ملخص
- تتعرض قيمة خدمات الأمن المُدارة من Hitachi Systems للاختبار عندما يصبح تنبيه أو ثغرة أمنية أو تغيير في التكامل إجراءً موثقًا من العميل، لأن جودة الأدلة والسلطة وقابلية العكس وسياق العمل هي التي تحدد ما إذا كان الاستعانة بمصادر خارجية يقلل أو يزيد العبء التشغيلي.
- تشير المعلومات العامة إلى أساس تشغيلي جاد: تصف الوثائق الرسمية لشركة Hitachi Systems تكامل الأنظمة والتشغيل والمراقبة والصيانة وخدمات الشبكة والاندماج مع SecureBrain بهدف توسيع خدمات الأمن المُدارة، بينما تظهر موارد المجموعة السيبرانية قدرات مجاورة لمراكز عمليات الأمن (SOC) والاستجابة.
- لا تسمح الأدلة المتاحة باعتبار Hitachi Systems مزود استجابة موحدًا من النوع الصندوق الأسود. بيئات العملاء وقواعد السلطة واكتمال القياس عن بعد وتكامل الأدوات والإيجابيات الكاذبة والبنية التحتية القديمة وممارسات الموافقة في الشركات اليابانية هي متغيرات أساسية.
- يمكن للأتمتة مساعدة Hitachi Systems إذا ضغطت مراحل الفرز والإثراء وتوجيه التذاكر والإشعار وخطوات الاحتواء القابلة للتكرار. تصبح خطرة إذا أخفت أدلة ضعيفة أو طبقت إجراءات عامة على أنظمة خاصة بالعميل أو جعلت قابلية العكس أكثر صعوبة.
- السؤال التجاري هو ما إذا كانت التوفيرات من الأمن والتكامل الخارجي تعوض تكاليف التكامل وصيانة دفاتر اللعب ومراجعة الإيجابيات الكاذبة والتنسيق مع العميل والتصعيد إلى المتخصصين والحفاظ على الأدلة وأعمال التدقيق والاعتماد على المزود.
الأصعب ليس التنبيه، بل الإجراء المقبول
لا ينبغي تقييم Hitachi Systems فقط بحجم عرضها في الأمن السيبراني. يمكن للشركة الترويج لخدماتها المُدارة وتكامل الأنظمة ومراقبة الأمن والاستشارات وقياس النقاط الطرفية والشبكات ودعم الحوادث وتكامل المنتجات وعمليات الأمن الجماعية. السؤال الأكثر فائدة هو أضيق: عندما يتم إطلاق تنبيه أو اقتراح تغيير، هل تستطيع Hitachi Systems تحويل الملف إلى استجابة يقبلها العميل ويفهمها ويمكنه تدقيقها لاحقًا؟
هذا معيار مختلف عن حجم التنبيهات أو تغطية الأدوات. يمكن لمزود أمن مُدار اكتشاف اتصال مشبوه أو حدث على نقطة نهاية أو صفحة تصيد أو مؤشر برمجيات خبيثة أو تغيير صلاحية أو تعرض ثغرة، ومع ذلك يفشل في نظر العميل إذا لم تكن الخطوة التالية واضحة. من لديه السلطة لعزل جهاز؟ من يمكنه إعادة تعيين حساب؟ أي مالك نظام يحتاج إلى الموافقة على تغيير جدار الحماية أو سياسة الهوية؟ ما الأدلة الكافية لتمييز حادث حقيقي عن إيجابي كاذب؟ ما عملية الأعمال التي ستتوقف إذا كان الاحتواء عدوانيًا جدًا؟ ما حالة قابلية العكس التي تثبت استعادة البيئة؟ كيف يعرف العميل أن الإجراء قد نجح؟
الوعد التجاري لـ Hitachi Systems يكمن في هذه الفجوة. الشركات اليابانية والمؤسسات العامة وكبار مشتري الخدمات المُدارة لا يستعينون بمصادر خارجية للأمن للحصول على المزيد من لوحات القيادة. إنهم يستعينون بمصادر خارجية لأن فرقهم الداخلية مثقلة بضوضاء المراقبة وانحراف التكامل والأنظمة القديمة ومتطلبات التدقيق ونقص متخصصي الاستجابة. من المفترض أن يقلل المزود هذا العبء. ولكن إذا كان كل تنبيه لا يزال يجبر العميل على إعادة بناء السياق وطلب الموافقات والإشراف على كل إجراء، فإن الخدمة المُدارة تصبح طبقة تشغيلية إضافية بدلاً من تخفيف.
لهذا السبب لا يمكن استنتاج قيمة الشركة من حجم المجموعة فقط. Hitachi Systems جزء من مجموعة هيتاشي الأوسع، وتقدم نفسها كمكامل أنظمة ومزود خدمات مُدارة بقدرات أمنية. كما استوعبت SecureBrain، وهي شركة أمن تقدم منتجات مكافحة التصيد وأمن الويب وتحليل البرمجيات الخبيثة، من خلال اندماج في أبريل 2024. هذه الأصول مهمة. إنها توسع المهارات التقنية وتمنح Hitachi Systems معرفة أعمق بالمنتجات داخليًا. لكن الاختبار من جانب العميل يظل تشغيليًا. يجب على المزود ربط الأدلة من الأدوات والبنية التحتية الخاصة بالعميل وقواعد الموافقة وسلطة الاستجابة بشكل قابل للتكرار.
لذا فإن الاستجابة الأمنية المُدارة المقبولة تشكل وحدة التحليل. يتم قبول الاستجابة عندما يتمكن العميل من رؤية سبب أهمية التنبيه، وما الأدلة التي تدعمه، وما الخيارات المتاحة، ومن أذن بالإجراء، وكيف تم تنفيذ الإجراء، وكيف ستعمل قابلية العكس، وما تم التحقق منه بعد ذلك، وما عدم اليقين المتبقي. هذا المعيار صعب ولكنه عادل. إنه يقيس الجزء من الاستعانة بمصادر خارجية للأمن الذي يغير بالفعل التكلفة والمخاطر للعميل.
Hitachi Systems تبيع الطبقة التشغيلية حول الأمن
تضع الوثائق العامة لـ Hitachi Systems الشركة في الدور الواسع لتكامل الأنظمة والخدمات المُدارة بدلاً من الدور الضيق لمزود المنتجات. يصف عرضها العام تكامل الأنظمة وتشغيلها ومراقبتها وصيانتها وخدمات الشبكة وبيع وتطوير المعدات والبرمجيات المتعلقة بالمعلومات. بيانها حول الاندماج مع SecureBrain يضع خدمات الأمن المُدارة ضمن استراتيجية النمو، بينما تظهر موارد المجموعة السيبرانية الأوسع قدرات مجاورة للمراقبة والاستجابة للحوادث والتحقيق الرقمي والخدمات المُدارة.
هذا الموقع في الطبقة التشغيلية مهم. يمكن لمزود منتجات أمنية بحتة أن يقول إن المنتج اكتشف حدثًا مشبوهًا ويترك للعميل تكامله. مزود الأمن المُدار وتكامل الأنظمة لديه مهمة أصعب. قد يُطلب منه ربط الحدث بأنظمة الهوية وأدوات النقاط الطرفية ووحدات التحكم السحابية ومنصات التذاكر والبنية التحتية للشبكة وتطبيقات الأعمال ونوافذ التغيير وخطط التعافي والتزامات إعداد التقارير. في العديد من بيئات الشركات والقطاع العام اليابانية، لا تشكل هذه الأنظمة مكدسًا جديدًا ونظيفًا. قد تتضمن تطبيقات قديمة ومعدات خاصة بموردين وعمليات مُدارة خارجيًا وسلطات إدارية منفصلة وعادات موافقة صارمة.
ميزة موقع Hitachi Systems هي أن تكامل الأنظمة يمنحها إمكانية الوصول إلى سياق قد يفتقده أداة أمنية منعزلة. إذا كان المزود يفهم بالفعل شبكات العميل وخوادمه وخدماته السحابية ونقاط نهايته وعملية الدعم وأصحاب الأعمال، فيمكنه الحكم بشكل أفضل على معنى التنبيه. يمكنه تحديد الخادم الهام والمستخدم المتميز والمكتب البعيد الذي يعتمد على اتصال معين والإجراء الذي سيعطل خدمة مهمة. هذا السياق يمكن أن يجعل الاستجابة أسرع وأقل طيشًا.
الجانب السلبي هو أن الحفاظ على هذا السياق مكلف. بيئات العملاء تتطور باستمرار. تظهر حسابات SaaS جديدة. تضيف الأقسام أعباء عمل سحابية. تختفي وكلاء الأمن من النقاط الطرفية. مجموعات الهوية تنحرف. أنماط الشبكة تتقادم. الاستثناءات القديمة تظل بعد زوال مبررها. قد يرث المزود وثائق جزئية وقياسًا عن بعد مجزأً وقوائم تصعيد غير واضحة. قد ينص العقد التجاري على 'أمن مُدار'، لكن الواقع التشغيلي قد يتطلب اكتشافًا مستمرًا وتنظيفًا للوثائق ومتابعة مستمرة للعميل.
الأساس الواقعي لـ Hitachi Systems يسمح باستنتاج حذر. تمتلك الشركة قاعدة موثوقة لتقديم استجابة أمنية مُدارة، لأنها تجمع بين أعمال التكامل وعمليات الأمن والاستشارات والدعم. لديها أيضًا أسباب لمواجهة صعوبات إذا افترض العميل أن الاستعانة بمصادر خارجية تلغي الحاجة إلى المسؤولية الداخلية. الأمن المُدار لا يلغي مسؤولية العميل. إنه يحولها إلى نموذج تحويل. كلما كان التحويل أفضل، زادت القيمة التي يخلقها المزود.
SecureBrain توسع القدرات، ولكنها تبرز أيضًا مشكلة الحدود
اندماج SecureBrain مع Hitachi Systems في 2024 مهم استراتيجيًا لأنه يقرب قدرات المنتجات والأبحاث الأمنية من أعمال الخدمات المُدارة. كانت SecureBrain مرتبطة بمنتجات وخدمات مثل مكافحة التصيد وفحوصات أمان مواقع الويب وتحليل البرمجيات الخبيثة وعروض أمن التطبيقات. قدمت Hitachi Systems هذا الاندماج كجزء من تعزيز أعمالها الأمنية وتوسيع خدمات الأمن المُدارة، بما في ذلك تطوير الخدمات العالمية.
هذا يعزز الملف التقني. يمكن لخبرة المنتج تحسين محتوى الكشف وتحليل التهديدات والدفاع ضد التصيد ومراقبة أمن الويب وتفسير البرمجيات الخبيثة. يجب أن يكون مركز الخدمات المُدارة القادر على الاستفادة من معرفة المنتج والبحث قادرًا على شرح أفضل لسبب أهمية الإشارة وكيفية الاستجابة لها. بالنسبة للعميل، قد يقلل هذا الفجوة بين 'أداة الكشفت شيئًا' و'المزود يفهم ما تراه الأداة'.
يخلق الاندماج أيضًا مشكلة حدودية لا ينبغي تجاهلها. قدرة منتج أمني لا تعادل استجابة مُدارة. يمكن لمنتج مكافحة التصيد المساعدة في كشف أو حظر محاولات سرقة بيانات الاعتماد. يمكن لخدمة أمن الويب تحديد الصفحات المشبوهة أو مؤشرات اختراق الموقع. يمكن أن تشرح قدرة تحليل البرمجيات الخبيثة عينة. هذه مساهمات قيمة. لكن العميل لا يزال بحاجة إلى عملية استجابة: إعادة تعيين حساب، عزل نقطة نهاية، إزالة محتوى ويب، اتصالات، مراجعة قانونية، استعادة الخدمة، إخطار المستخدمين، ومنع. التحدي الذي يواجهه Hitachi Systems هو ضمان ألا تبقى القدرات المكتسبة في صوامع منتجات داخل وعد أوسع للخدمة المُدارة.
وضوح الحدود مهم تجاريًا لأن العملاء يشترون النتائج بلغة مركبة. قد يقولون إنهم يريدون المراقبة والكشف المُدار ودعم الحوادث وإدارة الثغرات ومكافحة التصيد وحماية النقاط الطرفية والتكامل أو عمليات الأمن العامة. كل تعبير يعني تقسيمًا مختلفًا للمسؤوليات. قد يتطلب اشتراك المنتج من العميل التصرف بناءً على التنبيهات. قد تشمل الخدمة المُدارة الفرز والتوصيات، ولكن ليس سلطة عزل الأنظمة. قد يتضمن عقد الاستجابة التصعيد إلى المتخصصين، ولكن ليس المراقبة الروتينية. قد يقوم مشروع تكامل أنظمة بتثبيت الضوابط ولكن يترك العمليات اليومية في مكان آخر.
إذا كانت هذه الحدود غير واضحة، فإن ثقة العميل تتآكل بسرعة خلال حدث حقيقي. يسمع العميل 'أمن مُدار' ويتوقع إجراءً. يرى المزود عقدًا يتطلب الإخطار والتوصية. تعرض أداة الأمن تنبيهًا خطيرًا، ولكن لم تتم الموافقة على مصفوفة السلطة. يجب على العميل إيقاظ المسؤولين الداخليين، الذين يطلبون أدلة لم يجمعها المحلل الأول. تمر الساعات. ثم يمكن لكلا الجانبين الادعاء بالوفاء بمسؤولياتهما، بينما فشلت الاستجابة على أي حال.
لذلك يجب تفسير اندماج SecureBrain على أنه زيادة في القدرة، وليس دليلاً على القبول. إنه يجلب لـ Hitachi Systems المزيد من محتوى الأمن وخبرة المنتج. إنه لا يثبت في حد ذاته أن تنبيهات العميل الخاصة ستصبح إجراءات مقبولة وقابلة للعكس وموثقة جيدًا. مثل هذا الإثبات يتطلب دراسات حالة للعملاء ونتائج استجابة مقاسة ووضوحًا حول نماذج السلطة، وهي غير علنية.
جودة الأدلة هي نتاج الخدمة المُدارة
بالنسبة لمزود الأمن المُدار، جودة الأدلة ليست تحسينًا في إعداد التقارير. إنها المنتج. لا يرى العميل كل استعلام سجل أو قاعدة ارتباط أو بحث إثراء أو ملاحظة محلل أو مكالمة تصعيد. يرى العميل مجموعة من الأدلة وإجراء موصى به. إذا كانت هذه المجموعة ضعيفة، يجب على الفريق الداخلي للعميل إعادة العمل. إذا كانت قوية، يمكن للعميل اتخاذ قرار أسرع والدفاع عنه لاحقًا.
الأدلة الجيدة تجيب على عدة أسئلة في وقت واحد. ماذا حدث؟ ما الهوية، نقطة النهاية، التطبيق، شريحة الشبكة، المجال، عنوان IP، الملف، صندوق البريد، أو الخدمة المتضمنة؟ متى بدأ النشاط وتوقف؟ ما الأنظمة التي لاحظته؟ ما السجلات المفقودة؟ ما الذي يجعل السلوك غير طبيعي؟ ما التفسير الحميد الذي تم النظر فيه؟ ما مستوى الثقة المبرر؟ ما الإجراء الموصى به؟ ما الذي قد يتعطل إذا تم اتخاذ الإجراء؟ كيف سيتم التحقق من النجاح؟ ما الأثر الذي سيبقى للتدقيق أو الضمان أو المراجعة القانونية أو إعداد تقارير الإدارة؟
تدعم الوثائق العامة لـ Hitachi Systems فكرة أن تغليف الأدلة جزء من نطاق خدمتها. تتحدث الشركة من حيث مراقبة الأمن والاستجابة للحوادث والاستشارات وتقييم الثغرات، وليس فقط إعادة بيع المنتجات. تركز موارد المجموعة السيبرانية حول Trusted Cyber Management أيضًا على المراقبة والاستجابة والتحقيق الرقمي والخدمات المُدارة. تتطلب هذه الوظائف انضباطًا في الأدلة. لكن المعلومات العامة لا توفر تفاصيل كافية لقياس جودة مجموعات الأدلة الخاصة بكل عميل. لا توجد عينات عامة مدارة تظهر كيف توثق Hitachi Systems تنبيهًا، أو تحل إيجابيًا كاذبًا، أو تحصل على موافقة، أو تنفذ احتواءً، أو تتحقق من الاسترداد في بيئة عميل محددة.
هذا الغياب لا يعني أن الشركة ضعيفة. إنه يعني أن اليقين يجب أن يكون محدودًا. الأمن المُدار غالبًا ما يكون غير مرئي عن طريق التصميم. العملاء لا يريدون أن تكون ملفات حوادثهم علنية، والمزودون نادرًا ما ينشرون سجلات الموافقة الفوضوية التي تثبت الجودة. لذلك يجب على المحلل تجنب المقاييس المخترعة. لا يوجد أساس عام للإشارة إلى معدل الإيجابيات الكاذبة أو متوسط وقت الفرز أو متوسط وقت الاحتواء أو معدل قبول العميل أو معدل نجاح قابلية العكس أو جودة تقارير الحوادث لـ Hitachi Systems. الحكم العادل هو هيكلي: مزيج خدمات الشركة يجعل جودة الأدلة مركزية، وقيمتها للعميل تعتمد على قدرة هذه الأدلة على تقليل الإشراف الداخلي.
يجب أن تنجو الأدلة أيضًا من النقل. قد يعرف محلل الأمن سبب ظهور التنبيه حقيقيًا، ولكن مالك نظام العميل قد يحتاج إلى تفسير مختلف. قد يحتاج المدير التنفيذي إلى تأثير الأعمال. قد يحتاج المسؤول القانوني أو الامتثال إلى الطوابع الزمنية وحدود تعرض البيانات. قد يحتاج فريق الشبكة إلى تغييرات دقيقة في جدار الحماية أو التوجيه. قد يحتاج مسؤول السحابة إلى تفاصيل الحسابات والسياسات. قد يحتاج فريق الدعم إلى إرشادات للمستخدمين. إذا قامت Hitachi Systems بتغليف الأدلة فقط لمتخصصي الأمن، فقد تتعطل الاستجابة عندما يحتاج المسؤولون غير الأمنيين إلى الموافقة على الإجراء.
أفضل مزودي الخدمات المُدارة يحولون الأدلة إلى دعم القرار. لا يقومون فقط بنقل التنبيهات. يشرحون العواقب والخيارات ومستوى الثقة. بالنسبة لـ Hitachi Systems، هذا مهم بشكل خاص لأن سوقها المستهدف يشمل المنظمات التي تستعين بمصادر خارجية لتقليل العبء الداخلي من المتخصصين. إذا كانت أدلة المزود لا تزال تتطلب إعادة تفسير خبير، فإن العميل يوفر أقل مما كان متوقعًا.
النقل إلى العميل يحدد ما إذا كانت الأتمتة توفر الوقت
غالبًا ما تُقدم أتمتة الأمن كوسيلة للتصرف بشكل أسرع. في الخدمات المُدارة، هذا صحيح جزئيًا فقط. يمكن للأتمتة إثراء التنبيهات وربط الأحداث وإنشاء التذاكر وإخطار أصحاب المصلحة وعزل النقاط الطرفية وتعطيل الحسابات وتحديث قوائم المراقبة وتشغيل عمليات الفحص وجمع آثار التحقيق وكتابة التقارير. يمكن لهذه الوظائف تقليل التأخير. لكن الاختناق الحقيقي غالبًا ليس إجراء الآلة. إنه النقل من المزود إلى سلطة العميل.
قيمة الأتمتة الأكثر قبولًا لـ Hitachi Systems تكمن في إعداد النقل. يمكن إثراء تنبيه تصيد متكرر بعمر المجال وهوية المستخدم ومستلمي صندوق البريد ومحاولات تسجيل الدخول وقياس النقاط الطرفية وسمعة الويب وأنماط الحملات السابقة. يمكن ربط تنبيه نقطة نهاية بأشجار العمليات ودور المستخدم واتصالات الشبكة وأهمية الأصول وحالة التصحيح الأخيرة. يمكن ربط تنبيه هوية سحابية بسفر مستحيل وتسجيل جهاز جديد وتغيير مجموعة متميزة والوصول إلى موارد حساسة. يمكن للمزود بعد ذلك تقديم توصية مصممة بالفعل لعملية موافقة العميل.
هذا شكل مختلف من الأتمتة عن الاحتواء الذاتي. إنه يدرك أن العملاء قد لا يريدون أن يقوم مزود بعزل جهاز أو تعطيل حساب مدير تنفيذي أو حظر تطبيق أعمال دون موافقة. قد يكون الإجراء صحيحًا من الناحية الفنية ولكنه ضار تجاريًا. في بيئات الشركات اليابانية، حيث يمكن أن تكون الموافقة الرسمية والمساءلة مهمة بشكل خاص، قد تكون قدرة المزود على إعداد ملف موافقة واضح أكثر قيمة من قدرته على النقر بشكل أسرع.
يجب أن يتضمن النقل مقياس سلطة محدد مسبقًا. قد تكون بعض الإجراءات مؤتمتة بالكامل لأن المخاطر منخفضة وقابلية العكس سهلة: إضافة نطاق إلى قائمة مراقبة، زيادة مستوى التسجيل، فتح تذكرة، طلب إعادة تعيين كلمة مرور، جمع آثار الذاكرة في ظل ظروف محددة، أو إخطار جهة اتصال العميل. تتطلب إجراءات أخرى موافقة مشروطة: عزل نقطة نهاية قياسية بعد دليل برمجيات خبيثة عالي الثقة، تعطيل حساب غير هام مع دليل اختراق، أو حظر وجهة خارجية مرتبطة بقناة تحكم وأوامر نشطة. تتطلب الإجراءات الأكثر تخريبًا سلطة بشرية صريحة: إيقاف تطبيق أعمال، حظر مسار شبكة إنتاج، مسح جهاز، تغيير سياسة هوية، أو إخطار العملاء.
زاوية المقال حول Hitachi Systems تقع على هذه الحدود. يتم اختبار الشركة على قدرتها على الحفاظ على تحديث مقياس السلطة لكل عميل. الأنظمة الجديدة والإدارات والشركات التابعة والخدمات السحابية تغير من يمكنه الموافقة على ماذا. العقد الموقع مرة واحدة لا يحل جميع الحوادث المستقبلية. إذا تقادمت دفاتر اللعب التشغيلية للمزود بينما تتطور بيئة العميل، تصبح الأتمتة هشة. قد تتصرف بشكل أقل من اللازم، مما يجبر المحللين على التصعيد يدويًا في كل حالة، أو تتصرف بشكل مفرط، مما يسبب اضطرابات في الخدمة.
يظهر الكسب التجاري عندما تقلل الأتمتة عبء التنسيق على العميل دون إزالة السيطرة اللازمة. يريد العميل مكالمات أقل في منتصف الليل، وليس إجراءً أعمى. يجب على المزود ترجمة مهام الأمن المتكررة إلى خطوات معتمدة مسبقًا، مع مسار واضح للاستثناءات. هذه الترجمة تتطلب عملاً. إنها جزء من تكلفة الخدمة.
الموافقة هي رقابة أمنية، وليست عبئًا إداريًا
من المغري اعتبار موافقة العميل احتكاكًا. في الاستجابة الأمنية المُدارة، الموافقة هي أيضًا رقابة. إنها تمنع المزود من تطبيق احتواء عام على بيئة خاصة بالعميل. إنها تجبر على تكييف الإجراء مع أهمية الأعمال والالتزام القانوني والجدول التشغيلي والاستعداد لقابلية العكس. عندما تكون الموافقة مصممة جيدًا، فإنها تحسن السرعة والأمان، لأن المزود يعرف مسبقًا الإجراءات التي يمكنه اتخاذها وأيها يتطلب تصعيدًا.
من المحتمل أن يختلف عملاء Hitachi Systems بشكل كبير في درجة السلطة التي يفوضونها. قد تتطلب منظمة عامة إخطارًا رسميًا وموافقة موثقة للتغييرات التي تؤثر على الخدمات المقدمة للمواطنين. قد يكون لدى شركة تصنيع كبيرة شبكات تكنولوجيا تشغيلية حيث لا يمكن معالجة العزل كاحتواء لمكتب تكنولوجيا المعلومات. قد يكون لدى عميل مالي أو صحي قواعد صارمة لتسجيل البيانات وتدقيقها ومعالجتها. قد ترغب شركة متوسطة الحجم في أن يتصرف المزود بسرعة لأنها تفتقر إلى مستجيبين داخليين. قد يحتاج عميل عالمي إلى موافقة إقليمية عبر مناطق زمنية متعددة. لا يمكن أن تكون نفس خدمة المزود فعالة اقتصاديًا إذا تم التفاوض على كل إجراء للعميل من الصفر أثناء حادث.
يجب تصميم نموذج الموافقة أثناء التكامل الأولي، وليس أثناء الاختراق. يتضمن ذلك رسم خرائط للأصول وأصحاب الأعمال ومستويات السلطة وعتبات الخطورة وقنوات الإخطار وجهات الاتصال الاحتياطية وتغطية المناطق الزمنية ونقاط المراجعة القانونية ومتطلبات قابلية العكس. كما يعني اختبار النموذج بسيناريوهات واقعية. من يجيب في الساعة 2 صباحًا؟ ماذا يحدث إذا كان المعتمد الأساسي غير متاح؟ هل يمكن للمزود عزل كمبيوتر محمول لمدير تنفيذي؟ هل يمكنه تعليق حساب خدمة مرتبط بمعالجة دفعات؟ هل يمكنه حظر نطاق عناوين IP إذا كان هذا النطاق يشمل خدمة شريك؟ هل يمكنه تغيير قاعدة جدار حماية سحابي أثناء حدث عميل؟ الإجابة نادرًا ما تكون عالمية.
هنا يمكن أن تختفي وفورات الاستعانة بمصادر خارجية. التكامل الأولي ليس مجرد تكوين بيانات الاعتماد وتوصيل الأدوات. إنه رسم خرائط اجتماعي وتشغيلي. يجب على المزود أن يتعلم من يملك أي نظام، وما هو الأكثر أهمية، وما لا يمكن المساس به دون إذن، وما الأدلة التي تقنع كل مالك، وما الموافقات الحساسة قانونيًا أو سياسيًا. إذا كان هذا الرسم الخرائطي غير مكتمل، يصبح كل حادث تمرين اكتشاف مكلفًا.
قد يكون لـ Hitachi Systems ميزة لأن تكامل الأنظمة يمنحها سببًا لفهم عمليات العميل بما يتجاوز الأمن. لكن هذه الميزة ليست تلقائية. يجب أن تشارك فرق التكامل وفرق الأمن المُدارة المعرفة الحالية. يجب أن يكون التغيير الذي ينفذه فريق مرئيًا للمحللين الذين يعالجون التنبيهات. يجب أن يدخل تطبيق أعمال جديد نموذج الأصول. يجب أن يغير الترحيل السحابي افتراضات الكشف والتصعيد. إذا كان النقل الداخلي للمزود ضعيفًا، فسيكون النقل إلى العميل ضعيفًا أيضًا.
لذلك يجب أن تكون الموافقة جزءًا من تصميم الخدمة، وليس بريدًا إلكترونيًا في اللحظة الأخيرة. يجب أن يكون المزود قادرًا على القول، قبل وقوع حدث، ما الإجراءات المعتمدة مسبقًا، وأيها يتطلب تأكيد العميل، وما الأدلة التي تطلق كل مستوى، وكيف سيتم التحقق من قابلية العكس. بدون هذا الهيكل، يصبح الأمن المُدار خدمة إخطار موسومة بوصف استشاري.
يجب التخطيط للقابلية للعكس قبل الاحتواء
غالبًا ما تركز استجابة الأمن على الاحتواء: إيقاف المهاجم، عزل المضيف، حظر النطاق، تعطيل الحساب، إزالة البرمجيات الخبيثة، إغلاق الثغرة. الاحتواء ضروري، لكن العميل يحكم على المزود بناءً على قدرته على السماح للأعمال بالعودة إلى حالة معروفة وآمنة. هذا يجعل قابلية العكس والاستعادة جزءًا لا يتجزأ من الاستجابة المُدارة، وليس فكرة لاحقة.
قابلية العكس ليست مجرد 'تراجع عن التغيير'. بعض الإجراءات الأمنية سهلة العكس. يمكن إزالة إدخال قائمة مراقبة. يمكن رفع حظر مؤقت. يمكن إعادة تنشيط حساب مستخدم. إجراءات أخرى أكثر صعوبة. عزل خادم قد يعطل المهام ويفسد التبعيات. حذف ملف قد يكسر تطبيقًا. إعادة تعيين بيانات الاعتماد قد تعطل عمليات التكامل. تغيير سياسة هوية قد يقفل حسابات الخدمة. إعادة تصوير نقطة نهاية قد تدمر الأدلة المحلية. التنظيف المتسرع قد يزيل آثارًا ضرورية للتحقيق أو المراجعة القانونية أو الضمان.
تتعامل كل من المبادئ التوجيهية اليابانية للاستجابة للحوادث والمعايير الدولية مع الإعداد والاحتواء والاستعادة والدروس المستفادة كخطوات مترابطة. الأثر العملي لـ Hitachi Systems هو أن كل إجراء موصى به يجب أن يكون مصحوبًا بملاحظة حول قابلية العكس. ما الحالة التي سيتم تعديلها؟ كيف سيتم تسجيل الحالة الأصلية؟ ما النسخة الاحتياطية أو اللقطة الموجودة؟ ما صاحب العمل الذي يقبل الانقطاع؟ كيف سيؤكد المزود أن التهديد تم احتواؤه دون تدمير الأدلة؟ ماذا يفعل العميل إذا تسبب الإجراء في ضرر؟
هذا مهم بشكل خاص لمزود يدمج منتجات من عدة بائعين. قد تتضمن مكدس أمان Hitachi Systems أدوات النقاط الطرفية وأنظمة الشبكة ومنصات الهوية وعناصر التحكم السحابية وماسحات الثغرات وحماية البريد الإلكتروني وخدمات أمن مواقع الويب والقدرات المكتسبة من SecureBrain. كل أداة لها نموذج الإجراء الخاص بها وسلوك قابلية العكس. يمكن للمزود أن يعد بخدمة موحدة، لكن البيئة الأساسية تظل متعددة. يجب على المحلل أن يعرف ليس فقط الإجراء المتاح، ولكن كيف يتصرف هذا الإجراء في بيئة العميل.
تحدد قابلية العكس أيضًا مستوى السلطة الذي يرغب العميل في تفويضه. قد يوافق العميل على العزل الآلي إذا كان المزود يمكنه إثبات أن العزل قابل للعكس ومحدود النطاق. قد يقاوم التغييرات الآلية إذا كانت قابلية العكس غير واضحة. الأمر نفسه ينطبق على معالجة الثغرات وتغييرات التكامل. قد يقلل التصحيح أو تحديث التكوين أو تغيير التحكم في الوصول من المخاطر ولكنه يسبب انقطاع الخدمة إذا لم يتم فهم التوافق. قيمة المزود لا تكمن فقط في التوصية بحالة أكثر أمانًا. بل في نقل العميل إليها مع اضطراب مسيطر عليه.
بالنسبة لـ Hitachi Systems، انضباط قابلية العكس جزء من معادلة تكلفة الإشراف. إذا كان على العميل الإشراف على المزود خلال كل إجراء احتواء لأن قابلية العكس غير مؤكدة، فإن الخدمة المُدارة توفر أقل. إذا قدم المزود قابلية العكس بشكل واضح بما يكفي للموافقة، فإنه يكسب المزيد من الثقة ويمكنه التصرف بشكل أسرع في المرة القادمة.
حجم المجموعة لا يساعد إلا إذا نجا سياق العميل من التصعيد
تشير الوثائق العامة لـ Hitachi Systems والموارد السيبرانية الأوسع لمجموعة هيتاشي إلى قدرة أمنية عالمية أوسع حول عمليات مراكز عمليات الأمن والخدمات المُدارة والاستشارات ودعم الاستجابة للحوادث. على سبيل المثال، يتم تقديم Trusted Cyber Management عبر العمليات العالمية لهيتاشي ومراكز عمليات الأمن، مع خدمات مُدارة وخدمات احترافية. هذا النوع من الحجم يمكن أن يساعد. التهديدات الأمنية عبر الحدود، واستخبارات التهديدات تستفيد من الرؤية المشتركة، والخبرة المتخصصة مكلفة للحفاظ عليها في بلد واحد أو لحساب عميل واحد.
الخطر هو أن الحجم يمكن أن يخفف السياق. قد يرى مركز عمليات أمن عالمي أنماطًا ويوفر تصعيدًا متخصصًا، لكن نموذج موافقة العميل وتأثير الأعمال ومسار قابلية العكس محلية. قد يصنف متخصص البرمجيات الخبيثة عينة بشكل صحيح دون معرفة أن خادمًا معينًا يدعم مصنعًا أو مستشفى أو خدمة بلدية أو عملية إغلاق مالي. قد يضبط مهندس الكشف قاعدة دون فهم سلوك تطبيق قديم للعميل. قد يقوم محلل إقليمي بالتصعيد بخطورة خاطئة لأن أهمية الأصول قديمة.
لذلك فإن أفضل استخدام لحجم المجموعة هو متعدد الطبقات. يجب أن تغذي استخبارات التهديدات المشتركة وهندسة الكشف وتحليل البرمجيات الخبيثة والتحقيق الرقمي وخبرة المنتج الاستجابة المحلية للعميل. يجب أن تشكل المعرفة المحلية أو الخاصة بالحساب الإجراء. يجب أن تجمع مجموعة الأدلة بين الاثنين: الإشارة العالمية وسياق العميل. إذا كان الجانبان منفصلين، يتلقى العميل إما نصائح تهديد عامة أو عمليات محلية بدون استخبارات كافية.
هذا مهم بشكل خاص بعد اندماج SecureBrain. يمكن لقدرات SecureBrain تحسين الفهم على مستوى المنتج والتهديد، لكن Hitachi Systems يجب أن تربط هذه المعرفة بعمليات الخدمات المُدارة. لا يستفيد العميل إذا بقيت استخبارات التصيد أو استنتاجات أمن الويب أو تحليل البرمجيات الخبيثة في قنوات إبلاغ منفصلة. يجب أن تكون الاستجابة متماسكة: يتم اكتشاف حملة، وتحديد الأصول المتأثرة، والتعامل مع المستخدمين المتأثرين، وإبلاغ أصحاب الأعمال، وتعديل الضوابط، وتوثيق قابلية العكس، ومراجعة تغييرات الوقاية.
يؤثر الحجم أيضًا على الاقتصاد. يمكن لقاعدة أوسع توفير تغطية على مدار الساعة طوال أيام الأسبوع وتصعيد متخصص، لكن العميل يدفع بطريقة أو بأخرى للتنسيق. إذا أضاف التصعيد تأخيرًا في النقل أو تطلب شرحًا متكررًا للسياق، يفقد الحجم قيمته. إذا جلب التصعيد أدلة أفضل ودعم قرار أسرع، يصبح الحجم عامل تمييز. تثبت تصريحات Hitachi Systems العامة أنها تمتلك إمكانية الوصول إلى قدرات أوسع. لا تثبت مدى بقاء السياق في التصعيد في حالة عميل حقيقية.
هذا هو المستوى الصحيح من اليقين. موقع الشركة واعد، لكنه لا يثبت نفسه بنفسه. يجب على مشتري الأمن المُدار أن يطلب أمثلة على مجموعات الأدلة ومسارات التصعيد ومصفوفات الموافقة وإجراءات قابلية العكس وتقارير ما بعد الإجراء. الاستجابة تهم أكثر من شريحة شعارات تظهر التغطية العالمية.
البنية التحتية الخاصة بالعميل هي المتغير الرئيسي لتكلفة الوحدة
السؤال التجاري لـ Hitachi Systems هو ما إذا كانت الاستعانة بمصادر خارجية توفر ما يكفي لتغطية التكاليف الخفية للتنسيق. غالبًا ما يقارن مشترو الأمن رسوم المزود بتكلفة توظيف والاحتفاظ بمحللي مركز عمليات الأمن والمهندسين والمستجيبين الداخليين. هذه المقارنة غير مكتملة. تشمل التكلفة الحقيقية التكامل الأولي وتكوين موصلات البيانات وضبط القواعد وجرد الأصول ورسم خرائط الهوية وتوجيه الإخطار والمراجعة القانونية والامتثال وإعداد التقارير والتمارين الدورية على الطاولة وإدارة الاستثناءات وإدارة الموردين والإشراف الداخلي.
البنية التحتية الخاصة بالعميل تحدد هذه التكاليف. عميل 'cloud first' نظيف مع أدوات قياسية للهوية والنقاط الطرفية والتسجيل والتذاكر أسهل في الخدمة من منظمة ذات شبكات مجزأة وأنظمة غير مدعومة وتطبيقات مخصصة وشركات تابعة مكتسبة وعوامل منشورة جزئيًا وتسمية غير متسقة. عميل بأصول واضحة أقل تكلفة في الدعم من عميل حيث يبدأ كل تصعيد بـ 'لمن هذا النظام؟'. عميل بإدارة تغيير منضبطة يكلف أقل من عميل حيث تؤدي التعديلات المشروعة باستمرار إلى إطلاق التنبيهات. عميل بإجراءات معتمدة مسبقًا متفق عليها يكلف أقل من عميل يتطلب موافقة إدارية للاحتواء الروتيني.
دور مكامل الأنظمة لـ Hitachi Systems قد يقلل بعض هذه التكاليف، لأنه قد يكون بالفعل مشاركًا في بناء أو تشغيل أجزاء من البيئة. لكن هذا قد يزيد أيضًا من خطر التوقعات. إذا كان المزود منخرطًا بعمق، قد يفترض العميل أن المزود يعرف جميع التبعيات. لا مزود يعرف كل شيء دون وثائق ووصول مستمرين. كلما كانت البيئة أكثر تعقيدًا، أصبحت خدمة الأمن المُدارة برنامج تكامل حي.
الإيجابيات الكاذبة مثال جيد. الإيجابي الكاذب ليس مجانيًا فقط لأنه لم يكن هناك مهاجم. إنه يستهلك وقت المحلل وانتباه العميل ومراجعة الأدلة والثقة. إذا قام المزود بتصعيد عدد كبير جدًا من التنبيهات الضعيفة، يبدأ العميل في تجاهلها. إذا قام بقمع عدد كبير جدًا، تمر الحوادث الحقيقية دون أن يلاحظها أحد. الضبط يتطلب ردود فعل العميل. حلقة التغذية الراجعة هذه جزء من تكلفة الإشراف. العميل الذي لا يشارك في الضبط سيحصل على خدمة أقل جودة. المزود الذي لا يشرح قرارات الضبط سيفقد ثقة العميل.
فجوات تكامل الأدوات تخلق تكاليف مماثلة. قد تتطلب قاعدة كشف بيانات نقطة نهاية غير متوفرة على جميع الأجهزة. قد يفتقر تنبيه سحابي إلى سياق الهوية لأن السجلات لا يتم الاحتفاظ بها لفترة كافية. قد لا يكون اكتشاف الثغرة مرتبطًا بمالك التطبيق. قد يكون الشذوذ الشبكي مرئيًا في أداة واحدة ولكن ليس في أخرى. يمكن لـ Hitachi Systems توفير خبرة في التكامل، لكن كل موصل مفقود أو حقل بيانات غير متناسق يقلل من جودة الاستجابة المقبولة.
لذلك يجب على المشتري اعتبار الأمن المُدار نموذجًا تشغيليًا مشتركًا، وليس اختصارًا للمشتريات. يمكن للمزود تقليل الحاجة إلى متخصصين داخليين، لكنه لا يمكنه استبدال ملكية العميل للسلطة وأولوية الأعمال والرغبة في المخاطرة. الوعد الأقل تكلفة هو 'نحن نراقب لك'. الوعد الأكثر قيمة هو 'نساعدك على اتخاذ قرار الاستجابة الصحيح بشكل أسرع وإثبات ما حدث'. أفضل حجة لـ Hitachi Systems هي الوعد الثاني، ولكنه أيضًا الأكثر تطلبًا من حيث العمالة.
يجب أن تقيد الأتمتة الحكم، لا أن تحجبه
الموضوعات الخاضعة للرقابة حول أتمتة الأمن وأتمتة برمجيات المؤسسات ذات صلة لأن Hitachi Systems تقع عند تقاطع معالجة التنبيهات والتكامل والتغيير التشغيلي. الأتمتة مفيدة عندما تجعل المهام المتكررة أكثر موثوقية: توحيد التنبيهات، إثرائها بسياق الأصول، ضم السجلات ذات الصلة، توجيهها إلى المالك المناسب في العميل، جمع آثار الفرز، تطبيق احتواء منخفض المخاطر، إنشاء جدول زمني، والاحتفاظ بسجل للقرارات. هذه الوظائف تقلل العمل اليدوي وتحسن الاتساق.
تصبح الأتمتة خطيرة عندما تخفي عدم اليقين. قد يقوم نظام الاستجابة بتعيين درجة خطورة دون إظهار الأدلة التي أثرت في تلك الدرجة. قد يوصي بالعزل دون شرح تأثير الأعمال. قد ينشئ تقريرًا مصقولاً يخفي غياب القياس عن بعد. قد يغلق تذكرة لأنه تم تنفيذ خطوة في دليل اللعب، حتى لو لم يتحقق العميل من الاسترداد. قد ينشر تصنيفًا غير صحيح على العديد من الحالات. في الخدمات المُدارة، تعتمد ثقة العميل على القدرة على رؤية ما يكفي من سلسلة الأدلة للحكم على التوصية.
يجب أن تستفيد Hitachi Systems من الأتمتة إذا استخدمتها كطبقة دعم للمحلل وليس كبديل للحكم الخاص بالعميل. يمكن للمزود إنشاء دفاتر لعب قابلة لإعادة الاستخدام للتصيد واختراق النقاط الطرفية والاتصالات المشبوهة والتعرض للثغرات وتشويه الويب. يمكنه ملء طلبات الموافقة مسبقًا وملاحظات قابلية العكس. يمكنه الإشارة إلى الحالات التي تكون فيها الأدلة ضعيفة أو سلطة العميل غائبة. يمكنه تسجيل سبب قبول الإجراء الموصى به أو رفضه أو تأجيله. هذه السجلات تحسن الضبط المستقبلي وتسهل المراجعة بعد الحادث.
مسألة الاعتماد تنبع بشكل طبيعي. بمجرد أن يدمج العميل Hitachi Systems في عمليات المراقبة والاستجابة وإدارة التذاكر والهوية والنقاط الطرفية والتكامل، يصبح تغيير المزود مكلفًا. بعض الاعتماد لا مفر منه، لأن الأمن المُدار يعتمد على السياق. الخطر ليس فقط الاعتماد على المزول؛ بل الاعتماد على مزود غير موثق. إذا كانت دفاتر اللعب ونماذج الأدلة ومصفوفات الموافقة وإجراءات قابلية العكس موجودة فقط في أنظمة المزود، يصبح العميل معتمدًا دون رؤية. إذا قام المزود بتوثيقها بوضوح ومشاركة هيكل كافٍ، يحصل العميل على استمرارية حتى مع الاستعانة بمصادر خارجية.
هنا يدخل اقتصاد دورة حياة البرمجيات في نقاش الأمن. تتطور عمليات الأمن مع تحديث الأدوات وتكيف المهاجمين وتغير الخدمات السحابية وتطور اللوائح. دفاتر اللعب هي أصول شبه برمجية. تتطلب صيانة واختبار وإصدارات ومراجعة وإيقاف. مزود الأمن المُدار الذي يعامل دفاتر اللعب كتوثيق ثابت سينحرف. المزود الذي يحافظ عليها كرمز تشغيلي حي يمكن أن يخلق قيمة، لكن يجب على العميل أن يسأل من يراجع التغييرات، وكيف تتم إدارة الاستثناءات، وكيف يثبت المزود أن دليل اللعب لا يزال مناسبًا لبيئة العميل.
المعلومات العامة عن Hitachi Systems لا تكشف تفاصيل تنفيذ كافية للحكم على نضج الأتمتة على هذا المستوى. الاستنتاج الصحيح مشروط. الأتمتة ضرورية على الأرجح للتوسع، لكن الاستجابة المقبولة تتطلب أتمتة شفافة. الصندوق الأسود الأسرع لا يكفي.
فاتورة الإشراف تحدد النتيجة التجارية
حجة الاستعانة بمصادر خارجية للأمن جذابة، لأن عمليات الأمن الداخلية صعبة التوظيف والصيانة. يمكن للمزود تقديم تغطية على مدار الساعة طوال أيام الأسبوع، وخبرة أوسع بالأدوات، والوصول إلى متخصصين، وعمليات قابلة للتكرار. بالنسبة للعديد من المنظمات، هذا أكثر واقعية من بناء مركز عمليات أمن داخلي كامل. تتماشى حجة Hitachi Systems مع هذه الحاجة السوقية.
الثقل الموازن هو فاتورة الإشراف. لا يزال العملاء بحاجة إلى شخص يتحمل المخاطر، ويوافق على الإجراءات، ويراجع الاستثناءات، ويحدث جهات الاتصال، ويشارك في الضبط، ويفحص التقارير، ويدير تأثير الأعمال، ويختبر الاسترداد. قد يحتاجون أيضًا إلى موظفين داخليين للإشراف على المزود، وإدارة العقود، وتأكيد جودة الخدمة، وترجمة توصيات المزول إلى قرارات عمل. إذا قلل العميل من هذا العمل، يتبع ذلك عدم الرضا.
فاتورة الإشراف تكون أعلى عندما تكون جودة الأدلة منخفضة، والسلطة غير واضحة، والأدوات مدمجة بشكل سيئ، أو بيئة العميل غير مستقرة. تكون أقل عندما يكون التكامل الأولي دقيقًا، ومحتوى الكشف مضبوطًا، وسياق الأصول محدثًا، ومستويات الموافقة متفق عليها، وقابلية العكس متكررة. يمكن أن يكون نفس المزود مربحًا لعميل ومحبطًا لآخر بسبب الاختلاف في النضج التشغيلي للعميل.
هذا يعني أن مشتري Hitachi Systems لا ينبغي عليهم السؤال فقط عن السعر والتغطية. يجب عليهم السؤال عن العمل الذي يبقى على جانب العميل. كم عدد الاجتماعات المطلوبة خلال التكامل الأولي؟ كيف تتم تسوية جرد الأصول؟ ما السجلات الإلزامية؟ ماذا يحدث عند تعطل مصدر قياس عن بعد؟ كيف تتم مراجعة الإيجابيات الكاذبة؟ كم مرة يتم اختبار دفاتر اللعب؟ من يوافق على الإجراءات التخريبية؟ كيف يتم تكييف التقارير للمديرين التنفيذيين والمدققين والمهندسين؟ ما أجزاء الخدمة التي تعتمد على المنتجات؟ ما قدرات SecureBrain المضمنة، وأيها منتجات منفصلة أو خدمات اختيارية؟ كيف يمكن للعميل الخروج من العقد دون فقدان المعرفة التشغيلية؟
هذه الأسئلة ليست عدائية. إنها تحدد القيمة. المزود القادر على الإجابة عليها بعمليات محددة وأمثلة وأدلة من المرجح أن يوفر المال عمليًا. المزود الذي يجيب بلغة عامة عن التغطية قد لا يزال كفؤًا تقنيًا، لكن المشتري لا يمكنه تقدير تكلفة الإشراف.
أقوى موقف تجاري لـ Hitachi Systems هو مع العملاء الذين يحتاجون إلى كل من عمليات الأمن ومساعدة التكامل. العميل الذي يريد فقط خدمة نقل تنبيهات رخيصة قد يجد مزودين أبسط. العميل ذو البنية التحتية المعقدة واحتياجات الدعم باللغة اليابانية وتبعيات أنظمة المجموعة والترحيل السحابي والأنظمة القديمة ومتطلبات الموافقة في القطاع العام قد يقدر المزود الذي يفهم التكامل والعمليات. التحدي هو أن هؤلاء العملاء مكلفون أيضًا في الخدمة. يعتمد الهامش على تحويل المهام المتكررة إلى أنماط استجابة قابلة للتكرار دون تسطيح سياق العميل.
ما من شأنه تعزيز الملف
تكفي الأدلة العامة للقول إن Hitachi Systems لديها أساس موثوق للاستجابة الأمنية المُدارة. لا تكفي للقول إن الشركة أثبتت استجابة مقبولة على نطاق واسع. أدلة أقوى ستشمل أمثلة مجهولة لحالات من البداية إلى النهاية: تنبيه، أدلة، مستوى موافقة، إجراء، قابلية عكس، تحقق، ودروس مستفادة. ستشمل مقاييس استجابة مقسمة حسب نوع الخدمة ونموذج سلطة العميل، وليس فقط ادعاءات إجمالية. ستشمل عينات تقارير تظهر كيف يتم تقديم الأدلة لأصحاب المصلحة التقنيين وغير التقنيين. ستشمل أوصافًا لكيفية دمج قدرات SecureBrain في الاستجابة المُدارة بدلاً من بيعها بجانبها.
يجب على المشترين أيضًا البحث عن أدلة على إجراءات فاشلة أو مؤجلة. يمكن للمزود الناضج أن يشرح متى لا يتصرف. يمكنه التمييز بين اختراق عالي الثقة وسلوك مشبوه لكنه حميد. يمكنه قول ما القياس عن بعد المفقود وكيف يحد ذلك من الثقة. يمكنه التوصية بالانتظار أو المراقبة أو جمع المزيد من الأدلة عندما يكون الاحتواء سابقًا لأوانه. يمكنه توثيق سبب رفض العميل لإجراء وما الضابط التعويضي الذي تم تطبيقه. هذا النوع من ضبط النفس جزء من الجودة.
الاختبارات مهمة أيضًا. التمارين على الطاولة، ومحاكاة الاستجابة للتصيد، وتمارين عزل النقاط الطرفية، وسيناريوهات اختراق الحساب السحابي، وتكرارات قابلية العكس تكشف ما إذا كان النقل يعمل. إنها تظهر جهات الاتصال القديمة والسلطة الغامضة والسجلات المفقودة وافتراضات الاسترداد الضعيفة قبل وقوع حادث حقيقي. إذا تضمنت Hitachi Systems مثل هذه التمارين في نموذج الخدمة، فإن ذلك يعزز ملف الاستجابة المقبولة. إذا كانت التمارين اختيارية أو نادرة، يجب على العميل وضع ميزانية منفصلة لها.
ستستفيد الشركة أيضًا من لغة عامة أكثر وضوحًا حول الحدود. Hitachi Systems، والقدرات السيبرانية لشركة هيتاشي الأم، ومنتجات SecureBrain، ومراكز عمليات الأمن للشركات التابعة في الخارج، والأنظمة المملوكة للعملاء ليست نفس الشيء. تقدم الوثائق العامة بشكل مفهوم قدرة جماعية واسعة، لكن المشترين بحاجة إلى معرفة أي كيان قانوني وأي مركز خدمة وأي مركز عمليات أمن وأي فريق منتج وأي مسار تصعيد سيعالج قضيتهم. وضوح الحدود يقلل الارتباك أثناء الشراء وأثناء الحوادث.
أخيرًا، سيكون الاقتصاد أسهل في التقييم بأدلة حول صيانة دفاتر اللعب. كم مرة تتم مراجعة دفاتر لعب العملاء؟ كيف يتم اكتشاف تغييرات العميل؟ كيف يتم اختبار خطوات الأتمتة قبل النشر؟ كيف يمنع المزود مصفوفات الموافقة من أن تصبح قديمة؟ كيف تتم إزالة الاستثناءات؟ الأمن المُدار ليس عقدًا ثابتًا. إنها علاقة تشغيلية. دليل عام على هذا الانضباط في الصيانة سينقل Hitachi Systems من الموثوق إلى القوي بشكل أكثر وضوحًا.
الحكم المتوازن
يجب أن تؤخذ Hitachi Systems على محمل الجد في الأمن المُدار لأنها تمتلك القدرات المجاورة الصحيحة: تكامل الأنظمة، الخدمات المُدارة، مراقبة الأمن، دعم الحوادث، تقييم الثغرات، تكامل المنتجات، وخبرة الأمن من SecureBrain. كما تعمل في سوق حيث تحتاج الشركات اليابانية والمؤسسات العامة غالبًا إلى مزود قادر على العمل عبر البنية التحتية وعمليات الدعم ومعايير الموافقة الرسمية.
لكن الاختبار الحقيقي للشركة ليس ما إذا كانت يمكنها وصف المزيد من قدرات الأمن. بل ما إذا كانت يمكنها تحويل التنبيهات المتكررة وتغييرات التكامل إلى استجابات مُدارة مقبولة. يتطلب ذلك أدلة متسقة وسياق عميل محدث وسلطة موافقة صريحة وقابلية عكس متقنة وتحقق بعد الإجراء وإشراف منضبط على الأتمتة. هذه العناصر أصعب في التسويق من استخبارات التهديدات أو تغطية مركز عمليات الأمن، لكنها تحدد ما إذا كان العميل يشعر بعبء أقل بعد الاستعانة بمصادر خارجية.
تدعم المعلومات العامة نظرة إيجابية ولكن محدودة. تبدو Hitachi Systems مهيكلة بشكل جيد للعملاء الذين يحتاجون إلى عمليات أمن مرتبطة بالتكامل والدعم. يعزز اندماج SecureBrain قاعدة القدرات. يمكن لموارد هيتاشي السيبرانية الأوسع تحسين التصعيد المتخصص والتغطية العالمية. ومع ذلك، لا يوجد دليل عام يظهر جودة الاستجابة في بيئات عملاء محددة، ولا توجد مقاييس عامة تحدد معدلات الإيجابيات الكاذبة أو سرعة الاحتواء أو نجاح قابلية العكس أو قبول العميل.
لذلك يجب أن يكون سؤال المشتري عمليًا: ما مقدار الاستجابة التي يمكن أن تكون معتمدة مسبقًا ومدعومة بالأدلة وقابلة للعكس وموثقة دون إجبار العميل على إعادة عمل المزود؟ إذا كانت Hitachi Systems تستطيع الإجابة على هذا السؤال بدفاتر لعب خاصة بالعميل ومجموعات أدلة قوية، فإن خدمة الأمن المُدارة الخاصة بها يمكن أن تخلق قيمة حقيقية. إذا لم تستطع، فقد يتلقى العملاء المزيد من التنبيهات والمزيد من الأدوات والمزيد من الاجتماعات دون تقليل متناسب في المخاطر.
هذا هو الإطار الرصين. لا تحتاج Hitachi Systems إلى أن تكون أكبر اسم في الأمن السيبراني لتكون مفيدة. يجب أن تجعل الاستجابة المُدارة مقبولة. في عمليات الأمن، الإجراء المقبول هو حيث تصبح الخدمة حقيقية.

