تمثل أنظمة إدارة معلومات وأحداث الأمن (SIEM) خط الدفاع الأساسي في رصد الأنشطة المشبوهة داخل الشبكات المؤسسية، إذ تساعد المؤسسات على اكتشاف الهجمات والاستجابة لها في الوقت الفعلي. إلا أن تقرير Picus Blue Report 2025، المستند إلى أكثر من 160 مليون محاكاة واقعية للهجمات، كشف أن المؤسسات لا تتمكن سوى من اكتشاف هجوم واحد من أصل سبعة، وهو ما يسلط الضوء على فجوة خطيرة في قدرات الكشف والاستجابة.
إخفاقات جمع السجلات: أساس الانهيار
تعتمد قواعد SIEM على تحليل سجلات شاملة وموثوقة لرصد الأنشطة الضارة. لكن التقرير أظهر أن 50% من حالات فشل القواعد خلال عام 2025 مرتبطة بمشكلات في جمع السجلات.
وتشمل هذه المشكلات:
-
فقدان مصادر السجلات المهمة
-
أخطاء في إعداد وكلاء جمع السجلات
-
إعدادات خاطئة تمنع وصول البيانات إلى النظام
غياب هذه البيانات يعطل قدرة القواعد على إطلاق التنبيهات في الوقت المناسب، ويمنح المؤسسات شعورًا زائفًا بالأمان بينما تتم الهجمات دون رصد.
القواعد الخاطئة: إخفاقات صامتة
حتى مع جمع السجلات بشكل صحيح، يمكن أن تفشل القواعد بسبب سوء التهيئة، وهو ما مثّل 13% من حالات الفشل في 2025. وتشمل هذه الإخفاقات إعداد عتبات غير دقيقة، أو منطق ترابط ضعيف، أو مجموعات مرجعية غير مضبوطة.
القواعد الواسعة جدًا تولّد ضجيجًا هائلًا من التنبيهات، ما يؤدي إلى تجاهل إنذارات مهمة أو دفنها وسط الكم الكبير من الإشعارات، وهو ما يقلل من فعالية النظام في مواجهة الهجمات الحقيقية.
الأداء البطيء: العدو الخفي
كشف التقرير أن 24% من حالات فشل الكشف مرتبطة بمشكلات الأداء. فعندما تكبر البيانات وتزداد القواعد غير المحسّنة، يصبح النظام مثقلًا بالاستعلامات غير الفعالة والاستخدام المفرط للموارد.
هذا التباطؤ يؤدي إلى تأخر التنبيهات وإضعاف الاستجابة الفورية، مما يمنح المهاجمين فرصة أكبر للتوغل داخل الشبكات.
أبرز ثلاث مشكلات في جمع السجلات
سلط التقرير الضوء على ثلاث قضايا رئيسية:
-
دمج مصادر السجلات (Log Source Coalescing): يتسبب في فقدان بيانات مهمة من سجلات DNS والخوادم الوكيلة وسجلات Windows.
-
غياب مصادر السجلات: يمثل 10% من حالات الفشل نتيجة انقطاع الشبكة أو أخطاء في التهيئة أو حظر جدران الحماية.
-
تأخر تنفيذ فلاتر الاختبار الاقتصادية: يؤدي إلى تحميل النظام بيانات ضخمة غير مفلترة، ما يبطئ الأداء ويزيد من فرص فشل الكشف، وقد شكّل 8% من حالات الفشل.
أهمية التحقق المستمر من القواعد
القواعد الأمنية لا تبقى فعالة ما لم تخضع لعمليات تحقق مستمرة، إذ يطور المهاجمون باستمرار أساليب جديدة، بينما تفقد القواعد الثابتة صلاحيتها مع مرور الوقت.
يؤكد التقرير أن الاختبارات المستمرة عبر أدوات مثل Breach and Attack Simulation ضرورية لضمان أن القواعد قادرة على اكتشاف السلوكيات الخبيثة الحديثة، وتحديد الثغرات، وتحسين الضبط بما يتناسب مع البيئات المختلفة.
سد الفجوات في كشف التهديدات
إن فشل المؤسسات في تحديث واختبار قواعد SIEM بشكل دوري يفتح الباب أمام تهديدات متطورة يصعب رصدها. لذلك، يجب على الفرق الأمنية إجراء محاكاة دورية للهجمات، وتحسين القواعد باستمرار، وضمان أن قدرات الكشف متوائمة مع أساليب الخصوم الحديثة لحماية الأصول الحيوية.
