AI SecOps: التنفيذ وأفضل الممارسات
عمليات الأمن، أو SecOps، هي خلاصة العمليات الفردية التي تمنع الثغرات الأمنية واختراق الأصول الحساسة للمؤسسة. وهذا يختلف قليلاً عن مركز عمليات الأمن (SOC) – وهي الوحدة التنظيمية للأفراد التي تراقب وتمنع الحوادث الأمنية.
يُعد هذا التمييز مهمًا لأن عمليات الأمن تهدف إلى دمج عمليات الأمن ضمن مسار العمليات، بينما العمليات التقليدية SOCيؤدي فصل الأمن عن تكنولوجيا المعلومات إلى عزل عمليات الأمن بشكل أساسي. وهذا هو السبب في أن الأنظمة الحديثة SOCغالباً ما يتم تطبيق عمليات الأمن السيبراني (SecOps) كوسيلة لتحقيق التوازن بين منع التهديدات وقدرات الاستجابة المخصصة للحوادث.
نظرًا لأن SecOps يحتاج إلى العمل جنبًا إلى جنب مع سير عمل تكنولوجيا المعلومات وتكنولوجيا التشغيل اليومية - وليس التدخل - فإن أتمتة SecOps تشكل جزءًا أساسيًا من الاستراتيجية. تتناول هذه المقالة كيفية تطور SecOps للذكاء الاصطناعي، وحالات استخدام الذكاء الاصطناعي في SecOps، وأفضل الممارسات لتطبيق الذكاء الاصطناعي في SecOps.
الجيل التالي SIEM
الجيل القادم من التكنولوجيا السيبرانية النجمية SIEM، كمكون أساسي ضمن الأمن السيبراني النجمي Open XDR منصة...
تجربة الأمن المدعوم بالذكاء الاصطناعي في العمل!
اكتشف الذكاء الاصطناعي المتطور من Stellar Cyber للكشف الفوري عن التهديدات والاستجابة لها. جدولة العرض التوضيحي الخاص بك اليوم!
مقدمة إلى AI SecOps
إن SecOps هو نهج اكتسب دعمًا كبيرًا داخل المؤسسات التي تهتم بالأمن. يجب أن تتكيف عمليات SecOps في كل مؤسسة مع التصميم الفريد للمؤسسة للأصول الرقمية والبنية الأساسية والبيانات الحساسة - تمامًا كما تنمو المؤسسة وتتكيف مع تغييرات السوق بمرور الوقت. نظرًا لأن SecOps يدمج تدابير الأمان طوال دورة حياة عمليات تكنولوجيا المعلومات، فإنه يحتاج أيضًا إلى تضمين الأمان في كل مرحلة من مراحل التطوير والعمليات.
لتحقيق ذلك ، فإن SOC يتطلب الأمر رؤية مستمرة ودقيقة للأجهزة والشبكات ونقاط النهاية لجميع المستخدمين تقريبًا - إنها كمية هائلة من البيانات. جزء من السبب هو SOC كانت الفرق تقليديًا معزولة عن نظرائها من المطورين وقسم تكنولوجيا المعلومات، وكان دورها إدارة كل هذه البيانات. حول مستويات المحللين، SOC كما احتاجت الفرق إلى عدد كبير من الأدوات لاستخراج البيانات وتجميعها. إدارة معلومات وأحداث الأمان (SIEMساعدت الأدوات وجدران الحماية وأنظمة الكشف والاستجابة لنقاط النهاية (EDR) جميعها في معالجة هذه البيانات وتحويلها إلى معلومات ذات معنى.
الآن أصبح الذكاء الاصطناعي في العمليات الأمنية قادرًا على استيعاب البيانات الأمنية بنفس المعدل الذي يتم إنتاجها به. ونتيجة لذلك، أصبح التعلم الآلي - والذكاء الاصطناعي التوليدي الأحدث - مسؤولاً عن تحويل SecOps إلى عملية مستمرة، مما يسمح للعمليات الأمنية بمواكبة تغييرات تكنولوجيا المعلومات والتطوير. وعلاوة على ذلك، نظرًا لأن المنصات التي تعتمد على الذكاء الاصطناعي توفر خيارات أتمتة أكبر من أي وقت مضى، فإن تطور SecOps يتم دفعه نحو مجموعات تقنية مبسطة، وتعقيد أقل، وعائد استثمار أعلى.
حالات استخدام الذكاء الاصطناعي في SecOps
اكتشاف التهديدات مع عدد أقل من النتائج الإيجابية الكاذبة
تزدهر نماذج الذكاء الاصطناعي من خلال مجموعات البيانات الضخمة: فبفضل الذكاء الاصطناعي، أصبح من الممكن الآن استيعاب الكميات الهائلة من التنبيهات التي كانت في السابق قادرة على إرباك فريق أمني، وربطها ببعضها البعض، واستخدامها للكشف عن آخرين. وهذا يتناقض بشكل صارخ مع النهج التقليدي للكشف عن التهديدات ــ والذي كان يقوم على تكديس أدوات الأمن فوق بعضها البعض.
هذا هو الوضع شركة مالية مقرها الولايات المتحدة وجدت نفسها في: SOC كان على المحللين البدء بكل عملية أمنية بالبحث في كميات هائلة من البيانات المرفقة بكل تنبيه. ولأن المؤسسة كانت تستخدم برامج متعددة لأدوات الأمن، كان عليهم تحديد التنبيه نفسه يدويًا عبر كل منصة ومتابعة كل خيط على حدة لتحديد مدى صحة التنبيه والأضرار المحتملة.
ولأن الذكاء الاصطناعي قادر على استيعاب كل البيانات الأولية من السجلات والشبكة والجهاز التي تدخل في مشغل التنبيهات الخاص بالأداة، فإنه قادر بعد ذلك على ربط هذا التنبيه بالإجراءات المقابلة على الشبكة أو الجهاز أو الحساب المعني. والنتيجة هي عدد أقل بكثير من التنبيهات الكاذبة - وفي حالة وقوع حادث أمني حقيقي - يمكن للذكاء الاصطناعي وضع التنبيهات في سياق سلسلة هجوم أوسع.
الاستجابة الآلية للحوادث
تشكل كتيبات التشغيل حجر الأساس لقدرات الاستجابة الآلية - فهي تسمح للفرق الهزيلة مثل تلك الموجودة في قسم تكنولوجيا المعلومات بجامعة زيورخ لتنفيذ قدرات مراقبة واستجابة معينة بسرعة استجابةً لتنبيهات محددة. على سبيل المثال، في حالة وقوع حادث يؤثر على نقاط نهاية القسم، يمكن إخطار مدير تكنولوجيا المعلومات المعني.
يمكن أن تسمح الأتمتة للفرق الهزيلة بتوفير تغطية على مدار الساعة طوال أيام الأسبوع حتى لو لم يكن لديهم القوة البشرية اللازمة لتعيين محللين على أهبة الاستعداد طوال الوقت. يتم توفير الأتمتة من خلال كتيبات التشغيل - والتي تشير بالضبط إلى خطوات الإصلاح التي يجب أن تتخذها أداة الذكاء الاصطناعي استجابة لأنواع معينة من التنبيهات والحوادث.
تنبيهات ذات أولوية واكتشاف التهديدات المدعومة بالذكاء الاصطناعي
نظرًا لأن نماذج الذكاء الاصطناعي يمكن تدريبها على الهجمات التاريخية - ويمكنها الاحتفاظ بفهم محدث لمجموعة الأصول الكاملة للمؤسسة - فهي قادرة على تصنيف التنبيهات وفقًا لنصف قطر الانفجار المحتمل. وهذا يقلل بشكل كبير من العبء الملقى على عمليات SecOps اليدوية التي تتطلب ساعات طويلة وشاقة من العمل لإنشائها.
كان تصنيف التنبيهات يشغل قدرًا كبيرًا من الوقت وقت حكومة المدينة الواحدة - في هذه الحالة، كان من المتوقع أن يقوم كل محلل بتشغيل أداة الأمان الخاصة به. وقد ترك هذا فجوات كبيرة يمكن أن تستغلها ناقلات الهجوم المعقدة. وقد سمح الفرز بمساعدة الذكاء الاصطناعي لهم بتقليل عبء العمل اليدوي المطلوب من كل محلل بشكل كبير، مما يسمح للمحلل بالوصول إلى حقيقة الحادث في غضون 10 دقائق، بدلاً من عدة أيام.
ومع ذلك، فإن معرفة مكان وكيفية تنفيذ الذكاء الاصطناعي في SecOps غالبًا ما تكون العقبة الأولى أمام التنفيذ.
أفضل الممارسات لتطبيق الذكاء الاصطناعي في SecOps
حدد أهدافًا قابلة للقياس لنشر الذكاء الاصطناعي الخاص بك
إن الأهداف الذكية هي التي تحرك العالم – والتركيز على قابلية القياس هو المفتاح لتحديد وتنفيذ أداة الذكاء الاصطناعي الجديدة بنجاح. لاستخراج أفضل عائد استثمار ممكن، من الأفضل أن تبدأ بتحديد عمليات SecOps التي تشغل معظم وقت المحللين لديك.
قد تكون هذه أداة محددة - مثل SIEM أو مقياس أوسع، مثل متوسط وقت الاستجابة (MTTR). قد تكون هذه خطوة في سير العمل يتبعها المحللون أو موظفو تقنية المعلومات بعد وصول التنبيه إلى بريدهم الوارد؛ والأهم هو تحديد المكون الذي يُسبب أكبر تباطؤ بدقة. ستُساعد هذه العملية في رسم صورة واضحة للدور الذي يجب أن تؤديه أداة الذكاء الاصطناعي: فإذا كانت المشكلة الرئيسية تتمحور حول اكتشاف الأصول، فقد لا يكون دمج جدار الحماية المدعوم بالذكاء الاصطناعي هو الأولوية القصوى.
ومن الأفضل أيضًا أن نبدأ في جعل هذا جهدًا تعاونيًا. إن إشراك المستويات العليا وصناع القرار التنفيذيين الآخرين أمر حيوي لتحقيق تغيير طويل الأمد، ويمكنهم مساعدة تكنولوجيا المعلومات والأمن في تصور التغييرات التنظيمية المطلوبة.
دمج الذكاء الاصطناعي في أدواتك وسير العمل الحالية
تزدهر تقنيات الذكاء الاصطناعي في بيئات غنية بالبيانات، لكنها تحتاج إلى القدرة على استخلاص هذه البيانات من مصدر ما. قد تكون عمليات التكامل المخصصة صعبة وتستغرق وقتًا طويلاً، لذا عند البحث عن حلول قائمة على الذكاء الاصطناعي، قيّم قدرتها على التكامل مع أدواتك الحالية. من النادر جدًا أن تضطر أي مؤسسة إلى البدء من الصفر. أحيانًا، إذا كان نظامك SIEMإذا كان نظام EDR أو جدار الحماية يعمل بشكل جيد بالفعل، وكانت حالات التباطؤ ناتجة عن محدودية موارد المحللين، فمن الأفضل استكمال نظامك. SIEM باستخدام الذكاء الاصطناعي، بدلاً من إجراء عملية استبدال.
في هذا السياق، لا تنسَ أن الذكاء الاصطناعي يتطلب قدرًا كبيرًا من بيانات الأمان. فإذا كنت تقوم ببناء مجموعة بيانات من الصفر، فستحتاج إلى الاستثمار في بناء بنية تحتية قوية ومرنة للبيانات، إلى جانب بروتوكولات حوكمة صارمة. وتتطلب البنية التحتية القوية تنفيذ حلول تخزين آمنة، وتحسين قدرات معالجة البيانات، وإنشاء أنظمة نقل بيانات فعّالة لدعم اكتشاف التهديدات والاستجابة لها في الوقت الفعلي. من ناحية أخرى، يدير منتج تابع لجهة خارجية كل هذه البيانات نيابةً عنك - ولكن تأكد من أنك تثق في المزود.
ضبط فريق SecOps لاستخدام نظام مدفوع بالذكاء الاصطناعي
في حين أن أداة الذكاء الاصطناعي تحتاج إلى أن تكون مرنة، إلا أنها يجب أن تجري بعض التغييرات على العمل اليومي للمحللين - وهذا هو سبب وجودها. تحتاج الفرق المتأثرة إلى معرفة التغييرات التي ستترتب على ذلك، وكيف ينبغي أن تبدو سير العمل الخاصة بهم. ولأن SecOps تتطلب بالفعل تدريبًا شاملاً على العمليات الأمنية، فيجب أن يكونوا على دراية بالفعل بأطر السياسات والإجراءات. وعلى نفس النحو، يحتاج تحديث الذكاء الاصطناعي إلى تقسيم العمليات إلى إجراءات قابلة للقياس وإرشادات واضحة.
وبناءً على ذلك، ضع في اعتبارك مجموعات المهارات والخبرة التي يتمتع بها أعضاء SecOps الحاليون - إذا كان هناك بعض أعضاء الفريق الجدد الذين ما زالوا يكتسبون خبراتهم، ففكر في اختيار أدوات الذكاء الاصطناعي التي يسهل الوصول إليها والتي تقودهم خلال الإجراءات الآلية أو عمليات التنبيه التي قاموا بها. وهذا يسمح لهم ببناء ثقتهم بأنفسهم عند التعامل مع التهديدات. كما تعمل الشفافية على بناء المزيد من الثقة بين الفريق البشري ومحرك تحليل الذكاء الاصطناعي، مع السماح أيضًا بضبط حكم الذكاء الاصطناعي بمرور الوقت.
بناء كتيبات اللعب
تشكل أدلة التشغيل الأساس لتنفيذ أمان الذكاء الاصطناعي، وعلى الرغم من أن أداة الذكاء الاصطناعي قد تأتي مع بعض الأدلة التشغيلية المعدة مسبقًا، فمن الأفضل أن تقوم ببناء أو تعديل أدلة التشغيل الخاصة بك، وفقًا لحالة الاستخدام المحددة التي تحتاجها.
على سبيل المثال، إذا كان الفريق يتعامل مع العديد من الاتصالات الخارجية عبر البريد الإلكتروني، فمن المهم بناء بعض كتيبات اللعب للتعامل بشكل خاص مع تهديد التصيد عبر البريد الإلكتروني. في هذه الحالة، تكتشف منصة الذكاء الاصطناعي المركزية القواعد النحوية أو البيانات الوصفية المشبوهة لرسالة التصيد عبر البريد الإلكتروني، مما يؤدي بعد ذلك إلى تشغيل كتيب اللعب المرتبط بها. في هذه الحالة، يعزل كتيب اللعب البريد الإلكتروني تلقائيًا - أو نقطة النهاية نفسها إذا كان هناك دليل على الاختراق - ثم يؤدي إلى إعادة تعيين كلمة المرور. يتم إرسال رسالة إلى مسؤول الأمان المقابل، الذي يتلقى كل هذه المعلومات مجمعة في تنبيه واحد. تعتمد كتيبات اللعب التي يحتاجها نموذج الذكاء الاصطناعي الخاص بك على إعدادات ومسؤوليات مؤسستك.
بشكل جماعي، تضمن أفضل ممارسات SecOps المدعومة بالذكاء الاصطناعي انتقالًا سلسًا إلى SecOps المدعومة بالذكاء الاصطناعي، مع توفير أقصى عائد على الاستثمار.
كيف تعمل Stellar Cyber على تعزيز عمليات أمن الذكاء الاصطناعي
الكشف التلقائي عن الحوادث
تتخلص Stellar Cyber من الاعتماد على الكشف اليدوي عن التهديدات وتحديد التهديدات المستندة إلى القواعد من خلال طبقات متعددة من الذكاء الاصطناعي.
يركز أول هذه الذكاء الاصطناعي على الكشف: حيث يقوم فريق البحث الأمني في Stellar Cyber بإنشاء وتدريب نماذج خاضعة للإشراف باستخدام مزيج من مجموعات البيانات المتاحة للجمهور والمولدة داخليًا. يمكن اكتشاف التهديدات غير المعروفة والهجمات التي لم يتم اكتشافها من خلال نماذج التعلم الآلي غير الخاضعة للإشراف المتوازية. تنشئ هذه النماذج خط أساس لسلوك الشبكة والمستخدم على مدار عدة أسابيع. بمجرد استيعاب إشارات البيانات، يقوم الذكاء الاصطناعي القائم على GraphML بربط الاكتشافات وإشارات البيانات الأخرى، وربط نقاط البيانات ذات الصلة تلقائيًا لمساعدة المحللين. كما يقوم بتقييم قوة الاتصال بين الأحداث المختلفة من خلال تحليل الخصائص والتوقيت وأنماط السلوك.
تعتمد أشكال أخرى من الذكاء الاصطناعي على قدرات الاكتشاف الأساسية هذه. فهي توفر المزيد من إمكانيات الوصول والاستجابة للمؤسسات التي تعمل بنظام Stellar Cyber.
جعل SecOps في متناول الجميع
يتم تمثيل جميع بيانات الأمان في الوقت الفعلي للمؤسسة في تنسيقين رئيسيين: الأول في سلسلة القتل الموجودة على لوحة المعلومات، والثاني عبر Copilot.
استخدم XDR تُعدّ لوحة معلومات "سلسلة القتل" الصفحة الرئيسية الافتراضية لشركة "ستيلار سايبر"، حيث توفر عرضًا مركزيًا للمخاطر الإجمالية والتهديدات المكتشفة. كما تُمكّن من إجراء تقييمات سريعة من خلال توفير تحليلات تفصيلية للحوادث النشطة، والأصول عالية الخطورة، وتكتيكات الهجوم. يُساعد هذا النهج المُبسّط فرق الأمن على تحديد أولويات القضايا الحرجة، بغض النظر عن نقاط تركيزها الفردية التي يُمكن التعمق فيها لاحقًا.
من ناحية أخرى، يعد Copilot AI أداة تحقيق تعتمد على درجة الماجستير في القانون وتعمل على تسريع مشاريع تحليل التهديدات الخاصة بالمحللين من خلال توفير ردود فورية على الاستفسارات. وهذا يجعله مثاليًا لاسترجاع البيانات وشرحها بسرعة، مما يدمج الأداة بشكل أكبر في مشاريع SecOps.
الرؤية الشاملة للسطح
يقوم Stellar cyber باستيعاب السجلات وبيانات الأمان عبر أنواع متعددة من أجهزة الاستشعار. تجمع أجهزة استشعار الشبكة والأمان البيانات الوصفية من المفاتيح المادية والافتراضية أثناء تجميع السجلات لتحقيق رؤية شاملة. يقوم فحص الحزم العميق (DPI) بتحليل الحمولات بسرعة. من ناحية أخرى، تتمكن أجهزة استشعار الخادم من جمع البيانات من خوادم Linux وWindows، والتقاط حركة مرور الشبكة والأوامر والعمليات والملفات ونشاط التطبيق. توقع التوافق الكامل من Windows 98 وما بعده، وتوزيعات Linux مثل Ubuntu وCoreOS وDebian.
توجد المنصة في أي مكان تكون فيه الرؤية مطلوبة: سواء كانت قائمة على السحابة أو مختلطة أو محلية بالكامل - أو قائمة على المستأجر - تقوم Stellar Cyber بدمج البيانات من أي مكان.
الاستجابة المتقدمة للذكاء الاصطناعي
تعمل قدرات الاستجابة التي توفرها Stellar Cyber على توسيع تكامل الأداة مع أدوات الأمان الموجودة: ولكن بدلاً من مجرد استيعاب البيانات، يمكن لـ Stellar اتخاذ إجراءات تلقائيًا عبر نفس الأدوات.
نظرًا لأن Stellar يركز على التنفيذ السريع، فإنه يأتي مزودًا بـ 40 دليلًا جاهزًا لصيد التهديدات تغطي سطح الهجوم بالكامل - مثل حالات فشل تسجيل الدخول إلى Windows وتحليل DNS وMicrosoft 365. وهذا يجعل اكتشاف التهديدات والاستجابة لها أكثر سهولة، حتى بالنسبة للفرق التي لا تتمتع بخبرة أمنية عميقة.
يتكامل Stellar Cyber بسلاسة مع جدران الحماية وأمان نقاط النهاية وأدوات إدارة الهوية والوصول وأنظمة التذاكر وتطبيقات المراسلة لتوسيع نطاق عمليات الأمان. وللحصول على احتياجات تنسيق أكثر تقدمًا، فإنه يدعم التكامل مع منصات SOAR الرائدة للاستجابة للتهديدات بشكل مبسط وفعال. تتمتع الشركات التي تعمل بنظام Stellar Cyber بالتحكم الدقيق في المحفزات والشروط ومخرجات كل دليل تشغيل - مما يسمح لها باتباع أفضل ممارسات SecOps عن كثب وبشكل أنيق. يمكن نشر أدلة التشغيل عالميًا أو على أساس كل مستأجر.
استكشف Stellar Cyber AI SecOps
منصة Stellar Cyber يبسط تبني الذكاء الاصطناعي في SecOps من خلال التركيز على التنفيذ السريع. فهو يمكّن المؤسسات من تحقيق عمليات أمنية أكثر فعالية وكفاءة دون عملية تنفيذ طويلة أو محظورة من قبل البائعين. تتوفر إمكانيات الأتمتة الخاصة به جاهزة للاستخدام - لاستكشاف بيئة Stellar Cyber وقدراتها، جدولة عرض.
