمتة آلية الاستجابة لتحذيرات الثغرات أمرًا بالغ الأهمية لتخفيف العبء عن فرق الأمن السيبراني وتسريع زمن الاستجابة. توفر منصة Tines – وهي منصة لأتمتة سير العمل مدعومة بالذكاء الاصطناعي – مكتبة تضم سير عمل جاهزة يمكن استيرادها وتفعيلها مجانًا من خلال إصدار المجتمع (Community Edition).

سير عمل بارز: مراقبة وتحليل تحذيرات CISA تلقائيًا

من أبرز هذه النماذج سير عمل تم تطويره بواسطة جوش ماكلولين، مهندس أمن في شركة LivePerson، يهدف إلى أتمتة مراقبة التحذيرات الأمنية الصادرة عن وكالة الأمن السيبراني الأمريكية CISA وغيرها من الموردين، ويقوم بإثرائها بمعلومات استخبارات التهديدات من CrowdStrike، ثم يباشر بإنشاء التذاكر على منصة ServiceNow وإخطار الفرق عبر Slack.

“قبل الأتمتة، كان إنشاء تذاكر لـ 45 ثغرة يستغرق حوالي 150 دقيقة”، يقول جوش. “الآن لا يتجاوز الأمر 60 دقيقة، مما يوفر وقتًا كبيرًا ويقلل من المهام اليدوية المرهقة مثل النسخ واللصق والتصفح”.

نجحت LivePerson في تقليص وقت معالجة التحذيرات الأمنية بنسبة 60%، مما عزز الكفاءة ورفع معنويات محللي الأمن.

المشكلة: متابعة تحذيرات الثغرات يدويًا

تمثل المتابعة اليدوية لتحذيرات الثغرات تحديًا متكررًا:

• التحقق المستمر من مصادر متعددة مثل CISA

• البحث عن CVEs المرتبطة

• تقييم درجة الخطورة وتحديد الحاجة إلى التدخل

• إنشاء التذاكر يدويًا وإبلاغ الفرق

هذه المهام تستهلك وقتًا ثمينًا، وتزيد من احتمالية التأخير أو الخطأ في الاستجابة.

الحل: أتمتة شاملة للمراقبة والإثراء وإنشاء التذاكر

يعالج سير العمل الذي أنشأه جوش هذه التحديات من خلال:

• سحب التحذيرات الأمنية من مصادر مفتوحة مثل CISA

• إثراء التحذيرات بمعلومات تهديدات CrowdStrike

• إرسال إشعارات عبر Slack مع أزرار “موافقة” و”رفض”

• إنشاء تذاكر ServiceNow تلقائيًا عند الموافقة

• تسجيل قرار الرفض دون اتخاذ إجراء

💡 النتيجة: نظام مرن وسريع يتعامل مع الثغرات الجديدة بكفاءة، مع الحفاظ على إشراف المحللين عند اتخاذ القرارات الحرجة.

أبرز فوائد سير العمل:

• تقليل العمل اليدوي وتسريع الاستجابة

• استخدام استخبارات التهديدات لتحسين الأولويات

• توحيد طريقة التعامل مع الثغرات

• تعزيز التعاون بين فرق الأمن وتكنولوجيا المعلومات

• رفع معنويات الفريق بإلغاء المهام المتكررة

• إبقاء المحللين في موقع التحكم بقرارات حاسمة

نظرة عامة على الأدوات المستخدمة:

• Tines: منصة لأتمتة سير العمل (متاحة بإصدار مجاني)

• CrowdStrike: منصة استخبارات تهديدات وحماية النقاط الطرفية

• ServiceNow: منصة إدارة خدمات تقنية المعلومات

• Slack: منصة تعاون الفريق

آلية عمل سير العمل:

1. جمع التحذيرات الأمنية من موجز RSS التابع لـCISA

2. إزالة التكرارات

3. فلترة الموردين (مثل Microsoft وGoogle وCitrix وAtlassian)

4. استخراج رموز الثغرات (CVEs) من وصف التحذير

5. الإثراء باستخدام CrowdStrike

6. إرسال الإشعارات إلى Slack مع أزرار موافقة أو رفض

7. تدفق الموافقة:

   • عند الموافقة ➜ إنشاء تذكرة على ServiceNow

   • عند الرفض ➜ تسجيل القرار فقط دون إجراء

خطوات تفعيل سير العمل في Tines:

1. تسجيل الدخول أو إنشاء حساب جديد في Tines

2. استيراد سير العمل من المكتبة

• انتقل إلى مكتبة Tines

• اختر سير العمل الجاهز للاستيراد

• سيتم تحميله مباشرة على لوحة التحرير الرسومية

3. إعداد بيانات الاعتماد (Credentials)

قم بإضافة بيانات الاعتماد التالية إلى منصة Tines:

• CrowdStrike API

• ServiceNow API

• Slack Webhook/API

ملاحظة: يمكن استبدال هذه الخدمات بخدمات مشابهة، مع إجراء تعديلات بسيطة في سير العمل.

4. ضبط الإعدادات

• تحديد قناة Slack التي سيتم إرسال التحذيرات إليها

• ضبط تفاصيل التذكرة على ServiceNow (الأولوية، الجهة المسؤولة)

• تعديل قواعد فلترة الموردين بما يتناسب مع احتياجات المؤسسة

5. اختبار سير العمل

قم بتشغيل اختبار عبر سحب تحذيرات جديدة من CISA، ثم تحقق من:

• وصول إشعارات Slack بالشكل الصحيح

• عمل أزرار الموافقة والرفض

• إنشاء التذاكر بشكل صحيح عند الموافقة

6. النشر والتشغيل الفعلي

• بعد اجتياز الاختبار، قم بنشر سير العمل

• شارك قناة Slack مع الفريق ليبدؤوا بمراجعة التحذيرات واتخاذ القرارات بسرعة