في عالم الأمن السيبراني اليوم، لم يعد من السهل التمييز بين النشاط الشرعي والخبيث؛ إذ إن نحو 80% من التهديدات السيبرانية باتت تُحاكي سلوك المستخدمين الشرعيين، ما يضع مراكز العمليات الأمنية (SOCs) أمام تحدٍ صعب في رصد النشاطات الخطيرة وسط بحر من الاتصالات المألوفة.
التقارير الأخيرة، ومنها تقرير “تحقيقات خروقات البيانات” من شركة Verizon، تُظهر ارتفاعًا حادًا في الهجمات التي تستهدف أجهزة الحافة وبوابات VPN، من 3% إلى 22%. في الوقت ذاته، تُعاني حلول الكشف عند النقاط الطرفية (EDR) من قصور واضح في رصد الثغرات الصفرية، وتقنيات “العيش من بيئة النظام” (Living-off-the-Land)، والهجمات الخالية من البرمجيات الخبيثة. ووفقًا لتقرير CrowdStrike لعام 2025، فإن 80% من التهديدات المكتشفة تستخدم أساليب لا تعتمد على البرمجيات الخبيثة، وتبدو وكأنها سلوك مشروع تمامًا.
في ظل هذا الواقع، بدأت المراكز الأمنية في تبني منهجيات كشف متعددة الطبقات تعتمد على بيانات الشبكة للكشف عن النشاطات التي يصعب إخفاؤها عبر الطرق التقليدية.
الحل في الطبقات: استراتيجية الكشف السريع
على غرار ارتداء طبقات من الملابس لمواجهة طقس غير مستقر، تُعزز فرق الأمن السيبراني من قدرتها على رصد التهديدات عبر اعتماد طبقات متعددة من أدوات الكشف، ترتكز على رؤية أعمق لحركة المرور الشبكية. هذا النهج لا يسرّع من عملية الرصد فحسب، بل يُقلل من الجهد التشغيلي ويوجه التركيز نحو المخاطر ذات الأولوية.
الطبقة الأساسية
تشكل الدفاع الأول عبر أدوات الكشف القائمة على التواقيع، مثل تلك التي تُقدمها Proofpoint ET Pro باستخدام محركات Suricata، والتي ترصد التهديدات المعروفة بسرعة وكفاءة. كما تُعزز مؤشرات الاختراق (IOCs) هذا الدفاع من خلال البحث عن كيانات شبكية (عناوين IP، نطاقات، تجزئة ملفات) مرتبطة بهجمات مؤكدة، مما يسمح باكتشاف أسرع ودقيق.
طبقة الكشف عن البرمجيات الخبيثة
تُشبه حاجزًا مضادًا للمياه، تمنع تسرب “قطرات” من البرمجيات الخبيثة إلى بيئة الشبكة. تُستخدم قواعد YARA الشهيرة في تحليل الملفات الثابت للكشف عن عائلات البرمجيات الخبيثة التي تُغيّر شكلها، لكنها تحتفظ بنفس الأنماط السلوكية الجوهرية، ما يجعلها فعّالة في رصد التهديدات المتطورة.
الطبقة التكيفية
مصممة للتعامل مع الهجمات المتجددة، وتعتمد على الكشف السلوكي وخوارزميات التعلم الآلي. هذه الطبقة تكشف عن أنشطة خطيرة مثل خوارزميات توليد النطاقات (DGAs)، واتصالات التحكم والسيطرة، وأنماط تهريب البيانات غير الاعتيادية. حتى لو غيّر المهاجمون أدواتهم أو مؤشراتهم، فإن السلوك يبقى هو المفتاح.
وتُستخدم نماذج تعلم الآلة، سواء بإشراف أو بدونه، لرصد الأنماط الشاذة أو المعروفة، ما يمكن من اكتشاف الهجمات المعقدة وطويلة الأمد. كما تتيح تقنيات الكشف عن الشذوذ رصد الخدمات غير المتوقعة، وبرمجيات العملاء الغريبة، ومحاولات الدخول المريبة، والنشاطات الإدارية المشبوهة، وكلها علامات على اختراق محتمل.
طبقة الاستعلام والتحليل
عند الحاجة إلى استجابة سريعة، تُقدم استعلامات السجلات الشبكية حلاً مباشرًا. عبر البحث السريع في البيانات المسجلة، يمكن توليد تنبيهات فورية تُساهم في احتواء التهديد قبل تفاقمه.
التكامل عبر منصة NDR: رؤية موحدة للتهديدات
قوة هذا النهج لا تكمن فقط في تنوع طبقاته، بل في تكامله. حيث تتيح حلول “الكشف والاستجابة الشبكية” (NDR) دمج كافة الطبقات السابقة لتوفير رؤية شاملة للنشاطات المشبوهة، من خلال ربط الاكتشافات الواردة من عدة محركات في نظام مركزي يُوفر سرعة في الاستجابة وسياقًا غنيًا لتحليل الحوادث.
وتقدم منصات NDR الحديثة فوائد إضافية مثل:
-
كشف الأساليب الجديدة للهجمات قبل أن تتوفر لها تواقيع في أنظمة EDR
-
تقليل التنبيهات الكاذبة بنسبة تصل إلى 25%، بحسب تقرير FireEye لعام 2022
-
تسريع الاستجابة عبر تصنيف الحوادث تلقائيًا باستخدام الذكاء الاصطناعي
-
تغطية شاملة لتكتيكات وأساليب MITRE ATT&CK عبر الشبكة
-
الاعتماد على استخبارات مجتمعية مفتوحة المصدر لتعزيز الرؤية
في هذا السياق، يُبرز حل Corelight كمثال متكامل، حيث يجمع بين كل طبقات الكشف السبعة ضمن منصة NDR مفتوحة قائمة على أدوات مثل Zeek، ما يُمكن المؤسسات من الاستفادة من قوة المجتمع الاستخباراتي لكشف التهديدات في الوقت الفعلي.
