AI SecOps: التنفيذ وأفضل الممارسات
إن عمليات الأمان، أو SecOps، هي تتويج للعمليات الفردية التي تمنع الثغرات الأمنية واختراق المخاطر في الأصول الحساسة للمؤسسة. وهذا يختلف قليلاً عن مركز عمليات الأمان (SOC) - وهو الوحدة التنظيمية للأشخاص الذين يراقبون الحوادث الأمنية ويمنعونها.
إن هذا التمييز مهم لأن SecOps يهدف إلى دمج عمليات الأمان داخل خط أنابيب العمليات، في حين تعمل مراكز العمليات الأمنية التقليدية على فصل الأمان عن تكنولوجيا المعلومات، مما يؤدي في الأساس إلى عزل عمليات الأمان. وهذا هو السبب في أن مراكز العمليات الأمنية الحديثة غالبًا ما تنفذ SecOps، كوسيلة لتحقيق التوازن بين منع التهديدات وقدرات الاستجابة للحوادث المخصصة.
نظرًا لأن SecOps يحتاج إلى العمل جنبًا إلى جنب مع سير عمل تكنولوجيا المعلومات وتكنولوجيا التشغيل اليومية - وليس التدخل - فإن أتمتة SecOps تشكل جزءًا أساسيًا من الاستراتيجية. تتناول هذه المقالة كيفية تطور SecOps للذكاء الاصطناعي، وحالات استخدام الذكاء الاصطناعي في SecOps، وأفضل الممارسات لتطبيق الذكاء الاصطناعي في SecOps.
الجيل القادم من SIEM
Stellar Cyber Next-Generation SIEM، كمكون أساسي ضمن منصة Stellar Cyber Open XDR...
تجربة الأمن المدعوم بالذكاء الاصطناعي في العمل!
اكتشف الذكاء الاصطناعي المتطور من Stellar Cyber للكشف الفوري عن التهديدات والاستجابة لها. جدولة العرض التوضيحي الخاص بك اليوم!
مقدمة إلى AI SecOps
إن SecOps هو نهج اكتسب دعمًا كبيرًا داخل المؤسسات التي تهتم بالأمن. يجب أن تتكيف عمليات SecOps في كل مؤسسة مع التصميم الفريد للمؤسسة للأصول الرقمية والبنية الأساسية والبيانات الحساسة - تمامًا كما تنمو المؤسسة وتتكيف مع تغييرات السوق بمرور الوقت. نظرًا لأن SecOps يدمج تدابير الأمان طوال دورة حياة عمليات تكنولوجيا المعلومات، فإنه يحتاج أيضًا إلى تضمين الأمان في كل مرحلة من مراحل التطوير والعمليات.
ولتحقيق هذه الغاية، يتطلب مركز العمليات الأمنية رؤية مستمرة ومتعمقة للأجهزة والشبكات ونقاط النهاية لجميع المستخدمين تقريبًا ــ وهي كمية هائلة من البيانات. وكان جزء من السبب وراء عزل فرق مركز العمليات الأمنية عن نظرائهم من المطورين وتكنولوجيا المعلومات هو إدارة كل هذه البيانات. وعلى مستوى مستويات المحللين، تطلبت فرق مركز العمليات الأمنية أيضًا عددًا كبيرًا من الأدوات لاستخراجها وتجميعها. وساعدت أدوات إدارة المعلومات الأمنية والأحداث (SIEM)، وجدران الحماية، واكتشاف نقاط النهاية والاستجابة لها (EDR) في معالجة هذه البيانات وتحويلها إلى معلومات ذات مغزى.
الآن أصبح الذكاء الاصطناعي في العمليات الأمنية قادرًا على استيعاب البيانات الأمنية بنفس المعدل الذي يتم إنتاجها به. ونتيجة لذلك، أصبح التعلم الآلي - والذكاء الاصطناعي التوليدي الأحدث - مسؤولاً عن تحويل SecOps إلى عملية مستمرة، مما يسمح للعمليات الأمنية بمواكبة تغييرات تكنولوجيا المعلومات والتطوير. وعلاوة على ذلك، نظرًا لأن المنصات التي تعتمد على الذكاء الاصطناعي توفر خيارات أتمتة أكبر من أي وقت مضى، فإن تطور SecOps يتم دفعه نحو مجموعات تقنية مبسطة، وتعقيد أقل، وعائد استثمار أعلى.
حالات استخدام الذكاء الاصطناعي في SecOps
اكتشاف التهديدات مع عدد أقل من النتائج الإيجابية الكاذبة
تزدهر نماذج الذكاء الاصطناعي من خلال مجموعات البيانات الضخمة: فبفضل الذكاء الاصطناعي، أصبح من الممكن الآن استيعاب الكميات الهائلة من التنبيهات التي كانت في السابق قادرة على إرباك فريق أمني، وربطها ببعضها البعض، واستخدامها للكشف عن آخرين. وهذا يتناقض بشكل صارخ مع النهج التقليدي للكشف عن التهديدات ــ والذي كان يقوم على تكديس أدوات الأمن فوق بعضها البعض.
هذا هو الوضع شركة مالية مقرها الولايات المتحدة لقد وجدت الشركة نفسها في موقف صعب: كان لزاماً على محللي مركز العمليات الأمنية أن يبدأوا كل عملية أمنية من خلال البحث في الكميات الهائلة من البيانات المرفقة بكل تنبيه. ولأن الشركة لديها برامج متعددة لأدوات الأمان، فقد كان لزاماً عليهم أن يحددوا يدوياً نفس التنبيه عبر كل وحدة تحكم وأن يتبعوا كل دليل على حدة لتحديد مدى صحة التنبيه والضرر المحتمل.
ولأن الذكاء الاصطناعي قادر على استيعاب كل البيانات الأولية من السجلات والشبكة والجهاز التي تدخل في مشغل التنبيهات الخاص بالأداة، فإنه قادر بعد ذلك على ربط هذا التنبيه بالإجراءات المقابلة على الشبكة أو الجهاز أو الحساب المعني. والنتيجة هي عدد أقل بكثير من التنبيهات الكاذبة - وفي حالة وقوع حادث أمني حقيقي - يمكن للذكاء الاصطناعي وضع التنبيهات في سياق سلسلة هجوم أوسع.
الاستجابة الآلية للحوادث
تشكل كتيبات التشغيل حجر الأساس لقدرات الاستجابة الآلية - فهي تسمح للفرق الهزيلة مثل تلك الموجودة في قسم تكنولوجيا المعلومات بجامعة زيورخ لتنفيذ قدرات مراقبة واستجابة معينة بسرعة استجابةً لتنبيهات محددة. على سبيل المثال، في حالة وقوع حادث يؤثر على نقاط نهاية القسم، يمكن إخطار مدير تكنولوجيا المعلومات المعني.
يمكن أن تسمح الأتمتة للفرق الهزيلة بتوفير تغطية على مدار الساعة طوال أيام الأسبوع حتى لو لم يكن لديهم القوة البشرية اللازمة لتعيين محللين على أهبة الاستعداد طوال الوقت. يتم توفير الأتمتة من خلال كتيبات التشغيل - والتي تشير بالضبط إلى خطوات الإصلاح التي يجب أن تتخذها أداة الذكاء الاصطناعي استجابة لأنواع معينة من التنبيهات والحوادث.
تنبيهات ذات أولوية واكتشاف التهديدات المدعومة بالذكاء الاصطناعي
نظرًا لأن نماذج الذكاء الاصطناعي يمكن تدريبها على الهجمات التاريخية - ويمكنها الاحتفاظ بفهم محدث لمجموعة الأصول الكاملة للمؤسسة - فهي قادرة على تصنيف التنبيهات وفقًا لنصف قطر الانفجار المحتمل. وهذا يقلل بشكل كبير من العبء الملقى على عمليات SecOps اليدوية التي تتطلب ساعات طويلة وشاقة من العمل لإنشائها.
كان تصنيف التنبيهات يشغل قدرًا كبيرًا من الوقت وقت حكومة المدينة الواحدة - في هذه الحالة، كان من المتوقع أن يقوم كل محلل بتشغيل أداة الأمان الخاصة به. وقد ترك هذا فجوات كبيرة يمكن أن تستغلها ناقلات الهجوم المعقدة. وقد سمح الفرز بمساعدة الذكاء الاصطناعي لهم بتقليل عبء العمل اليدوي المطلوب من كل محلل بشكل كبير، مما يسمح للمحلل بالوصول إلى حقيقة الحادث في غضون 10 دقائق، بدلاً من عدة أيام.
ومع ذلك، فإن معرفة مكان وكيفية تنفيذ الذكاء الاصطناعي في SecOps غالبًا ما تكون العقبة الأولى أمام التنفيذ.
أفضل الممارسات لتطبيق الذكاء الاصطناعي في SecOps
حدد أهدافًا قابلة للقياس لنشر الذكاء الاصطناعي الخاص بك
إن الأهداف الذكية هي التي تحرك العالم – والتركيز على قابلية القياس هو المفتاح لتحديد وتنفيذ أداة الذكاء الاصطناعي الجديدة بنجاح. لاستخراج أفضل عائد استثمار ممكن، من الأفضل أن تبدأ بتحديد عمليات SecOps التي تشغل معظم وقت المحللين لديك.
قد يكون هذا أداة محددة - مثل SIEM - أو مقياسًا أوسع، مثل متوسط الوقت للاستجابة (MTTR). قد يكون خطوة في سير العمل يجب على المحللين أو موظفي تكنولوجيا المعلومات اتباعها بعد وصول التنبيه إلى صندوق الوارد الخاص بهم؛ النقطة المهمة هي تحديد المكون الذي يسبب أكبر تباطؤ على وجه التحديد. ستبني هذه العملية صورة للدور الدقيق الذي ستحتاج إليه أداة الذكاء الاصطناعي: إذا كانت نقطة الألم الرئيسية تدور حول اكتشاف الأصول، فربما لا يكون تكامل جدار الحماية للذكاء الاصطناعي هو الأولوية الأكبر.
ومن الأفضل أيضًا أن نبدأ في جعل هذا جهدًا تعاونيًا. إن إشراك المستويات العليا وصناع القرار التنفيذيين الآخرين أمر حيوي لتحقيق تغيير طويل الأمد، ويمكنهم مساعدة تكنولوجيا المعلومات والأمن في تصور التغييرات التنظيمية المطلوبة.
دمج الذكاء الاصطناعي في أدواتك وسير العمل الحالية
تزدهر تقنيات الذكاء الاصطناعي في البيئات الغنية بالبيانات - لكنها تحتاج إلى القدرة على سحب تلك البيانات من مكان ما. يمكن أن تكون التكاملات المخصصة صعبة وتستغرق وقتًا طويلاً، لذا عند النظر في الحلول القائمة على الذكاء الاصطناعي، قم بتقييم قدرتها على التكامل مع أدواتك الحالية. من النادر للغاية أن تضطر أي منظمة إلى البدء من الصفر. في بعض الأحيان، إذا كان نظام SIEM أو EDR أو جدار الحماية الخاص بك يعمل بشكل جيد بالفعل - وكانت التباطؤات تأتي من الموارد المحدودة للمحللين - فمن الأفضل استكمال نظام SIEM الخاص بك بالذكاء الاصطناعي، بدلاً من إجراء استبدال.
في هذا السياق، لا تنسَ أن الذكاء الاصطناعي يتطلب قدرًا كبيرًا من بيانات الأمان. فإذا كنت تقوم ببناء مجموعة بيانات من الصفر، فستحتاج إلى الاستثمار في بناء بنية تحتية قوية ومرنة للبيانات، إلى جانب بروتوكولات حوكمة صارمة. وتتطلب البنية التحتية القوية تنفيذ حلول تخزين آمنة، وتحسين قدرات معالجة البيانات، وإنشاء أنظمة نقل بيانات فعّالة لدعم اكتشاف التهديدات والاستجابة لها في الوقت الفعلي. من ناحية أخرى، يدير منتج تابع لجهة خارجية كل هذه البيانات نيابةً عنك - ولكن تأكد من أنك تثق في المزود.
ضبط فريق SecOps لاستخدام نظام مدفوع بالذكاء الاصطناعي
في حين أن أداة الذكاء الاصطناعي تحتاج إلى أن تكون مرنة، إلا أنها يجب أن تجري بعض التغييرات على العمل اليومي للمحللين - وهذا هو سبب وجودها. تحتاج الفرق المتأثرة إلى معرفة التغييرات التي ستترتب على ذلك، وكيف ينبغي أن تبدو سير العمل الخاصة بهم. ولأن SecOps تتطلب بالفعل تدريبًا شاملاً على العمليات الأمنية، فيجب أن يكونوا على دراية بالفعل بأطر السياسات والإجراءات. وعلى نفس النحو، يحتاج تحديث الذكاء الاصطناعي إلى تقسيم العمليات إلى إجراءات قابلة للقياس وإرشادات واضحة.
وبناءً على ذلك، ضع في اعتبارك مجموعات المهارات والخبرة التي يتمتع بها أعضاء SecOps الحاليون - إذا كان هناك بعض أعضاء الفريق الجدد الذين ما زالوا يكتسبون خبراتهم، ففكر في اختيار أدوات الذكاء الاصطناعي التي يسهل الوصول إليها والتي تقودهم خلال الإجراءات الآلية أو عمليات التنبيه التي قاموا بها. وهذا يسمح لهم ببناء ثقتهم بأنفسهم عند التعامل مع التهديدات. كما تعمل الشفافية على بناء المزيد من الثقة بين الفريق البشري ومحرك تحليل الذكاء الاصطناعي، مع السماح أيضًا بضبط حكم الذكاء الاصطناعي بمرور الوقت.
بناء كتيبات اللعب
تشكل أدلة التشغيل الأساس لتنفيذ أمان الذكاء الاصطناعي، وعلى الرغم من أن أداة الذكاء الاصطناعي قد تأتي مع بعض الأدلة التشغيلية المعدة مسبقًا، فمن الأفضل أن تقوم ببناء أو تعديل أدلة التشغيل الخاصة بك، وفقًا لحالة الاستخدام المحددة التي تحتاجها.
على سبيل المثال، إذا كان الفريق يتعامل مع العديد من الاتصالات الخارجية عبر البريد الإلكتروني، فمن المهم بناء بعض كتيبات اللعب للتعامل بشكل خاص مع تهديد التصيد عبر البريد الإلكتروني. في هذه الحالة، تكتشف منصة الذكاء الاصطناعي المركزية القواعد النحوية أو البيانات الوصفية المشبوهة لرسالة التصيد عبر البريد الإلكتروني، مما يؤدي بعد ذلك إلى تشغيل كتيب اللعب المرتبط بها. في هذه الحالة، يعزل كتيب اللعب البريد الإلكتروني تلقائيًا - أو نقطة النهاية نفسها إذا كان هناك دليل على الاختراق - ثم يؤدي إلى إعادة تعيين كلمة المرور. يتم إرسال رسالة إلى مسؤول الأمان المقابل، الذي يتلقى كل هذه المعلومات مجمعة في تنبيه واحد. تعتمد كتيبات اللعب التي يحتاجها نموذج الذكاء الاصطناعي الخاص بك على إعدادات ومسؤوليات مؤسستك.
بشكل جماعي، تضمن أفضل ممارسات SecOps المدعومة بالذكاء الاصطناعي انتقالًا سلسًا إلى SecOps المدعومة بالذكاء الاصطناعي، مع توفير أقصى عائد على الاستثمار.
كيف تعمل Stellar Cyber على تعزيز عمليات أمن الذكاء الاصطناعي
الكشف التلقائي عن الحوادث
تتخلص Stellar Cyber من الاعتماد على الكشف اليدوي عن التهديدات وتحديد التهديدات المستندة إلى القواعد من خلال طبقات متعددة من الذكاء الاصطناعي.
يركز أول هذه الذكاء الاصطناعي على الكشف: حيث يقوم فريق البحث الأمني في Stellar Cyber بإنشاء وتدريب نماذج خاضعة للإشراف باستخدام مزيج من مجموعات البيانات المتاحة للجمهور والمولدة داخليًا. يمكن اكتشاف التهديدات غير المعروفة والهجمات التي لم يتم اكتشافها من خلال نماذج التعلم الآلي غير الخاضعة للإشراف المتوازية. تنشئ هذه النماذج خط أساس لسلوك الشبكة والمستخدم على مدار عدة أسابيع. بمجرد استيعاب إشارات البيانات، يقوم الذكاء الاصطناعي القائم على GraphML بربط الاكتشافات وإشارات البيانات الأخرى، وربط نقاط البيانات ذات الصلة تلقائيًا لمساعدة المحللين. كما يقوم بتقييم قوة الاتصال بين الأحداث المختلفة من خلال تحليل الخصائص والتوقيت وأنماط السلوك.
تعتمد أشكال أخرى من الذكاء الاصطناعي على قدرات الاكتشاف الأساسية هذه. فهي توفر المزيد من إمكانيات الوصول والاستجابة للمؤسسات التي تعمل بنظام Stellar Cyber.
جعل SecOps في متناول الجميع
يتم تمثيل جميع بيانات الأمان في الوقت الفعلي للمؤسسة في تنسيقين رئيسيين: الأول في سلسلة القتل الموجودة على لوحة المعلومات، والثاني عبر Copilot.
تعمل لوحة معلومات XDR Kill Chain كصفحة رئيسية افتراضية لـ Stellar Cyber، حيث تقدم عرضًا مركزيًا للمخاطر الإجمالية والتهديدات المكتشفة. كما تتيح إجراء تقييمات سريعة من خلال توفير تفاصيل حول الحوادث النشطة والأصول عالية المخاطر وتكتيكات الهجوم. يساعد هذا النهج المبسط فرق الأمن على تحديد أولويات القضايا الحرجة، بغض النظر عن نقاط التركيز الفردية التي يمكن بعد ذلك التعمق فيها بشكل أكبر.
من ناحية أخرى، يعد Copilot AI أداة تحقيق تعتمد على درجة الماجستير في القانون وتعمل على تسريع مشاريع تحليل التهديدات الخاصة بالمحللين من خلال توفير ردود فورية على الاستفسارات. وهذا يجعله مثاليًا لاسترجاع البيانات وشرحها بسرعة، مما يدمج الأداة بشكل أكبر في مشاريع SecOps.
الرؤية الشاملة للسطح
يقوم Stellar cyber باستيعاب السجلات وبيانات الأمان عبر أنواع متعددة من أجهزة الاستشعار. تجمع أجهزة استشعار الشبكة والأمان البيانات الوصفية من المفاتيح المادية والافتراضية أثناء تجميع السجلات لتحقيق رؤية شاملة. يقوم فحص الحزم العميق (DPI) بتحليل الحمولات بسرعة. من ناحية أخرى، تتمكن أجهزة استشعار الخادم من جمع البيانات من خوادم Linux وWindows، والتقاط حركة مرور الشبكة والأوامر والعمليات والملفات ونشاط التطبيق. توقع التوافق الكامل من Windows 98 وما بعده، وتوزيعات Linux مثل Ubuntu وCoreOS وDebian.
توجد المنصة في أي مكان تكون فيه الرؤية مطلوبة: سواء كانت قائمة على السحابة أو مختلطة أو محلية بالكامل - أو قائمة على المستأجر - تقوم Stellar Cyber بدمج البيانات من أي مكان.
الاستجابة المتقدمة للذكاء الاصطناعي
تعمل قدرات الاستجابة التي توفرها Stellar Cyber على توسيع تكامل الأداة مع أدوات الأمان الموجودة: ولكن بدلاً من مجرد استيعاب البيانات، يمكن لـ Stellar اتخاذ إجراءات تلقائيًا عبر نفس الأدوات.
نظرًا لأن Stellar يركز على التنفيذ السريع، فإنه يأتي مزودًا بـ 40 دليلًا جاهزًا لصيد التهديدات تغطي سطح الهجوم بالكامل - مثل حالات فشل تسجيل الدخول إلى Windows وتحليل DNS وMicrosoft 365. وهذا يجعل اكتشاف التهديدات والاستجابة لها أكثر سهولة، حتى بالنسبة للفرق التي لا تتمتع بخبرة أمنية عميقة.
يتكامل Stellar Cyber بسلاسة مع جدران الحماية وأمان نقاط النهاية وأدوات إدارة الهوية والوصول وأنظمة التذاكر وتطبيقات المراسلة لتوسيع نطاق عمليات الأمان. وللحصول على احتياجات تنسيق أكثر تقدمًا، فإنه يدعم التكامل مع منصات SOAR الرائدة للاستجابة للتهديدات بشكل مبسط وفعال. تتمتع الشركات التي تعمل بنظام Stellar Cyber بالتحكم الدقيق في المحفزات والشروط ومخرجات كل دليل تشغيل - مما يسمح لها باتباع أفضل ممارسات SecOps عن كثب وبشكل أنيق. يمكن نشر أدلة التشغيل عالميًا أو على أساس كل مستأجر.
استكشف Stellar Cyber AI SecOps
منصة Stellar Cyber يبسط تبني الذكاء الاصطناعي في SecOps من خلال التركيز على التنفيذ السريع. فهو يمكّن المؤسسات من تحقيق عمليات أمنية أكثر فعالية وكفاءة دون عملية تنفيذ طويلة أو محظورة من قبل البائعين. تتوفر إمكانيات الأتمتة الخاصة به جاهزة للاستخدام - لاستكشاف بيئة Stellar Cyber وقدراتها، جدولة عرض.
