تعد أدوات إدارة سطح الهجوم (ASM) بتقليل المخاطر الأمنية، لكنها غالباً ما تقدم المزيد من المعلومات فقط دون تحسين حقيقي في الأمان، مما يخلق فجوة كبيرة بين الجهد المبذول والنتائج الفعلية.
ما هي المشكلة الحقيقية في أدوات إدارة سطح الهجوم؟
تنشر فرق الأمن السيبراني أدوات ASM فتنمو قوائم الأصول الرقمية، وتتدفق التنبيهات، وتمتلئ لوحات المراقبة بالبيانات. يوجد نشاط مرئي ومخرجات قابلة للقياس، لكن عندما تطرح الإدارة سؤالاً بسيطاً: "هل هذا يقلل من الحوادث الأمنية؟" تكون الإجابة غير واضحة في معظم الأحيان.
وفقاً لتقرير تيكبامين، هذه الفجوة بين الجهد والنتيجة هي المشكلة الأساسية في عائد الاستثمار (ROI) لإدارة سطح الهجوم، خاصة عندما يُقاس العائد بعدد الأصول المكتشفة بدلاً من تقليل المخاطر الفعلي.
لماذا تبدو أدوات ASM مشغولة لكنها غير فعالة؟
تميل أدوات إدارة سطح الهجوم إلى التركيز على التغطية لأنها سهلة القياس: المزيد من الأصول المكتشفة، والمزيد من التغييرات المرصودة، والمزيد من التنبيهات المُولّدة. كل هذا يبدو كتقدم ملموس.
لكنها في الواقع تقيس المدخلات وليس النتائج. في الممارسة العملية، تواجه الفرق الأمنية:
- زيادة مستمرة في عدد الأصول المكتشفة دون خطة واضحة لتأمينها
- تدفق مستمر من التنبيهات يصعب ترتيب أولوياتها
- فرق عمل مشغولة بالمراقبة دون شعور بانخفاض التعرض للمخاطر
- صعوبة تحديد ملكية الأصول والمسؤول عن تأمينها
ما هي المقاييس الخاطئة التي تستخدمها الشركات؟
أحد أسباب صعوبة إثبات عائد الاستثمار في ASM هو أن معظم المقاييس تركز على ما يمكن للنظام رؤيته، وليس على ما تحسنه المؤسسة فعلياً.
المقاييس الشائعة لكنها غير مفيدة:
- إجمالي عدد الأصول المكتشفة
- معدل نمو قاعدة بيانات الأصول
- عدد التنبيهات الأمنية المُرسلة
- نسبة التغطية مقارنة بالبنية التحتية
المقاييس الأكثر أهمية نادراً ما تُقاس:
- الوقت اللازم لتحديد مالك الأصل المكتشف
- سرعة معالجة الثغرات الحرجة
- مدة تعرض الأصول للخطر قبل التأمين
- نسبة انخفاض الحوادث الأمنية الفعلية
كيف يمكن قياس عائد الاستثمار بشكل صحيح؟
بدلاً من السؤال "كم عدد الأصول التي اكتشفناها؟"، السؤال الأكثر فائدة هو: "ما مدى سرعة وأمان تعاملنا مع التهديدات؟"
هذا التغيير في المنظور ينقل عائد الاستثمار من مجرد الرؤية إلى جودة الاستجابة ومدة التعرض للمخاطر، وهي عوامل ترتبط بشكل أوثق بالمخاطر الحقيقية.
ثلاثة مقاييس نتائج فعلية تهم حقاً
1. وقت تحديد الملكية: كم من الوقت يستغرق الإجابة على السؤال الأساسي "من يملك هذا الأصل؟" الأصول بدون ملكية واضحة تظل عرضة للخطر لفترات أطول.
2. سرعة معالجة الثغرات: قياس الوقت من اكتشاف الثغرة الحرجة حتى إغلاقها بالكامل، وليس مجرد رصدها.
3. انخفاض الحوادث الأمنية: المقياس النهائي هو التراجع الفعلي في عدد الاختراقات والحوادث الأمنية المرتبطة بسطح الهجوم.
الخلاصة: من المعلومات إلى التأثير الفعلي
كما ذكر تيكبامين، جرد الأصول يبقى أساسياً لقياس سطح الهجوم الخارجي. لكن الفجوة تظهر عندما لا تقترن مقاييس الاكتشاف بقياسات توضح ما إذا كانت المخاطر تنخفض فعلياً.
بدون قياسات موجهة نحو النتائج، تصبح أدوات ASM صعبة الدفاع عنها خلال مراجعات الميزانية، حتى عندما يتفق الجميع على أن رؤية الأصول ضرورية. التحول من قياس الكمية إلى قياس الأثر الأمني هو المفتاح لإثبات القيمة الحقيقية.
