حالات استخدام الذكاء الاصطناعي الوكيل في العالم الحقيقي في مجال الأمن السيبراني
يواجه قادة الأمن في الشركات المتوسطة الحجم مهاجمين على مستوى المؤسسات الكبيرة، ولكن بجزء بسيط من الموظفين والميزانية. يؤدي انتشار الأدوات، وكثرة البيانات المُرسلة، والتحديثات المستمرة للمنتجات إلى بنية تحتية هشة، تُصبح عرضةً للاختراق قبل وقوع أول حادثة أمنية خطيرة. يأتي الذكاء الاصطناعي الوكيل في هذا السياق، وليس في المختبر.
تشير الدراسات إلى أن حوالي 18% من مؤسسات السوق المتوسطة أبلغت عن اختراق أمني خلال العام الماضي، حيث استهدف برنامج الفدية ما يقارب ربع هذه الشركات. وفي المملكة المتحدة، تعرضت 45% من الشركات المتوسطة الحجم لجرائم إلكترونية خلال الاثني عشر شهرًا الماضية، ولا يزال التصيد الاحتيالي هو نقطة الدخول الرئيسية. ويبلغ متوسط تكلفة الاختراقات الأمنية للشركات المتوسطة الحجم حوالي 3.5 مليون دولار لكل حادثة. بالنسبة لفرق تكنولوجيا المعلومات والأمن ذات الموارد المحدودة، قد يكلف خطأ واحد ميزانية عام كامل.
يمكن ملاحظة هذا الضغط في الحوادث الأخيرة. فقد تسبب هجوم برنامج الفدية الخبيث على شركة Change Healthcare عام 2024 في تعطيل نظام فوترة الرعاية الصحية في الولايات المتحدة على مستوى البلاد، ومن المتوقع أن يكلف الشركة الأم UnitedHealth أكثر من 2.3 مليار دولار أمريكي للاستجابة والتعافي، بالإضافة إلى دفع فدية قدرها 22 مليون دولار. كما أبلغت شركة MGM Resorts عن خسائر تجاوزت 100 مليون دولار أمريكي جراء هجومها عام 2023، بعد أن أدى استغلال الهندسة الاجتماعية لمكتب الدعم الفني إلى انتشار برنامج الفدية الخبيث على نطاق واسع. أما اختراق البيانات العامة الوطنية، فقد كشف عن احتمال تسريب 2.9 مليار سجل عام 2024، مما يؤكد كيف يمكن لاختراق واحد أن يتوسع نطاقه ليشمل شركات أخرى.
كيف يعمل الذكاء الاصطناعي والتعلم الآلي على تحسين الأمن السيبراني للمؤسسات
ربط جميع النقاط في مشهد التهديد المعقد
تجربة الأمن المدعوم بالذكاء الاصطناعي في العمل!
اكتشف الذكاء الاصطناعي المتطور من Stellar Cyber للكشف الفوري عن التهديدات والاستجابة لها. جدولة العرض التوضيحي الخاص بك اليوم!
يُبرز الرسم البياني أعلاه ثلاث حقائق بسيطة: الاختراقات الأمنية ضد المؤسسات متوسطة الحجم شائعة، والجرائم الإلكترونية ضد الشركات المتوسطة لا تزال مرتفعة، واختراق واحد كفيل بمحو سنوات من الاستثمار في الأمن السيبراني. بالنسبة لمدير أمن المعلومات الذي لا يستطيع ببساطة إضافة خمسين محللاً، لم يعد استخدام الأتمتة الذكية خياراً.
بالنسبة للعديد من الفرق، يكمن القيد الحقيقي في انتباه الأفراد، وليس في الأدوات. نموذجياً SIEM or XDR ستُظهر المنصة آلاف التنبيهات يوميًا، ومع ذلك لا يستطيع المحللون التحقيق بشكلٍ فعّال إلا في مجموعة فرعية صغيرة منها. دراسات الذكاء الاصطناعي SOC تُظهر عمليات النشر أن الفرق غالبًا ما تضطر إلى تقليل عبء عمل محللي التنبيهات بنسبة تتراوح بين 70 و80 بالمئة لاستعادة السيطرة على العمليات. وبدون هذا التغيير، تبقى الإشارات المهمة مخفية. وتشرح أدلة مثل أفضل منصات الكشف عن التهديدات كيف تطور هذا السيل من التنبيهات بمرور الوقت.
تُفاقم الهجمات القائمة على الهوية الوضع. تُشير تقديرات شركة فيريزون ودراسات أخرى إلى أن حوالي 70% من الاختراقات تبدأ حاليًا باستخدام بيانات اعتماد مسروقة أو مُستغلة. ظلت حملات Salt Typhoon ضد مزودي خدمات الاتصالات في الولايات المتحدة غير مكتشفة لمدة تتراوح بين عام وعامين، بينما استخدم المهاجمون أساليب التسلل وحسابات صالحة للتنقل بين الشبكات. أثرت اختراقات Snowflake في عام 2024 على ما لا يقل عن 165 مؤسسة استخدمت بيانات اعتماد مسروقة دون حماية متعددة العوامل. تتوافق هذه الحوادث بشكل مباشر مع تقنيات MITRE ATT&CK للوصول الأولي، والوصول إلى بيانات الاعتماد، والتنقل الجانبي، واستخراج البيانات، وتكشف عن ثغرات لا تكتشفها قواعد التنبيه التقليدية.
يزيد تبني الحوسبة السحابية من هذا الخطر. تُظهر حادثة Change Healthcare كيف يمكن لنقطة وصول عن بُعد غير محمية في بيئة متصلة بالسحابة أن تُعطّل خدمات وطنية حيوية. تُوثّق أبحاث الكشف والاستجابة السحابية أن سوء التكوين، والأدوار المتساهلة للغاية، وحسابات الخدمة غير الخاضعة للإشراف، تُشكّل جزءًا كبيرًا من الاختراقات السحابية الحديثة. يُبلغ أكثر من نصف الشركات عن حوادث أمنية سحابية خطيرة مرتبطة بثغرات الرؤية واختلاف التكوين. تُعمّق موارد مثل دليل الكشف والاستجابة السحابية فهم هذه الأنماط.
في الوقت نفسه، يتزايد الضغط التنظيمي باستمرار. يتعين على الشركات المتوسطة إظهار ضوابط متوافقة مع أطر عمل مثل NIST SP 800-207 لهندسة الثقة الصفرية، مع ربط عمليات الكشف والتغطية بإطار عمل MITRE ATT&CK كدليل عملي. تطرح مجالس الإدارة الآن أسئلة مباشرة: ما هي تكتيكات ATT&CK المشمولة وما هي الثغرات؟ ما مدى سرعة عزل الهويات عالية المخاطر بعد الاشتباه في اختراقها؟ توجد أدوات تحليل التغطية المتوافقة مع MITRE ATT&CK، مثل تلك الموضحة في مواد Stellar Cyber، لأن المدققين وشركات التأمين يتوقعون إجابات كمية.
في ظل هذه الخلفية، تُساعد أتمتة خطط العمل البسيطة، لكنها غير كافية. فهي تُنجز المهام الفردية فقط، ولا تُجري تحقيقات مُعقدة، ولا تُنسق بين المجالات المختلفة، ولا تتكيف مع تغير أساليب المُهاجمين. وهنا يبرز دور الذكاء الاصطناعي الوكيل. SOC تُصوّر الأدلة هذا التحول على أنه انتقال من البرامج النصية التي يتم تشغيلها بواسطة البشر إلى محللين رقميين مستقلين وموجهين نحو تحقيق الأهداف.
من النصوص البرمجية إلى الذكاء الاصطناعي الوكيل في العمليات الأمنية
قبل الخوض في حالات استخدام محددة للذكاء الاصطناعي الوكيل في مجال الأمن، نحتاج إلى تمييز واضح بين الأتمتة التقليدية وسير العمل الوكيل الحقيقي. لقد شعر العديد من مسؤولي أمن المعلومات بخيبة أمل من الأدوات التي وعدت بالاستقلالية ولكنها لم تقدم سوى إجراءات تشغيل هشة. إن وضع تعريفات واضحة يمنع موجة أخرى من الإرهاق الناتج عن المبالغة في الترويج.
تقوم الأتمتة البسيطة بتنفيذ سلسلة ثابتة من الخطوات عند حدوث محفز معروف. SIEM عند تفعيل القاعدة، يقوم دليل إجراءات SOAR بجمع بعض المعلومات السياقية، وربما يحظر عنوان IP أو يعطل حسابًا. هذه العملية مفيدة، لكنها ثابتة. إذا لم تتطابق المدخلات مع الأنماط المتوقعة، يتوقف النظام الآلي أو يفشل دون إشعار. ويبقى المحللون البشريون مسؤولين عن بناء السرد واتخاذ معظم القرارات.
يعمل الذكاء الاصطناعي القائم على الوكلاء بطريقة مختلفة. فهو يتألف من وكلاء ذكاء اصطناعي قادرين على التخطيط والتنفيذ والتكيف عبر مسارات عمل متعددة الخطوات. عند تحديد هدف مثل "التحقيق في سرقة بيانات اعتماد محتملة"، يقرر الوكلاء مصادر البيانات التي يجب الاستعلام عنها لاحقًا، وتقنيات MITRE ATT&CK التي يمكن تطبيقها، والأدلة الإضافية المطلوبة، وخيارات الاستجابة الأنسب للسياسة ومستوى تقبّل المخاطر. بإمكانهم قراءة الأحداث الخام، واستدعاء واجهات برمجة التطبيقات، وتحديث التذاكر، واستدعاء وكلاء آخرين في سلسلة العمليات.
الأتمتة البسيطة مقارنة بسير العمل الآلي والمحللين البشريين
تعكس هذه المقارنة ما نراه في الواقع. فالأتمتة البسيطة تُزيل بعض الضغطات المتكررة على لوحة المفاتيح، لكنها لا تزال تتطلب من المحلل تكوين صورة كاملة. يتمتع المحللون البشريون بالحكمة، لكن وقتهم محدود. أما أنظمة الذكاء الاصطناعي الآلية فتقع في المنتصف: فهي تعمل كمحللين مبتدئين لا يكلّون، قادرين على إدارة تحقيقات كاملة بمفردهم، ثم تصعيد القضايا المنظمة جيدًا بالأدلة، ورسم خرائط ATT&CK، والاستجابات الموصى بها.
إذا قرأت آخر الأخبار AI SOC دليل العمارةستلاحظ نمطًا شائعًا. لا يحل الذكاء الاصطناعي الوكيل محل... SIEM or XDRفهو يتولى زمام الأمور، وينسق البيانات، ويربط التنبيهات، ويجري تحقيقات مستمرة. هذا التمييز مهم لتخطيط الميزانية ولشرح الاستراتيجية لمجلس الإدارة.
أهم حالات استخدام أمن الذكاء الاصطناعي الوكيل
الكشف عن التهديدات ومنعها عبر المجالات
تشمل معظم الهجمات الخطيرة الآن نقاط النهاية والشبكات والحوسبة السحابية والبريد الإلكتروني والهوية. لا ترى الأدوات التقليدية سوى أجزاء من هذه الصورة. محاولة تسجيل دخول فاشلة للمسؤول هنا، أو خلل في نظام أسماء النطاقات هناك، أو ربما استدعاء غير معتاد لواجهة برمجة تطبيقات S3. لا يمتلك أي نظام بمفرده سياقًا كافيًا لإعلان وقوع حادثة بثقة.
أظهرت اختراقات البيانات العامة الوطنية، وسولت تايفون، وسنوفليك هذا التشتت. فقد جمع المهاجمون بين سرقة بيانات الاعتماد، وتقنيات الاستغلال غير المشروع، والوصول إلى الحوسبة السحابية، لتنظيم واستخراج مجموعات بيانات ضخمة بهدوء. بدت كل خطوة على حدة طبيعية تقريبًا، ولم يكشف عن النمط إلا نظرة شاملة للسلوك عبر مختلف المجالات.
يُعالج الذكاء الاصطناعي العامل في عمليات الأمن هذه المشكلة من خلال تخصيص عوامل مختلفة للتركيز على مستويات بيانات محددة: يراقب أحدها تدفقات الشبكة، وآخر سجلات نقاط النهاية، وثالث أحداث تدقيق السحابة، ورابع بيانات الهوية والوصول. ثم تقوم عوامل الربط بتجميع العلاقات بين الكيانات، وربط الإجراءات بتقنيات ATT&CK، وبناء جداول زمنية لسلسلة الهجوم تُظهر كيفية ارتباط عملية مشبوهة على نقطة نهاية بتحول هوية غير معتاد في Azure واستعلامات قاعدة بيانات غريبة في Snowflake.
يدعم هذا بشكل مباشر أهداف مبدأ "انعدام الثقة" الواردة في معيار NIST SP 800-207. يؤكد هذا المعيار على التحقق المستمر وتطبيق السياسات وفقًا للسياق، بدلًا من الثقة الضمنية القائمة على موقع الشبكة. توفر عوامل الكشف الآلية التقييم السلوكي المستمر الذي تحتاجه محركات السياسات لاتخاذ قرارات أكثر دقة بشأن السماح أو الاعتراض أو الرفض في الوقت الفعلي.
موارد تصف XDR نهج سلسلة القتل اشرح كيف تساعد التحليلات المتوافقة مع سلسلة الهجوم الفرق على رصد الهجمات متعددة المراحل في وقت مبكر وبطريقة أكثر تنظيمًا. يعمل الذكاء الاصطناعي الآلي بشكل أساسي على أتمتة تفسير سلسلة الهجوم عبر جميع بيانات القياس عن بُعد.
سير عمل آلي للتحقيق في الحوادث والاستجابة لها
غالباً ما يستحوذ التحقيق، لا الكشف، على معظم وقت المحللين. فبعد تلقي إنذار بالغ الخطورة، يجب على شخص ما جمع الأدلة، وفحص الكيانات المماثلة، والاطلاع على معلومات التهديدات، ووضع خطة استجابة. وفي الحوادث المعقدة، مثل حادثة Change Healthcare أو MGM، استغرقت هذه الخطوات أياماً. وخلال تلك الفترة، ظلت الأنظمة تعاني من تدهور في الأداء، وافتقر المسؤولون التنفيذيون إلى الوضوح.
تُغيّر أنظمة الذكاء الاصطناعي الآلية هذا النمط من خلال إجراء تحقيقات شاملة بشكل مستقل. فعندما تتجاوز إشارة أولية عتبة خطر معينة، يقوم وكيل تحليل الحالة بجمع جميع التنبيهات والبيانات ذات الصلة، وتحديد الكيانات المتأثرة، وتلخيص السبب الجذري المحتمل إلى جانب تكتيكات ATT&CK المستخدمة. كما تتحقق وكلاء أخرى من الانتشار: نشاط مماثل على أجهزة مضيفة شقيقة، واستخدام آخر لنفس بيانات الاعتماد، والاتصالات ببنية تحتية خبيثة معروفة من مصادر معلومات التهديدات.
بمجرد توفر أدلة كافية، تقترح الأنظمة الموجهة نحو الاستجابة خيارات تتوافق مع السياسة المتبعة. على سبيل المثال، عزل جهاز، أو تعطيل رمز مميز، أو نقل مستخدم إلى مجموعة مقيدة، أو فرض مصادقة متعددة المستويات. في الأنظمة الأكثر تطورًا، يمكن للأنظمة تنفيذ إجراءات استجابة محددة مسبقًا لأنماط واضحة، مع توجيه الحالات الغامضة إلى محللين بشريين. يعكس نموذج "التدخل البشري" هذا أفضل ممارسات الأمان والمتطلبات التنظيمية الحالية.
على سبيل المثال، يُبرز إصدار Stellar Cyber 6.2 كيف يمكن لتحليل الحالات الآلي وتوليد السرد التلقائي أن يقللا وقت الفهم من أيام إلى دقائق. وتنطبق مبادئ مماثلة في جميع أنحاء السوق، لا سيما في الحالات التي... الكشف عن التهديدات والتحقيق فيها والاستجابة لها تُعتبر المنصات محور العمليات.
SOC فرز التنبيهات وتحديد أولوياتها للفرق الصغيرة
ربما يبقى الإرهاق الناتج عن اليقظة هو الأكثر إيلاماً. SOC المشكلة. لا تزال العديد من فرق الشركات المتوسطة الحجم تفتح يدويًا كل تنبيه عالي الخطورة أو حرج، لتكتشف في النهاية تنبيهات خاطئة غير دقيقة أو معلومات غير مكتملة. يُصاب المحللون بالإرهاق، وتتسلل الهجمات الحقيقية في ساعات متأخرة من الليل.
تُبرز تقارير الحوادث الحديثة هذه الفجوة. فقد ارتفعت هجمات التصيد الاحتيالي المدعومة بالذكاء الاصطناعي بأكثر من 700% بين عامي 2024 و2025، بينما زادت حوادث برامج الفدية بأكثر من 100% خلال الفترة نفسها. ولا يمكن لأي فريق بشري فرز كل بريد إلكتروني مشبوه، أو سطر سجل، أو خلل في نقاط النهاية التي تُنتجها هذه الحملات يدويًا.
تقوم وكلاء الفرز الآلي بتقييم التنبيهات الجديدة فور ورودها، ليس فقط بناءً على خطورة القاعدة، بل أيضًا على السياق: أهمية الكيان، ونطاق التأثير، والسلوك السابق، والحملات الحالية، ومجموعات تقنيات ATT&CK. قد تُغلق التنبيهات ذات السياق المنخفض حول الأصول منخفضة القيمة تلقائيًا بعد فحوصات سريعة. أما المجموعات عالية الخطورة، مثل تسجيل دخول حساب ذي صلاحيات من موقع جغرافي جديد أثناء إنشاء مفاتيح سحابية جديدة، فتُحال فورًا إلى تحقيق شامل.
تشير التقارير الواقعية إلى أن هذه الأنظمة قادرة على ضغط آلاف التنبيهات الأولية إلى مئات الحالات يوميًا، مما يقلل بشكل كبير من حجم الفرز اليدوي للمحللين، مع تحسين جودة الكشف. وهذا يتيح لكبار الموظفين التركيز على البحث عن التهديدات، وفرق العمل المتخصصة، وتعزيز أمن البنية التحتية. وكيل SOC نظرة عامة على النظام الأساسي يشرح هذا المقال العديد من أنماط الفرز هذه بمزيد من التفصيل.
إدارة أمن الحوسبة السحابية ومعالجة حالات سوء التكوين
لا تزال الأخطاء في إعدادات الحوسبة السحابية من الأسباب الرئيسية للاختراقات. فالمستودعات العامة، والأدوار الممنوحة بإفراط، وبيئات الاختبار المهملة، وحسابات الخدمة القديمة، كلها عوامل تُشكل ثغرات أمنية خطيرة. وتُبرز حادثتا Snowflake وChange Healthcare مخاطر نقاط الضعف في بيانات الاعتماد والإعدادات في الأنظمة المتصلة بالحوسبة السحابية.
تُحدد أدوات إدارة وضع الأمان السحابي التقليدية المشكلات، لكنها غالبًا ما تُزوّد فرق الأمن بقوائم ثابتة ضخمة. ويتطلب إصلاحها على نطاق واسع تنسيقًا بين فرق DevOps، ومالكي التطبيقات، وموظفي الامتثال. وفي الواقع، تبقى العديد من النتائج عالقة لأشهر.
يُوفر الذكاء الاصطناعي القائم على الوكلاء مراقبة مستمرة وواعية بالسياق لإدارة أمن الحوسبة السحابية. تراقب وكلاء متخصصون انحرافات التكوين، وتغييرات الهوية، وسلوك أحمال العمل مقارنةً بالخطوط الأساسية. فعندما يصبح حاوية S3 عامة فجأةً أو يحصل حساب خدمة على أدوار جديدة وقوية، يمكن للوكيل أن يُشير فورًا إلى التغيير، ويُقيّم أهميته للعمل، ويقترح أو يُنفذ إجراءات تصحيحية آمنة مثل التراجع إلى السياسة السابقة أو إرفاق نموذج سليم معروف.
بالنسبة لمفاتيح إدارة المفاتيح (KMS) وسياسات إدارة الهوية والوصول (IAM) ومجموعات Kubernetes، يمكن للوكلاء محاكاة التغييرات المقترحة قبل تطبيقها، والتحقق من مخاطر حدوث أعطال. وعند دمج ذلك مع تعريفات السياسات المستندة إلى مبادئ الثقة الصفرية (Zero Trust) الصادرة عن NIST SP 800-207، يُنشئ هذا حلقة تغذية راجعة تُبقي وضع السحابة أقرب بكثير إلى التصميم المقصود. وبذلك، تكتسب فرق الشركات المتوسطة التي لا تستطيع توفير فريق متخصص لأمن السحابة قدرة عملية على تطبيق هذه التغييرات.
استخدم نظرة عامة على اكتشاف السحب والاستجابة لها يتعمق هذا البحث في كيفية كشف التحليلات المستمرة عبر منصات التحكم السحابية ومنصات البيانات عن سلاسل الهجمات التي تغفل عنها الماسحات الضوئية الثابتة. وتعتمد سير العمل الآلي على هذه الرؤية لتحويل النتائج إلى إجراءات عملية.
إدارة الهوية والوصول مع كشف إساءة استخدام الامتيازات
أصبحت الهوية هي المحيط الأمني الجديد. ففي هجوم MGM، وتسريبات بيانات الاعتماد الضخمة عام 2025، وحوادث Snowflake، استخدم المهاجمون بيانات اعتماد صحيحة بدلاً من برامج خبيثة واضحة. وتشير دراسات التهديدات الداخلية إلى أن ما يقرب من 60% من الاختراقات الأمنية تتم الآن بواسطة موظفين أو حسابات مخترقة.
تُجرى عمليات إدارة الهوية والوصول التقليدية عادةً بشكل ربع سنوي أو سنوي. تُساعد مراجعات الصلاحيات، وتحليل الأدوار، وعمليات تدقيق الامتيازات المخصصة، لكنها لا تُجدي نفعًا يُذكر ضد مُهاجم يُسيء استخدام حساب واحد لمدة تسعة أيام متتالية. وقد أظهرت حملة "سولت تايفون" عام 2024 هذه المشكلة بوضوح، حيث تمكن المهاجمون من الحفاظ على وصول طويل الأمد داخل شبكات الاتصالات باستخدام بيانات اعتماد تبدو شرعية.
يدعم الذكاء الاصطناعي الآلي إدارة الهوية والوصول بطريقتين. أولاً، تراقب وكلاء تحليل السلوك المستمر كيفية عمل كل هوية عادةً: التطبيقات التي تستخدمها، وحجم البيانات المعتاد، والمواقع الجغرافية المعتادة، والوقت المعتاد من اليوم. فإذا قام حساب ما فجأةً بسحب بيانات بحجم غيغابايت في الساعة الثالثة صباحًا من منطقة جديدة، يمكن للوكلاء وضع علامة على الجلسة أو حتى تعليقها، بغض النظر عما إذا تم استخدام المصادقة متعددة العوامل أم لا.
ثانيًا، تقوم الجهات المعنية بالحوكمة بفحص مخططات الصلاحيات لاكتشاف التوليفات الضارة للأدوار، والحسابات المهملة، والامتيازات المفرطة، وتقديم توصيات مُرتبة حسب الأولوية وغنية بالسياق لأصحاب الحسابات لإزالة المخاطر. وتُوضح حالات مثل اختراق MGM، حيث أدى التلاعب الاجتماعي إلى الوصول الإداري، سبب ضرورة أن تكون مراجعات الامتيازات هذه مستمرة، وليست متقطعة.
بلمسة عصرية الكشف عن التهديدات المتعلقة بالهوية والاستجابة لها توضح المادة كيف يدمج هذا النهج إدارة الهوية والوصول التقليدية مع هندسة الكشف لتقنيات ATT&CK مثل الحسابات الصالحة، وتصعيد الامتيازات، والتنقل الجانبي. وتعمل الأنظمة الآلية على أتمتة جزء كبير من هذه الهندسة والمراقبة اليومية.
عمليات التحقق المستمرة من الامتثال وإنفاذ السياسات
لطالما كان الامتثال لمتطلبات المؤسسات متوسطة الحجم عمليةً تستنزف الموارد. فمعايير PCI DSS وHIPAA وGDPR، بالإضافة إلى المتطلبات القطاعية، والآن الأوامر التنفيذية المتعلقة بأمن سلسلة توريد البرمجيات، كلها تتطلب أدلةً مستمرة. ومع ذلك، لا تزال العديد من الشركات تتعامل مع الامتثال على أنه مجرد عملية ربع سنوية سريعة لجمع جداول البيانات ولقطات الشاشة.
يُعرّف معيار NIST SP 800-207 مفهوم "انعدام الثقة" كعملية مستمرة يجب أن تتكيف مع التغيرات في الأصول والتهديدات وسلوك المستخدمين. تُظهر أدوات تحليل التغطية المستندة إلى إطار عمل MITRE ATT&CK مواضع توافق الضوابط مع أساليب الخصوم الحقيقية، مُسلطةً الضوء على نقاط الضعف. يدعو كلا الإطارين ضمنيًا إلى الأتمتة والتحقق المستمر، إذ لا يستطيع البشر وحدهم مواكبة هذه التطورات.
يتوافق الذكاء الاصطناعي القائم على الوكلاء بشكل جيد مع هذا المطلب. إذ يمكن لوكلاء السياسات ترميز قواعد مثل "يجب أن تتطلب جميع الهويات ذات الامتيازات مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي" أو "لا يجوز لأي وحدة أعمال كشف قواعد البيانات مباشرة على الإنترنت". ثم يقوم وكلاء آخرون بفحص بيانات القياس عن بُعد ذات الصلة، وحالات التكوين، وسجلات الهوية بشكل مستمر وفقًا لتلك السياسات، وفتح أو تحديث النتائج عند ظهور انتهاكات.
هذا يحوّل الامتثال من مجرد إثباتات لحظية إلى أدلة حية. بالنسبة لمهندس أمن يقدم عرضاً لمجلس الإدارة، فإن عرض خريطة تغطية ATT&CK التي يتم إنشاؤها يومياً، بالإضافة إلى درجات الامتثال الآلي للسياسات، يحمل وزناً أكبر بكثير من تقييم قديم يُجرى مرة واحدة في السنة. مواد محلل تغطية MITRE ATT&CK توضح هذه الرسوم البيانية كيف تدعم مفاوضات الأمن والتأمين على حد سواء.
البحث المستقل عن التهديدات باستخدام بيانات متعددة المجالات
تطمح معظم فرق الشركات المتوسطة الحجم إلى القيام بعمليات استباقية للكشف عن التهديدات، لكن قليلًا منها فقط يستطيع الاستمرار في ذلك. بالكاد يواكب المحللون التنبيهات الواردة، وتتراجع عمليات البحث المنظمة إلى أسفل قائمة الأولويات. ومع ذلك، تكشف الاختراقات الأخيرة، من Salt Typhoon إلى Change Healthcare، أن البحث الاستباقي كان من الممكن أن يكشف عن حالات شاذة قبل وقت طويل من وقوع التأثير الكامل.
تُقلب وكلاء الذكاء الاصطناعي المُتخصصة في البحث عن التهديدات هذه المعادلة رأساً على عقب. فبدلاً من انتظار التنبيهات، تقوم هذه الوكلاء بإنشاء واختبار الفرضيات استناداً إلى تقنيات ATT&CK ومعلومات التهديدات. على سبيل المثال، قد يبحث أحد الوكلاء عن دلائل على تسريب بيانات الاعتماد أو استخدام غير معتاد لأدوات الإدارة عن بُعد عبر جميع نقاط النهاية، ثم ينتقل إلى سجلات الشبكة وسجلات تدقيق السحابة.
بفضل قدرة هذه البرامج على العمل باستمرار وبسرعة فائقة، فإنها تستكشف فرضيات أكثر بكثير من أي فريق بشري. وعندما تعثر على أنماط مشبوهة، تفتح ملفات قضايا تتضمن سياقًا جاهزًا، وتحدد التقنيات المشتبه بها، والجهات المتورطة، والخطوات التالية المقترحة. وبمرور الوقت، تُسهم ملاحظات المحللين في تدريب هذه البرامج على عمليات البحث التي حققت قيمة، مما يُحسّن الجهود المستقبلية.
استخدم نظرة عامة على معلومات التهديدات السيبرانية يصف هذا كيف تُمكّن عملية رسم خرائط ATT&CK المنظمة من البحث المنهجي عبر دورة حياة الهجوم. ببساطة، تعمل الأنظمة الآلية على أتمتة هذا النهج المنظم وربطه بمجموعة بيانات القياس عن بُعد الحالية لديك.
أنماط معمارية تجمع بين الذكاء الاصطناعي الوكيل و XDR و SIEM
حتى أفضل حلول أمن الذكاء الاصطناعي القائمة على الوكلاء ستفشل إذا تم تركيبها بشكل عشوائي. بالنسبة لمدير أمن المعلومات الذي يقود مؤسسة متوسطة الحجم، فإن السؤال الأساسي ليس فقط "ما الذي يمكن للوكلاء فعله؟"، بل "كيف يتكاملون مع أنظمتي الحالية؟" SIEM, XDR"واستثمارات الأتمتة الفائقة دون تجاوز المخاطر أو الميزانية؟"
تشترك معظم التصاميم الناجحة في عدة سمات. أولاً، إنها تعالج Open XDR أو بنية بيانات مماثلة كأساس. تعمل هذه الطبقة على توحيد بيانات القياس عن بُعد عبر نقاط النهاية والشبكة والحوسبة السحابية والهوية وتطبيقات البرمجيات كخدمة (SaaS). ثم تستخدم وكلاء الذكاء الاصطناعي هذا التدفق الموحد بدلاً من محاولة التكامل بشكل منفصل مع كل أداة. هذا يقلل من مخاطر التكامل ويجعل إضافة مصادر البيانات الجديدة عملية سلسة.
ثانيًا، يندمجون مع SIEM بدلاً من استبداله بالكامل. الإرث SIEMلا تزال هذه الأنظمة تتعامل مع تسجيل الامتثال، والاحتفاظ بالبيانات على المدى الطويل، وبعض عمليات الربط. الذكاء الاصطناعي الوكيل والتقنيات الحديثة XDR تتواجد المنصات بجانبها، وتتولى مهام الكشف في الوقت الفعلي، والربط بين المجالات المتعددة، وتنسيق الاستجابة. تبدأ العديد من المؤسسات بنسخ السجلات إلى Open XDR المنصة، مما يسمح للوكلاء بالعمل على تلك النسخة قبل إعادة التفكير. SIEM دورات التجديد.
ثالثًا، يتم ربط إجراءات الاستجابة عبر بنى الأتمتة الفائقة ومنصات SOAR الحالية. وبدلًا من تجاوز ممارسات إدارة التغيير المعتمدة، تستدعي وكلاء الذكاء الاصطناعي الآليون خطط العمل وسير العمل المعتمدة، ولكن بمحفزات أكثر ذكاءً وسياق أغنى. ويتماشى هذا مع مبادئ الحوكمة في معيار NIST SP 800-207، التي تؤكد على التحكم القائم على السياسات في الوصول إلى الشبكة والموارد.
وأخيرًا، تبقى الرقابة البشرية أساسية. بيانات صحفية حول الإنسان المعزز ذاتي التشغيل SOCs يؤكد هذا النموذج على أن الوكلاء يقومون بفرز المشكلات وربطها واقتراح الحلول، بينما يقوم البشر بالتحقق من صحة الإجراءات ذات التأثير الكبير وتعديل الاستراتيجية. ويلبي هذا النموذج توقعات ثقافة الأمن ومتطلبات حوكمة الذكاء الاصطناعي الناشئة.
بالنسبة للقادة الذين يخططون لهذا التحول، الذكاء الاصطناعي عالي المستوى SOC مراجع مثل AI SOC دليل العمارة و أفضل منظمة العفو الدولية SOC نظرة عامة على المنصات قدّم معايير تقييم عملية. انتبه بشكل خاص لكيفية ربط كل منصة لعمليات الكشف بإطار عمل MITRE ATT&CK، وكيفية عرضها للسياق ذي الصلة بمفهوم الثقة الصفرية، وكيفية قياسها لانخفاض عبء عمل المحللين بأرقام حقيقية.
مسار التبني العملي لمديري أمن المعلومات في الشركات المتوسطة
حتى وإن كانت القيمة واضحة، فإن تبني الذكاء الاصطناعي الوكيل قد يبدو محفوفًا بالمخاطر. تتراوح المخاوف بين الإنذارات الكاذبة التي قد تعرقل سير العمل، وأنظمة الذكاء الاصطناعي التي تتصرف خارج نطاق السياسات. هذه المخاوف مشروعة، لا سيما في القطاعات الخاضعة للتنظيم أو البيئات التي تعتمد على تطبيقات قديمة هشة. يكمن الحل في النشر التدريجي مع ضوابط واضحة.
يبدأ المسار العملي بنشر أنظمة للقراءة فقط، مع التركيز على الرؤية والتصنيف. مكّن الموظفين من تقييم التنبيهات، وبناء الحالات، واقتراح الاستجابات، ولكن اشترط موافقة بشرية على أي إجراء يُغيّر الأنظمة. قِس التغييرات في متوسط وقت الكشف، ومتوسط وقت الاستجابة، والوقت الذي يقضيه المحللون في كل حالة. إذا لم تلاحظ تحسناً ملموساً خلال بضعة أشهر، فعدّل الإعدادات أو أعد النظر في الموردين.
بعد ذلك، حدد نطاقًا ضيقًا وعالي الحجم ولكنه منخفض المخاطر لتطبيق استقلالية جزئية، مثل معالجة رسائل البريد الإلكتروني الاحتيالية أو عزل نقاط نهاية المختبر غير الحرجة. تثق العديد من المؤسسات بالفعل في أدلة SOAR في هذه المجالات؛ حيث يحدد الذكاء الاصطناعي الوكيل ببساطة متى يتم تشغيلها. راقب معدلات الخطأ، وتكرار التراجع، وشكاوى المستخدمين.
لا ينبغي للفرق منح صلاحيات مستقلة أوسع نطاقًا، لا سيما فيما يتعلق بضوابط الهوية واستعادة إعدادات السحابة، إلا بعد التأكد من سلامة هذه التجارب. وحتى في هذه الحالة، يجب ربط كل نوع من أنواع الإجراءات المستقلة بسياسة واضحة، وموافقة صاحب العمل، وهياكل تسجيل تسمح بالمراجعة الجنائية لاحقًا.
استمر في رصد التقدم المحرز وفقًا لمعايير MITRE ATT&CK وNIST SP 800-207. استخدم أدوات تحليل التغطية وتقييمات انعدام الثقة لتوضيح أساليب الهجوم وضوابط السياسات التي تحظى الآن باهتمام مستمر من قِبل الوكلاء. اربط كل تقدم بمثال اختراق حقيقي كان من الممكن اكتشافه مبكرًا أو احتواؤه بسرعة أكبر. يستجيب المسؤولون التنفيذيون لسيناريوهات محددة: "كان من المرجح أن يكشف هذا الإعداد عن إساءة استخدام بيانات اعتماد على غرار ما حدث مع Change Healthcare في غضون ساعات، وليس أيامًا."
لإجراء دراسة معمقة لمكونات البناء المحددة، يمكن الاستعانة بموارد مثل دليل تحليل سلوك المستخدم والكيان و مبادئ السلوك نظرة عامة على اكتشاف التهديدات المتعلقة بالهوية توفير سياق مركّز على تحليلات السلوك وضوابط الهوية. بالإضافة إلى Open XDR وفاعل SOC من خلال النسيج، يحددون مسارًا واقعيًا من العمليات المجهدة الحالية إلى وضع أكثر استقلالية ومرونة يتناسب مع قيود السوق المتوسطة.