لماذا التصديقات هي جزء واحد فقط من برنامج أمان السحابة الخاص بك

ستيفن موراي

05‏/07‏/2017

البريد الإلكتروني

1 min read

لماذا التصديقات هي جزء واحد فقط من برنامج أمان السحابة الخاص بك

النقاط الرئيسية

    • الشهادات وحدها لا تضمن الأمان. إنها تؤكد أن معايير معينة قد تم تحقيقها، ولكن ليس أن الضوابط تعمل أو تتم مراقبتها بشكل صحيح.

    • الجاهزية التشغيلية أهم من الشهادة. يمكن للشركة اجتياز التدقيق بينما تكون أدوات الأمان الخاصة بها - مثل أنظمة IDS/IPS - غير فعالة.

    • غالبًا ما يتحقق المدققون من الوجود وليس الأداء. العديد من الشهادات تقيم ما إذا كانت الأنظمة موجودة، وليس ما إذا كانت تم تكوينها بشكل صحيح أو تتم صيانتها بنشاط.

    • برنامج أمني قوي للحوسبة السحابية يدمج الامتثال مع المراقبة المستمرة. توفر الشهادات خط أساس للامتثال، ولكن الاختبارات والتقييمات المستمرة تضمن حماية حقيقية.

    • تكشف اختبارات الاختراق من طرف ثالث عن الثغرات الحقيقية. توفر رؤى أعمق من الاستطلاعات أو قوائم المراجعة، مما يثبت أن تدابير الأمان تعمل في ظروف العالم الحقيقي.

    • يجب أن تأخذ تقييمات البائعين في الاعتبار الوصول إلى البيانات والتعرض للمخاطر. يستحق الشركاء الذين يتعاملون مع معلومات حساسة تدقيقًا أكثر صرامة ومراجعات منتظمة.

    • الأمان الفعال يتطلب الشفافية. تشارك المنظمات الناضجة سياسات الحماية وأطر الاستجابة للحوادث وإجراءات إدارة الثغرات بكل سهولة.

أبرز الأسئلة والأجوبة

  • لماذا الشهادات ليست مقياسًا موثوقًا لنضج الأمان؟

    لأنها تثبت فقط أن الضوابط المطلوبة موجودة، وليس أنها تعمل. النضج الأمني الحقيقي يتضمن تحققًا مستمرًا، ومراقبة، واستجابة للتهديدات.

  • ما هو الفشل الشائع عند الاعتماد فقط على فحوصات الامتثال؟

    قد تقوم المنظمات بنشر أدوات فقط لـ “تحقيق الشروط.” على سبيل المثال، قد يتم تركيب نظام كشف التسلل (IDS) دون أن يتم تكوينه فعليًا لاكتشاف أو تنبيه عن التهديدات.

  • ما الذي يجب عليك مراجعته إلى جانب الإقرارات عند تقييم مورد؟

    قم دائمًا بفحص التقرير الكامل للنتائج (وليس مجرد الملخص)، واسأل عن اختبارات الاختراق السنوية، واطلب الوصول إلى وثائق الأمان الأساسية.

  • كيف يمكن للاختبار من طرف ثالث تحسين برنامج الأمان؟

    تُحاكي اختبارات الاختراق الهجمات الواقعية، مما يكشف عن نقاط الضعف التي تتغاضى عنها عمليات تدقيق الامتثال، مما يضمن أن الدفاعات تعمل كما هو مقصود.

  • ما الذي يحدد برنامج أمان السحابة الناضج؟

    نهج متوازن يجمع بين الشهادات، المراقبة المستمرة، استراتيجيات حماية البيانات، الجاهزية للاستجابة للحوادث، والإدارة الاستباقية للثغرات.

  • كيف يجب أن تقيم المواقف الأمنية للموردين؟

    قيّم بناءً على حساسية البيانات التي يصلون إليها—يجب على البائعين الذين يتعاملون مع بيانات العملاء أن يلتزموا بمعايير أمان أعلى وأن يخضعوا للمراجعات الدورية.

غالبًا ما يسألني الناس عن ما يجعل برنامج الأمن جيدًا. وعلى الرغم من أنني أرغب في الإشارة إلى جانب واحد من محيط الأمان الخاص بي كمثال، إلا أن هناك عناصر متعددة يجب تسليط الضوء عليها.

الشهادات لا تقيس دائمًا وضعك الدفاعي

الشهادة، حسب التعريف، هي مؤشر يجعل شيئًا واضحًا. في حالة الأمان، وخاصة برامج الأمان، يعني التصديق في قدرة رسمية.

غالبًا ما يسألني الناس ما الذي يجعل برنامج أمان جيد. بقدر ما أود أن أشير إلى أحد جوانب محيط الأمان الخاص بي لاستخدامها كمثال، هناك عناصر متعددة لتسليط الضوء عليها. تعتمد الصناعة على الشهادات والاعتمادات لقياس دفاعات الأمان لديك. سيخبرك المهندسون والمشغلون أن محيط الأمان الفعلي وقدرات تقييم التهديدات لديك هي التي تحدد برنامج الأمان الخاص بك. سأخبرك أنه كلا من شهادات الامتثال كقياس وقدرات التشغيل لفريق الأمان لديك هي التي تحدد برنامجك. على الرغم من أن الشهادات وحدها ليست قياسًا دقيقًا لقياس البرنامج.

الشهادات هي ضرورة في الصناعة لضمان الامتثال مع القوانين الفيدرالية والمحلية والولائية وكذلك أفضل الممارسات الصناعية. تشكل معايير ISO وNIST أو DoD خط الأساس لمعظم الشهادات. على سبيل المثال، ينشر NIST مجموعة من المعايير والدلائل الفنية لمساعدة المنظمات في بناء دفاعات محيطية مقبولة من الحكومة. ومع ذلك، كما سأوضح، فقط لأن المعايير محددة لا يعني أن التنفيذ يكون دائمًا رائعًا.

الشهادة، حسب التعريف، هي مؤشر يجعل شيئًا واضحًا. في حالة الأمان، وخاصة برامج الأمان، يعني التصديق في قدرة رسمية.

غالبًا ما يسألني الناس ما الذي يجعل برنامج أمان جيد. بقدر ما أود أن أشير إلى أحد جوانب محيط الأمان الخاص بي لاستخدامها كمثال، هناك عناصر متعددة لتسليط الضوء عليها. تعتمد الصناعة على الشهادات والاعتمادات لقياس دفاعات الأمان لديك. سيخبرك المهندسون والمشغلون أن محيط الأمان الفعلي وقدرات تقييم التهديدات لديك هي التي تحدد برنامج الأمان الخاص بك. سأخبرك أنه كلا من شهادات الامتثال كقياس وقدرات التشغيل لفريق الأمان لديك هي التي تحدد برنامجك. على الرغم من أن الشهادات وحدها ليست قياسًا دقيقًا لقياس البرنامج.

الشهادات هي ضرورة في الصناعة لضمان الامتثال مع القوانين الفيدرالية والمحلية والولائية وكذلك أفضل الممارسات الصناعية. تشكل معايير ISO وNIST أو DoD خط الأساس لمعظم الشهادات. على سبيل المثال، ينشر NIST مجموعة من المعايير والدلائل الفنية لمساعدة المنظمات في بناء دفاعات محيطية مقبولة من الحكومة. ومع ذلك، كما سأوضح، فقط لأن المعايير محددة لا يعني أن التنفيذ يكون دائمًا رائعًا.

الشهادة، حسب التعريف، هي مؤشر يجعل شيئًا واضحًا. في حالة الأمان، وخاصة برامج الأمان، يعني التصديق في قدرة رسمية.

غالبًا ما يسألني الناس ما الذي يجعل برنامج أمان جيد. بقدر ما أود أن أشير إلى أحد جوانب محيط الأمان الخاص بي لاستخدامها كمثال، هناك عناصر متعددة لتسليط الضوء عليها. تعتمد الصناعة على الشهادات والاعتمادات لقياس دفاعات الأمان لديك. سيخبرك المهندسون والمشغلون أن محيط الأمان الفعلي وقدرات تقييم التهديدات لديك هي التي تحدد برنامج الأمان الخاص بك. سأخبرك أنه كلا من شهادات الامتثال كقياس وقدرات التشغيل لفريق الأمان لديك هي التي تحدد برنامجك. على الرغم من أن الشهادات وحدها ليست قياسًا دقيقًا لقياس البرنامج.

الشهادات هي ضرورة في الصناعة لضمان الامتثال مع القوانين الفيدرالية والمحلية والولائية وكذلك أفضل الممارسات الصناعية. تشكل معايير ISO وNIST أو DoD خط الأساس لمعظم الشهادات. على سبيل المثال، ينشر NIST مجموعة من المعايير والدلائل الفنية لمساعدة المنظمات في بناء دفاعات محيطية مقبولة من الحكومة. ومع ذلك، كما سأوضح، فقط لأن المعايير محددة لا يعني أن التنفيذ يكون دائمًا رائعًا.

نشر أداة لا يعني بالضرورة أنها توفر قيمة

تسمح الضوابط بالمرونة في التنفيذ والنمو التشغيلي والابتكار بمرور الوقت. للأسف، تستخدم بعض المنظمات المرونة فقط لتلبية المتطلبات دون أن يكون لديها دفاعات حقيقية في مكانها.

إحدى الأمثلة البارزة على هذه المشكلة هي أنظمة الكشف عن التسلل/الحماية منه (IDS أو IPS). مثل ماسحات الفيروسات، تستثمر معظم المنظمات في IDS/IPS كجزء من ممارسات الأمان القياسية للحماية من حركة المرور الخبيثة وتسرب البيانات. الصناعة مليئة بالموردين الذين يقدمون أشكال مختلفة من أنظمة IDS/IPS. ومع ذلك، تبني بعض المنظمات الأنظمة بدلاً من شرائها.

مؤخرًا، غادرت إحدى هذه المنظمات التي "بنت" نظام الكشف عن التسلل الخاص بها من الأدوات مفتوحة المصدر. تم إبلاغ المراقبين بأن النظام كان "أداة رائعة"، وحتى تقديم أمثلة على حركة المرور. عندما بحثت بعمق في البيانات التي كانت الأداة توفرها، أدركت أن حركة المرور لم تكن تُحلل على الإطلاق، بل كانت تمر عبر المستشعر لأنه لم يكن مهيأ لالتقاط أي حركة مرور أو إصدار أي إنذار. علاوة على ذلك، تم إعداد بيانات اعتماد إدارة الأداة من قبل موظف سابق ولم يتم تحديثها بعد مغادرته. لذلك كانت الأداة أساسًا بدون تدخل بشري لشهور. وهذا لا يعرض الشركة للخطر فحسب، بل يهدد أيضًا المحيط.

لن يكتشف المراجع الذكي المشكلة لأن الشهادات لا تبحث عن المعلومات "التشغيلية" على جميع الأنظمة – المعيار هو حرفيًا طبقة واحدة من السؤال والإجابة. في الحقيقة، قيست معظم الشهادات فقط إذا كانت الأداة موجودة، وليس الجدوى التشغيلية. بالإضافة إلى ذلك، معظم المراجعين ليسوا تقنيين بما يكفي للتمييز بين IDS/IPS فعال وغير فعال. يعتمد الجزء الأكبر من المراجعة على الشركة لتقديم أفضل ما لديها بدلاً من الإجابة على الأسئلة الصعبة. كما يتعين على المراجعين تغطية مجموعة واسعة من الضوابط أثناء المراجعة، لذا الوقت يعد عاملاً كبيرًا في جودة تحليلهم.

ستخبرك الشهادة وحدها بأن الشركة لديها برنامج أمني ناضج مع ضوابط. لن يمنحك طلب شريك محتمل إكمال استبيان مورد الثقة أيضًا. فقط تسرد الاستبيانات نفس المعلومات بشكل مختلف. إذن كيف تقوم بتقييم برنامج أمني ناضج؟

تسمح الضوابط بالمرونة في التنفيذ والنمو التشغيلي والابتكار بمرور الوقت. للأسف، تستخدم بعض المنظمات المرونة فقط لتلبية المتطلبات دون أن يكون لديها دفاعات حقيقية في مكانها.

إحدى الأمثلة البارزة على هذه المشكلة هي أنظمة الكشف عن التسلل/الحماية منه (IDS أو IPS). مثل ماسحات الفيروسات، تستثمر معظم المنظمات في IDS/IPS كجزء من ممارسات الأمان القياسية للحماية من حركة المرور الخبيثة وتسرب البيانات. الصناعة مليئة بالموردين الذين يقدمون أشكال مختلفة من أنظمة IDS/IPS. ومع ذلك، تبني بعض المنظمات الأنظمة بدلاً من شرائها.

مؤخرًا، غادرت إحدى هذه المنظمات التي "بنت" نظام الكشف عن التسلل الخاص بها من الأدوات مفتوحة المصدر. تم إبلاغ المراقبين بأن النظام كان "أداة رائعة"، وحتى تقديم أمثلة على حركة المرور. عندما بحثت بعمق في البيانات التي كانت الأداة توفرها، أدركت أن حركة المرور لم تكن تُحلل على الإطلاق، بل كانت تمر عبر المستشعر لأنه لم يكن مهيأ لالتقاط أي حركة مرور أو إصدار أي إنذار. علاوة على ذلك، تم إعداد بيانات اعتماد إدارة الأداة من قبل موظف سابق ولم يتم تحديثها بعد مغادرته. لذلك كانت الأداة أساسًا بدون تدخل بشري لشهور. وهذا لا يعرض الشركة للخطر فحسب، بل يهدد أيضًا المحيط.

لن يكتشف المراجع الذكي المشكلة لأن الشهادات لا تبحث عن المعلومات "التشغيلية" على جميع الأنظمة – المعيار هو حرفيًا طبقة واحدة من السؤال والإجابة. في الحقيقة، قيست معظم الشهادات فقط إذا كانت الأداة موجودة، وليس الجدوى التشغيلية. بالإضافة إلى ذلك، معظم المراجعين ليسوا تقنيين بما يكفي للتمييز بين IDS/IPS فعال وغير فعال. يعتمد الجزء الأكبر من المراجعة على الشركة لتقديم أفضل ما لديها بدلاً من الإجابة على الأسئلة الصعبة. كما يتعين على المراجعين تغطية مجموعة واسعة من الضوابط أثناء المراجعة، لذا الوقت يعد عاملاً كبيرًا في جودة تحليلهم.

ستخبرك الشهادة وحدها بأن الشركة لديها برنامج أمني ناضج مع ضوابط. لن يمنحك طلب شريك محتمل إكمال استبيان مورد الثقة أيضًا. فقط تسرد الاستبيانات نفس المعلومات بشكل مختلف. إذن كيف تقوم بتقييم برنامج أمني ناضج؟

تسمح الضوابط بالمرونة في التنفيذ والنمو التشغيلي والابتكار بمرور الوقت. للأسف، تستخدم بعض المنظمات المرونة فقط لتلبية المتطلبات دون أن يكون لديها دفاعات حقيقية في مكانها.

إحدى الأمثلة البارزة على هذه المشكلة هي أنظمة الكشف عن التسلل/الحماية منه (IDS أو IPS). مثل ماسحات الفيروسات، تستثمر معظم المنظمات في IDS/IPS كجزء من ممارسات الأمان القياسية للحماية من حركة المرور الخبيثة وتسرب البيانات. الصناعة مليئة بالموردين الذين يقدمون أشكال مختلفة من أنظمة IDS/IPS. ومع ذلك، تبني بعض المنظمات الأنظمة بدلاً من شرائها.

مؤخرًا، غادرت إحدى هذه المنظمات التي "بنت" نظام الكشف عن التسلل الخاص بها من الأدوات مفتوحة المصدر. تم إبلاغ المراقبين بأن النظام كان "أداة رائعة"، وحتى تقديم أمثلة على حركة المرور. عندما بحثت بعمق في البيانات التي كانت الأداة توفرها، أدركت أن حركة المرور لم تكن تُحلل على الإطلاق، بل كانت تمر عبر المستشعر لأنه لم يكن مهيأ لالتقاط أي حركة مرور أو إصدار أي إنذار. علاوة على ذلك، تم إعداد بيانات اعتماد إدارة الأداة من قبل موظف سابق ولم يتم تحديثها بعد مغادرته. لذلك كانت الأداة أساسًا بدون تدخل بشري لشهور. وهذا لا يعرض الشركة للخطر فحسب، بل يهدد أيضًا المحيط.

لن يكتشف المراجع الذكي المشكلة لأن الشهادات لا تبحث عن المعلومات "التشغيلية" على جميع الأنظمة – المعيار هو حرفيًا طبقة واحدة من السؤال والإجابة. في الحقيقة، قيست معظم الشهادات فقط إذا كانت الأداة موجودة، وليس الجدوى التشغيلية. بالإضافة إلى ذلك، معظم المراجعين ليسوا تقنيين بما يكفي للتمييز بين IDS/IPS فعال وغير فعال. يعتمد الجزء الأكبر من المراجعة على الشركة لتقديم أفضل ما لديها بدلاً من الإجابة على الأسئلة الصعبة. كما يتعين على المراجعين تغطية مجموعة واسعة من الضوابط أثناء المراجعة، لذا الوقت يعد عاملاً كبيرًا في جودة تحليلهم.

ستخبرك الشهادة وحدها بأن الشركة لديها برنامج أمني ناضج مع ضوابط. لن يمنحك طلب شريك محتمل إكمال استبيان مورد الثقة أيضًا. فقط تسرد الاستبيانات نفس المعلومات بشكل مختلف. إذن كيف تقوم بتقييم برنامج أمني ناضج؟

تقييم برنامج أمن السحابة بالكامل

أولاً، ينبغي عليك مراجعة الشهادات وتقرير النتائج على الأقل، وليس الملخص التنفيذي. ذلك سيوفر لك نظرة عامة على البرنامج الذي تمت مراجعته من قبل طرف ثالث. بالإضافة إلى ذلك، يجب أن تتضمن برامج الأمان الشاملة استراتيجيات حماية بيانات قوية مثل إجراءات النسخ الاحتياطي واستعادة قواعد البيانات لضمان استمرارية العمل وسلامة البيانات أثناء حوادث الأمان. ثانيًا، يجب عليك بالتأكيد مراجعة ما إذا كانت الشركة تخضع لاختبار اختراق من طرف ثالث أو برنامج Bug Bounty. شخصيًا، لست من محبي Bug Bounties، ولكنني مؤيد لاختبار الاختراق من طرف ثالث على أساس سنوي. يقدم لك اختبار الاختراق تقييمًا هيكليًا لدفاعاتك وملاحظات فعلية على نقاط الضعف. وأخيراً، راجع مستندات الأمان (عادةً جدول المحتويات) التي تستخدمها الشركة كأساس للتنفيذ. يتضمن ذلك (ولكن ليس محدودًا بها) سياسة الأمن، والاستجابة للحوادث، وإدارة الثغرات الأمنية. سيعرض فريق الأمان ذو الخبرة مشاركة تلك المستندات والمواد كجزء من العمل العادي.

أعتبره أمرًا طبيعيًا تقييم كل مورّد وشريك من منظور الوصول إلى بيانات الشركة. بمعنى أنه إذا كان الشريك أو المورّد يدير بيانات الشركة، فإنه يكون خاضعًا لمزيد من التدقيق مقارنة بمورّد لا يديرها. ضع في اعتبارك الهدف التجاري عند تقييم برنامج الأمان. أراجع الهدف التجاري ونوع المعلومات المعنية، ثم أقيم من هذا المنظور، بدلاً من التعامل مع جميع الشركاء والموردين بشكل موحد. عندما تكون في شك، اطلب دائمًا المزيد من المعلومات.

أولاً، ينبغي عليك مراجعة الشهادات وتقرير النتائج على الأقل، وليس الملخص التنفيذي. ذلك سيوفر لك نظرة عامة على البرنامج الذي تمت مراجعته من قبل طرف ثالث. بالإضافة إلى ذلك، يجب أن تتضمن برامج الأمان الشاملة استراتيجيات حماية بيانات قوية مثل إجراءات النسخ الاحتياطي واستعادة قواعد البيانات لضمان استمرارية العمل وسلامة البيانات أثناء حوادث الأمان. ثانيًا، يجب عليك بالتأكيد مراجعة ما إذا كانت الشركة تخضع لاختبار اختراق من طرف ثالث أو برنامج Bug Bounty. شخصيًا، لست من محبي Bug Bounties، ولكنني مؤيد لاختبار الاختراق من طرف ثالث على أساس سنوي. يقدم لك اختبار الاختراق تقييمًا هيكليًا لدفاعاتك وملاحظات فعلية على نقاط الضعف. وأخيراً، راجع مستندات الأمان (عادةً جدول المحتويات) التي تستخدمها الشركة كأساس للتنفيذ. يتضمن ذلك (ولكن ليس محدودًا بها) سياسة الأمن، والاستجابة للحوادث، وإدارة الثغرات الأمنية. سيعرض فريق الأمان ذو الخبرة مشاركة تلك المستندات والمواد كجزء من العمل العادي.

أعتبره أمرًا طبيعيًا تقييم كل مورّد وشريك من منظور الوصول إلى بيانات الشركة. بمعنى أنه إذا كان الشريك أو المورّد يدير بيانات الشركة، فإنه يكون خاضعًا لمزيد من التدقيق مقارنة بمورّد لا يديرها. ضع في اعتبارك الهدف التجاري عند تقييم برنامج الأمان. أراجع الهدف التجاري ونوع المعلومات المعنية، ثم أقيم من هذا المنظور، بدلاً من التعامل مع جميع الشركاء والموردين بشكل موحد. عندما تكون في شك، اطلب دائمًا المزيد من المعلومات.

أولاً، ينبغي عليك مراجعة الشهادات وتقرير النتائج على الأقل، وليس الملخص التنفيذي. ذلك سيوفر لك نظرة عامة على البرنامج الذي تمت مراجعته من قبل طرف ثالث. بالإضافة إلى ذلك، يجب أن تتضمن برامج الأمان الشاملة استراتيجيات حماية بيانات قوية مثل إجراءات النسخ الاحتياطي واستعادة قواعد البيانات لضمان استمرارية العمل وسلامة البيانات أثناء حوادث الأمان. ثانيًا، يجب عليك بالتأكيد مراجعة ما إذا كانت الشركة تخضع لاختبار اختراق من طرف ثالث أو برنامج Bug Bounty. شخصيًا، لست من محبي Bug Bounties، ولكنني مؤيد لاختبار الاختراق من طرف ثالث على أساس سنوي. يقدم لك اختبار الاختراق تقييمًا هيكليًا لدفاعاتك وملاحظات فعلية على نقاط الضعف. وأخيراً، راجع مستندات الأمان (عادةً جدول المحتويات) التي تستخدمها الشركة كأساس للتنفيذ. يتضمن ذلك (ولكن ليس محدودًا بها) سياسة الأمن، والاستجابة للحوادث، وإدارة الثغرات الأمنية. سيعرض فريق الأمان ذو الخبرة مشاركة تلك المستندات والمواد كجزء من العمل العادي.

أعتبره أمرًا طبيعيًا تقييم كل مورّد وشريك من منظور الوصول إلى بيانات الشركة. بمعنى أنه إذا كان الشريك أو المورّد يدير بيانات الشركة، فإنه يكون خاضعًا لمزيد من التدقيق مقارنة بمورّد لا يديرها. ضع في اعتبارك الهدف التجاري عند تقييم برنامج الأمان. أراجع الهدف التجاري ونوع المعلومات المعنية، ثم أقيم من هذا المنظور، بدلاً من التعامل مع جميع الشركاء والموردين بشكل موحد. عندما تكون في شك، اطلب دائمًا المزيد من المعلومات.

أخبار أخرى

اقرأ المزيد من هذه الفئة

A person is standing at a desk while typing on a laptop.

المنصة الأصلية للذكاء الاصطناعي التي تتوسع مع عملك.

اتصل بالمبيعات

ابدأ مجانًا

© 2025 Bird

اتصل بالدعم

A person is standing at a desk while typing on a laptop.

المنصة الأصلية للذكاء الاصطناعي التي تتوسع مع عملك.

اتصل بالمبيعات

ابدأ مجانًا

© 2025 Bird

اتصل بالدعم

A person is standing at a desk while typing on a laptop.

المنصة الأصلية للذكاء الاصطناعي التي تتوسع مع عملك.

اتصل بالمبيعات

ابدأ مجانًا

© 2025 Bird

اتصل بالدعم