لم يعد سطح الهجوم المؤسسي الحديث متجانسًا، فهو يمتد عبر أجهزة ويندوز الطرفية، وأجهزة ماك بوك التنفيذية، وخوادم لينوكس، والأجهزة المحمولة. يستغل الجهات الفاعلة المهددة هذا التنوع بنشاط من خلال شن حملات عبر المنصات، مستفيدين من سير عمل الأمن المجزأة التي لا تزال تعاني منها العديد من مراكز عمليات الأمن. بالنسبة لقادة الأمن، يخلق هذا الواقع فجوة حرجة في الرؤية والتحكم، حيث يمكن للهجمات المتطورة أن تنتقل دون اكتشاف من نظام تشغيل إلى آخر، متجنبة أدوات الكشف المنعزلة.
لمواجهة مشهد التهديدات المتطور هذا، يلزم حدوث تحول نموذجي في استراتيجية مركز عمليات الأمن. يكمن الحل في الانتقال من نموذج تشغيلي يركز على المنصة إلى نموذج يركز على التهديد. يمكن تحقيق هذا التحول من خلال ثلاث خطوات حرجة. أولاً، يجب على المؤسسات تنفيذ طبقة بيانات موحدة تقوم بتطبيع أحداث الأمن وربطها عبر جميع أنظمة التشغيل والبيئات. وهذا يخلق مصدرًا واحدًا للحقيقة، مما يسمح للمحللين بتتبع حركة المهاجم الجانبية بغض النظر عن المنصة الأساسية. ثانيًا، تحتاج مراكز عمليات الأمن إلى اعتماد قواعد كشف عبر المنصات وقوالب تشغيلية للبحث عن التهديدات وتوحيدها. يجب أن تكون تقنية مثل تفريغ بيانات الاعتماد أو الحركة الجانبية قابلة للكشف والتحقيق بطريقة متسقة، سواء حدثت على ويندوز أو لينوكس أو ماك أو إس. أخيرًا، تتضمن الخطوة الثالثة أتمتة إجراءات الاستجابة التي تكون فعالة بنفس القدر عبر جميع أنحاء البيئة المؤسسية. يجب أن تكون أوامر عزل الجهة المخترقة، أو حظر عملية ضارة، أو إلغاء بيانات الاعتماد قابلة للتنفيذ بشكل موحد، مما يغلق حلقة الحوادث بشكل أسرع ويقلل من وقت بقاء المهاجم.
باتباع هذا الإطار المكون من ثلاث خطوات - البيانات الموحدة، والكشف الموحد، والاستجابة المؤتمنة عبر المنصات - يمكن لمراكز عمليات الأمن تفكيك الصوامع التشغيلية التي يعتمد عليها المهاجمون. لا يحسن هذا النهج المتكامل من رؤية التهديدات ويسرع متوسط وقت الاستجابة فحسب، بل يعمل أيضًا على تحسين كفاءة المحللين من خلال تقديم عرض موحد للحوادث. في عصر يتم فيه تصميم الحملات الإلكترونية عمدًا لاستغلال التجزئة، لم يعد بناء دفاع متماسك ومستقل عن المنصة ميزة استراتيجية فحسب، بل أصبح ضرورة أساسية لمرونة المؤسسة.
