يتميز الإصدار المحدّث من الحل الأمني Kaspersky SIEM بوظائف الذكاء الاصطناعي، التي ترصد هجمات مكتبات الربط الديناميكي (DLL)، وتوفر تكاملاً مع خدمات استخبارات البصمة الرقمية من كاسبرسكي (DFI) وخدمات الاكتشاف والاستجابة المدارة (MDR)، ويعزز قدرات التعامل مع لوحات التحكم والتقارير.
وفقاً لأحدث تقرير من محللي خدمات الاكتشاف والاستجابة المدارة (MDR) في كاسبرسكي، تسببت التهديدات المتقدمة المستمرة بتأثير كبير على واحدة من أصل أربع شركات خلال عام 2024، مما يعكس نموًا ملحوظًا بنسبة 74% مقارنة بعام 2023. صحيح أنّ تقنيات الاكتشاف الآلي تطورت كثيراً، لكن المهاجمين مستمرون في استغلال الثغرات الأمنية ويتجاوزون الحماية والدفاعات، وذلك وفقاً لما أوضحته نتائج التحليل. وللاستجابة لهذه التحديات، عملت كاسبرسكي على تحديث حلّها الأمني (Kaspersky SIEM)، فدمجت ميزات جديدة وقيّمة لتحسين الكفاءة العامة لأنظمة الأمن السيبراني.
يجمع الحلّ الأمني (Kaspersky SIEM) بيانات السجلات، ويوحدها، ويحللها، ويخزنها عبر البنية التحتية لتكنولوجيا المعلومات، فيوفر معلومات أمنية مدعومة بالسياق ورؤية استخباراتية عن التهديدات السيبرانية. وقد تعززت قدرات هذه المنصة بميزات إضافية خلال التحديث الأخير، منها:
حماية محسنة ضد هجمات مكتبات الربط الديناميكي (DLL)
تُحمّل البرامج الشرعية مكتبات برمجية كثيرة في أثناء التشغيل، وهذا أمر قد يستغلّه المهاجمون لتفادي الاكتشاف وشنّ هجمات سيبرانية. ويتصدى حل (Kaspersky SIEM) لهذا التهديد، فيقدم نظاماً فرعياً متخصصاً يعتمد على الذكاء الاصطناعي لتحليل المعلومات الخاصة بجميع المكتبات المحملة باستمرار. فإذا اشتبه الحل بحدوث استبدال لأي مكتبة، فإنّه يقوم تلقائيًا بتمييز هذا الحدث ، مما يتيح لفرق الأمن إنشاء سجل للحادثة وبدء التحقيق فيها. للاستفادة من هذه الوظيفة الجديدة، يكفي أن يربط المستخدمون قاعدة تحليل هجمات ملفات DLL بوحدة التجميع أو الارتباط، مما يحسن قدرة النظام على اكتشاف تهديدات الاستبدال المحتمل للمكتبات، والاستجابة لها بفعالية.
التكامل مع استخبارات البصمة الرقمية وخدمات الاكتشاف والاستجابة المدارة
يقدم (Kaspersky SIEM) تكاملاً سلساً مع استخبارات البصمة الرقمية لدى كاسبرسكي، ويتيح للمستخدمين الحصول على تحليلات شاملة مرتبطة ببيانات البصمة الرقمية. ويضمن هذا التحسين الاكتشاف الفوري لتسريب حسابات المستخدمين وكلمات المرور، ويصدر تنبيهات آلية لتسهيل الاستجابة الفورية. ويمكن التحقيق بشكل أكبر في الحوادث عبر هذا التكامل ضمن نظام SIEM، مما يعزز الوضع الأمني العام.
إضافةً إلى ما سبق، يتيح هذا الحل استيراد بيانات الحوادث تلقائياً من وحدة الاكتشاف والاستجابة المدارة (MDR) مباشرة إلى منصة SIEM، مما يُسهل عملية معالجة الحوادث وتحليلها، وبهذا تصبح إدارة التهديدات أكثر سرعة وكفاءة.
تحليل سلوكي محسّن
شهد حلّ (Kaspersky SIEM) تطويراً إضافياً بدمج قواعد مخصصة لتحليل سلوك المستخدم والكيان (UEBA)، التي صممت تحديداً للكشف الشامل عن أي خلل في عمليات المصادقة، ونشاط المكتبة البرمجية، وتنفيذ العمليات في بيئات محطات العمل والخوادم العاملة بنظام ويندوز. وبفضل هذه الإضافة، أصبح حل Kaspersky SIEM قادرا على تحليل الانحرافات عن الأنماط السلوكية المعتادة بشكل أدق، مما يسهل الاكتشاف المبكر للتهديدات المتقدمة المستمرة، والهجمات المخصصة، والتهديدات الداخلية.
إمكانيات جديدة لإعداد التقارير
يمكن الآن مشاركة لوحات التحكم والمعلومات ونماذج التقارير ونقلها بين أنظمة Kaspersky SIEM، مما يُسهّل التعاون السلس ويعزز اتساق العمليات بين بيئات الأمن. وبفضل هذه الميزة الحديثة، يتلقى المستخدمون التحديثات مباشرة من كاسبرسكي، فتحصل فرق الأمن على بيانات محدثة لإجراء تحليل شامل للأمن السيبراني في المؤسسة.
بالإضافة إلى ذلك، أطلقت أدوات جديدة لاستعراض البيانات، وهي إلى ذلك توفر إمكانيات متقدمة لعرض المعلومات. ويستطيع المستخدمون الآن عرض البيانات على هيئة مؤشرات اتجاهات، ودمج رسوم بيانية متعددة، وتوضيح العلاقات بين القيم المختلفة، مما يزيد شفافية رؤى الأمن وفعاليتها.
كما أضيفت أداة جديدة معدة مسبقاً، وتتيح للمستخدمين إنشاء استعلامات محسنة. ويرافقها ميزة التحليل المعمق، التي تسهل انتقال المستخدمين من لوحة تحكم إلى أخرى معدة مسبقاً لإجراء تحليلات أكثر عمقاً وتفصيلاً.
تحسين توفر الخدمة وقابلية التوسع
قدّمت كاسبرسكي بنية موزعة تعتمد على خوارزمية Raft لنظام منصة SIEM الأساسي، وهي مصممةٌ لتقديم مستوى عالٍ من التوفر والجاهزية والمرونة التشغيلية. ويضمن هذا النهج استمراريةَ التشغيل في ظلّ أعباء العمل الثقيلة، ويتيح للمؤسسات التوسعَ أفقياً بسهولة.
يعلق على هذه المسألة إيليا ماركيلوف، رئيس خط منتجات المنصة الموحدة لدى كاسبرسكي: «نواصل العمل في كاسبرسكي على تحسين منصة SIEM لضمان تحسين قدراتها في اكتشاف التهديدات المتقدمة. ونهدف إلى تخفيف أعباء العمل عند متخصصي الأمن السيبراني، ومساعدتهم على تخصيص وقتٍ أكبر لتحليل الحوادث السيبرانية المعقدة وتطبيق الإجراءات الوقائية. وبفضل استخدام تقنيات الذكاء الاصطناعي المتقدمة، نتمكن من أتمتة العديد من العمليات، وتسريع معالجة كميات هائلة من البيانات، مما يعزز من أمن المؤسسات، ويزيد مرونتها في التصدي للتهديدات الناشئة».
