- كيف تعمل الذكاء الاصطناعي والأتمتة على تعزيز رحلة مراكز العمليات الأمنية المستقلة
- الفوائد الرئيسية في المراحل المختلفة لأتمتة مركز العمليات الأمنية
- تحديات SOC على طول الرحلة
- كيف تعمل Stellar Cyber على إزالة الحواجز أمام مراكز العمليات الأمنية المستقلة
- عزز كفاءة مركز العمليات الأمنية الخاص بك مع Stellar Cyber
مركز العمليات الأمنية المستقل: توجيه الرحلة نحو عمليات أمنية أكثر ذكاءً
- الوجبات الرئيسية:
-
ما الذي يحله نظام العمليات الأمنية المستقل (SOC)؟
ويتناول التحديات الحرجة في العمليات الأمنية مثل التعب الناجم عن التنبيه، والرؤية المجزأة، والموظفين ذوي المهارات المحدودة. -
ما هي القدرات الأساسية لـ Autonomous SOC؟
إنه يدمج الكشف والتحقيق والاستجابة الآلية باستخدام الذكاء الاصطناعي والتحليلات السلوكية. -
كيف يؤثر مركز العمليات الأمنية المستقل على وقت الاستجابة؟
يقلل بشكل كبير من متوسط الوقت اللازم للكشف (MTTD) والاستجابة (MTTR)، مما يحسن الكفاءة التشغيلية. -
ما هي أنواع الأدوات الموحدة في مركز العمليات الأمنية المستقل؟
تعمل أنظمة SIEM وSOAR وUEBA وNDR وأنظمة استخبارات التهديدات معًا في حل واحد متكامل. -
من يستفيد أكثر من مركز العمليات الأمنية المستقل؟
تحتاج المؤسسات ذات الموارد المحدودة ومقدمي خدمات الأمن المدارة إلى عمليات أمنية عالية الكفاءة ومنخفضة الاحتكاك. -
كيف يدعم Stellar Cyber نظام العمليات الأمنية المستقل؟
تربط منصة Open XDR الخاصة بها أكثر من 300 أداة، وتعمل على توحيد الرؤية والأتمتة عبر البنية التحتية.
إن مركز العمليات الأمنية المستقل (SOC) موجود بالفعل: ومع عمل المنظمات المختلفة على زيادة نضج مركز العمليات الأمنية وكفاءة الفريق، إلا أن الخطوة التالية نحو كفاءة الذكاء الاصطناعي الأكثر صرامة قد يكون من الصعب تحديدها، ومن الصعب الثقة بها.
تسلط هذه المقالة الضوء على المراحل الرئيسية لنضج أتمتة مراكز العمليات الأمنية، والتحديات التي تواجهها على طول الطريق، والشراكة المشتركة التي يحتاج محللو الذكاء الاصطناعي ومركز العمليات الأمنية إلى تشكيلها لتمهيد الطريق لعمليات أمنية مستقلة حقًا.
الجيل القادم من SIEM
Stellar Cyber Next-Generation SIEM، كمكون أساسي ضمن منصة Stellar Cyber Open XDR...
تجربة الأمن المدعوم بالذكاء الاصطناعي في العمل!
اكتشف الذكاء الاصطناعي المتطور من Stellar Cyber للكشف الفوري عن التهديدات والاستجابة لها. جدولة العرض التوضيحي الخاص بك اليوم!
كيف تعمل الذكاء الاصطناعي والأتمتة على تعزيز رحلة مراكز العمليات الأمنية المستقلة
يُعد مركز العمليات الأمنية القلب النابض للأمن السيبراني في المؤسسات: عبر العديد من مستويات المستجيبين للحوادث والمديرين، يكتشف مركز العمليات الأمنية الأحداث المتعلقة بالأمن السيبراني ويحللها ويستجيب لها من خلال الاستفادة من مجموعة من الموظفين المهرة والعمليات المحددة جيدًا والتقنيات المتقدمة.
تواجه فرق الأمن الحديثة مجموعة متزايدة من التحديات؛ تتراوح هذه التحديات من الهجمات الإلكترونية المتطورة بشكل متزايد، إلى الكم الهائل من التنبيهات التي تغطي أسطح الهجوم المتزايدة باستمرار. وإذا جمعنا هذه التحديات معًا، فإن التأثير الواقعي يبدأ في تآكل كفاءة المتخصصين في الأمن السيبراني، وزيادة ساعات عملهم بشكل كبير.
والنتيجة هي نقص مستمر في المواهب. وتجعل هذه العوامل من الصعب أكثر من أي وقت مضى على فرق مراكز العمليات الأمنية فرز التهديدات والتحقيق فيها والاستجابة لها بشكل فعال. ونتيجة لهذا، غالبًا ما يتم تهميش المهام الحرجة مثل إدارة الموقف الاستباقي ومطاردة التهديدات، لأنها تتطلب وقتًا كبيرًا وخبرة متخصصة ودعمًا ماليًا كبيرًا. وفي هذه البيئة، أصبح مركز العمليات الأمنية الذي يعتمد على الذكاء الاصطناعي معلمًا بارزًا متزايد الشعبية.
مع تقدم المؤسسات في رحلة مركز العمليات الأمنية المستقل، تنمو قدراتها على اكتشاف التهديدات. يمكن لمحركات الذكاء الاصطناعي تحليل السجلات وسلوك الأجهزة المرتبطة بالتنبيهات أحادية البعد سابقًا، ويمكن تحديد أولويات سير عمل المحللين بوضوح أكبر، ويمكن توسيع نطاق العمليات الأمنية إلى قدرات أكبر بكثير من أي وقت مضى. في ذروة نموذج نضج مركز العمليات الأمنية، تتمكن المؤسسات من الاستفادة من قدرات الرؤية والاستجابة التي تتجاوز بكثير عدد موظفي فريقها.
الفوائد الرئيسية في المراحل المختلفة لأتمتة مركز العمليات الأمنية
#1. دليل SOC
لا يوجد اليوم الكثير من مراكز العمليات الأمنية التي تعتمد بشكل كامل على العمليات اليدوية: فقد دفع انتشار أدوات الأمان الأكثر تقدمًا متوسط مراكز العمليات الأمنية إلى التعمق أكثر في خط أنابيب الأتمتة. ومع ذلك، قد يظل هذا الاعتماد على التدخل اليدوي قائمًا في بعض عمليات الأمان مثل إدارة التصحيحات ومطاردة التهديدات. إنه يستغرق وقتًا طويلاً للغاية، ويعتمد على أعداد كبيرة من الموظفين لإنجاز سير العمل المتطلبة.
#2. SOC المستندة إلى القواعد
#3. مركز العمليات الأمنية الموحد بالذكاء الاصطناعي
تطور قدرات الذكاء الاصطناعي الموحدة كتيبات التشغيل إلى كتيبات تشغيل أو سير عمل آلية. تضيف مراكز العمليات الأمنية الموحدة بالذكاء الاصطناعي طبقة إضافية من التحليل على كل ارتباط السجل الذي يحدث في المرحلة 2. يبدأ هذا في تحويله من ارتباط السجل إلى ارتباط التنبيهات - مما يلغي بعض الوقت الذي يستغرقه تجميع التنبيهات عادةً
المتطلبات، وبالتالي السماح للفريق بالاستجابة لمؤشرات المخاطر الحقيقية بشكل أسرع.
SOAR هي أداة شائعة الاستخدام في مراكز العمليات الأمنية الموحدة بالذكاء الاصطناعي: فهي تمنح مركز العمليات الأمنية وحدة تحكم تتضمن النشاط في الوقت الفعلي لبرامج الأمان المجزأة في المؤسسة، مثل SIEM وEDR وجدران الحماية. هذا التعاون ليس مرئيًا فقط: لكي يكون موحدًا بالذكاء الاصطناعي، يقوم SOAR تلقائيًا بربط التنبيهات والبيانات التي تتم مشاركتها بين هذه الأدوات المختلفة. وهي قادرة على الاستفادة من واجهات برمجة التطبيقات (APIs) لنقل البيانات بين المصادر ذات الصلة.
ومن خلال كل هذه البيانات، تتمكن منصة SOAR من استيعاب تنبيه من أداة واحدة - مثل حل اكتشاف واستجابة نقطة النهاية (EDR) - والبدء في ربط نتائج أدوات أخرى. على سبيل المثال، ربما حدد حل EDR تطبيقًا غير عادي في الخلفية يعمل على جهاز. ويمكن لـ SOAR مقارنة التطبيق المعني بالسجلات ذات الصلة ضمن أدوات أخرى، مثل موجزات معلومات التهديدات وجدران الحماية. ثم تسمح هذه البيانات الإضافية لمحرك تحليل SOAR بتقييم شرعية تنبيه EDR.
لاحظ أن SOAR في حد ذاته ليس ذكاء اصطناعيًا كاملاً: فهو لا يزال يعتمد على مساحات شاسعة من أدلة التشغيل للاستجابة. يتطلب تطوير أدلة التشغيل SOAR هذه فهمًا شاملاً لكل عملية أمنية، وما قد تبدو عليه التهديدات المحتملة. يتم بناء كل دليل تشغيل من خلال تحديد المهام المتكررة، ثم وضع مقاييس واضحة لتقييم أداء دليل التشغيل، مثل أوقات الاستجابة ومعدل الإيجابيات الخاطئة. هذا يوفر الكثير من الوقت في عملية الاستجابة للحوادث - بمجرد تشغيلها بالكامل.
#4. نظام العمليات البشرية المعزز بالذكاء الاصطناعي
تشهد هذه المرحلة نمو قدرات الأتمتة من ربط التنبيهات إلى الفرز التلقائي الجزئي. الفرز هو العملية التي يتم من خلالها الاستجابة للتنبيهات - وحتى هذه المرحلة، تم تحديد جميع خطوات الفرز يدويًا. بدلاً من تشغيل كتيبات التشغيل المحددة، يستفيد مركز العمليات الأمنية المعزز بالذكاء الاصطناعي من التحقيق في كل تنبيه كنقطة بيانات فردية؛ وتجمع استجابتهم للحوادث بين الاقتراحات الآلية ومدخلات المحلل.
يتم تحديد المتطلبات المحددة لكل عملية تحقيق من خلال البيانات التي تم تحليلها من قبل المنظمة: مع وجود خط أساس للوصول إلى الشبكة ومشاركة البيانات وسلوك نقطة النهاية، فإن الذكاء الاصطناعي قادر على اكتشاف الانحرافات عن هذه القاعدة - جنبًا إلى جنب مع مراقبة مؤشرات الخطر المعروفة التي تتطابق مع قواعد بيانات استخبارات التهديدات المتصلة. ومع ذلك، فإن الأهم في هذه المرحلة هو الاستجابات المتخذة: بمجرد ربط التنبيه بمسار هجوم حقيقي، يتمكن محرك الذكاء الاصطناعي من الاستجابة من خلال أدوات الأمان لقطع اتصال المهاجم. طوال هذه العملية، ينتج ويعطي الأولوية للتنبيهات والتدفقات إلى المستوى الصحيح من المتخصصين في مركز العمليات الأمنية. إنه يربط كل تنبيه بملخصات ونتائج متسقة وموثقة جيدًا تعمل على تسريع المكون البشري بسرعة.
تتضمن الأدوات اللازمة لتحقيق هذه المرحلة والمرحلة النهائية من الأتمتة ما يلي: منصة SecOps الآلية من Stellar Cyber: يمنح خبراء مركز العمليات الأمنية البشريين القدرة على أتمتة الفرز بسرعة، مع الاحتفاظ بالمحللين البشريين كصناع القرار النهائيين بشأن الإصلاح. لدعم هذا، يتم توفير هذه القدرات والمعلومات الأساسية من خلال منصة مركزية.
#5. نظام SOC للذكاء الاصطناعي المعزز بالإنسان
المرحلة النهائية من دمج AI-SOC، تشهد هذه المرحلة انتشار قدرات الذكاء الاصطناعي من اكتشاف الحوادث والاستجابة لها لتشمل مجالات أوسع وأكثر تخصصًا.
على سبيل المثال، تعد التحقيقات الجنائية التفصيلية أحد المجالات التي يمكن أن تتفوق فيها مراكز العمليات الأمنية التي يقودها الذكاء الاصطناعي على نظيراتها التي يقودها البشر. بدءًا من حادث أمني معروف، يمكن لمحرك الذكاء الاصطناعي المركزي استخراج مؤشرات الأمان ذات الصلة وإعادة تجميعها في سلاسل هجوم محتملة - من الاختراق الأولي، عبر الحركة الجانبية، وأخيرًا إلى نشر البرامج الضارة أو تسريب البيانات. يمكن أن تظل مؤشرات الأمان هذه داخلية، أو تُستخدم لإثراء قدرات الكشف في مركز مركزي لتبادل المعلومات والتحليل (ISACs). إلى جانب تحديد أساليب المهاجمين وأهدافهم النهائية، يمكن أن يسمح هذا التركيز على المعرفة المشتركة أيضًا لمركز العمليات الأمنية الذي يقوده الذكاء الاصطناعي بتحديد الجناة المحتملين للهجوم، خاصة إذا كانت تكتيكاتهم وتقنياتهم تتوافق مع تكتيكات وتقنيات المجموعات المعروفة.
في هذه المرحلة، يمكن أن تستفيد اتصالات الحوادث أيضًا: يسمح نمو نماذج اللغة الكبيرة المتخصصة لقادة مركز العمليات الأمنية بالتواصل بسرعة بشأن القضية الأساسية المطروحة، حيث تعمل منصة مركز العمليات الأمنية المركزية المستقلة على تكثيف الهجوم المعقد للغاية في لغة أكثر سهولة في الوصول إليها. هذه هي الطريقة التي يوفر بها الذكاء الاصطناعي Copilot من Stellar المساعدة طوال التحقيقات المعقدة. كما تسمح نماذج اللغة الكبيرة المتكاملة للمؤسسات بإبلاغ العملاء المتأثرين بسرعة أيضًا - وتسمح لمحللي مركز العمليات الأمنية بالتركيز على الإصلاح الموجه بالذكاء الاصطناعي.
بصرف النظر عن التحليلات الجنائية، يمكن للأتمتة الكاملة لمركز العمليات الأمنية تحديد الثغرات في ضوابط الأمان الحالية بشكل استباقي وتلقائي. يمكن أن يكون هذا من خلال الكشف التلقائي الكامل عن التهديدات؛ وتصحيح نقاط الضعف في جدار الحماية التي تم اكتشافها أثناء حماية الملفات؛ أو التكامل مع خط أنابيب CI/CD لمنع نشر التعليمات البرمجية المعرضة للخطر داخليًا في المقام الأول.
تحديات SOC على طول الرحلة
تكامل البيانات
قد يكون ربط أدوات وأنظمة مختلفة بمنصة موحدة أحد العقبات الأولى التي تواجه أتمتة مراكز العمليات الأمنية. ولا يقتصر الأمر على مشاركة البيانات بين أدوات مختلفة؛ إذ يحتاج مركز العمليات الأمنية المستقل إلى بنية أمان قابلة للتوسع - بنية يمكنها التكامل بسلاسة مع مجموعة الأمان الكاملة واستيعاب البيانات وتوحيدها وتحويلها بأي تنسيق.
في الوقت نفسه، لا يتعين فقط على جميع بيانات الأمان والجهاز والشبكة الوصول إلى محرك الذكاء الاصطناعي المركزي: بل يتعين أيضًا دعم محاولات الإصلاح والتحقيق الخاصة بالمحللين، مما يجعل وجود منصة مركزية وواجهة مستخدم متعددة الأدوات ضرورة.
المقاومة الثقافية
قد يتطلب التكيف مع الأتمتة تحولات كبيرة في سير عمل الفريق. إذا كان مركز العمليات الأمنية على دراية بالصيانة اليدوية لجدار الحماية الخاص به وقواعد SIEM، فقد يقاوم التغييرات التي يفرضها الأتمتة. هذا هو السبب في أن العملية التدريجية غالبًا ما تكون الأفضل - فالقفز من المرحلة 1 إلى المرحلة 5 في غضون عام من المرجح أن يمثل اضطرابًا كبيرًا.
هناك أيضًا درجة من الخوف يجب التعامل معها: نظرًا لأن الأتمتة يمكنها الآن تكرار جميع مستويات مهارات محللي مراكز العمليات الأمنية الثلاثة، فهناك مخاوف مبررة من أن المدخلات البشرية لن تعتبر ضرورية بعد الآن. والحقيقة بعيدة كل البعد عن هذا: فريق مراكز العمليات الأمنية البشري هو أفضل مصدر لفهم العالم الحقيقي واستخبارات بنية المنظمة ونقاط ضعفها. يجب أن تقود تحدياتهم الحالية تكامل الأمن المدفوع بالذكاء الاصطناعي داخل أي مركز عمليات أمنية؛ سيظل دعمهم أمرًا بالغ الأهمية حتى في الإعدادات المتطورة بالكامل، لأنهم على رأس عملية اتخاذ القرارات التصحيحية والأخلاقية للذكاء الاصطناعي.
قيود المهارة والميزانية
عند تنفيذ الذكاء الاصطناعي، من الضروري الاستعانة بخبرات متخصصة في مجالات الذكاء الاصطناعي والأتمتة واكتشاف التهديدات المتقدمة. ومع ذلك، قد يكون من الصعب العثور على هذا المزيج المحدد من مجموعات المهارات - ناهيك عن أنه مكلف للغاية. حتى أحدث محللي SecOps يمكن أن يكلفوا 50 ألف دولار سنويًا، والمتخصصون المدربون بشكل مناسب والذين يركزون على الذكاء الاصطناعي أغلى بكثير. يرتبط هذا بشكل وثيق بتحدي آخر: الميزانية.
كانت مراكز العمليات الأمنية تقتصر في الماضي على الشركات ذات معدل دوران العمالة الأعلى؛ وكانت المنظمات الأصغر حجمًا تعتمد على مقدمي خدمات الأمن المدارة للمساعدة في موازنة تكلفة الأمن السيبراني مع خطر الهجوم. وهذا يعني أن التكلفة لا تزال واحدة من أكبر العقبات التي تحول دون تنفيذ الذكاء الاصطناعي، وخاصة بالنظر إلى الوقت والمال الذي يمكن أن تستمر فيه العمليات اليدوية.
كيف تعمل Stellar Cyber على إزالة الحواجز أمام مراكز العمليات الأمنية المستقلة
منصة مفتوحة وموحدة
تتطلب الأمان الذي يعتمد على الذكاء الاصطناعي وصولاً مستمراً إلى البيانات. ويغلق بعض المزودين هذا الوصول خلف درجات من أدواتهم الخاصة. ومن ناحية أخرى، تضع Stellar Cyber التكامل المفتوح هو جوهر فلسفة الأداة. تسمح البنية التي تعتمد على واجهة برمجة التطبيقات لـ Stellar Cyber باستيعاب البيانات من أي مصدر وأداة أمان - كما تسمح لمحرك الذكاء الاصطناعي بإصلاح الحوادث عبر نفس الاتصالات ثنائية الاتجاه.
يتم بعد ذلك توحيد النطاق الكامل لبيئة أمان المؤسسة في منصة واحدة. وهذا يضع جميع عمليات مركز العمليات الأمنية للذكاء الاصطناعي في متناول المحللين المقابلين لها. فهو يجمع بين إجراءات التحليل والإصلاح التي تقدمها SIEM وNDR وXDR - مما يبسط بشكل أكبر مجموعة أدوات التكنولوجيا الخاصة بمركز العمليات الأمنية. ونظرًا لأن Stellar يمكنها تضمين مجموعة من الأطر المختلفة في هذا النطاق الواسع من قدرات الاستجابة، فإن لوحة المعلومات تعمل أيضًا على تفصيل الخطوات التي تدخل في كل استجابة آلية.
الذكاء الاصطناعي متعدد الطبقات
كشف الذكاء الاصطناعي
الارتباط الذكاء الاصطناعي
استجابة الذكاء الاصطناعي
تعدد المستأجرين لمقدمي خدمات الإدارة المُدارة
تدعم Stellar Cyber هذا من خلال تقديم قدراتها عبر مستأجرين متعددين مع الحفاظ على فصل البيانات. يعد منع هذا الاختلاط أمرًا بالغ الأهمية لضمان أمان الواجهة الخلفية، مع الاستمرار في منح المحللين المدربين تدريبًا عاليًا الأدوات والرؤية لمنصة Stellar Cyber.
قابلية التوسع للفرق الهزيلة
سواء كان ذلك داخل MSSP أو في المؤسسة نفسها، فمن الضروري لتمكين الذكاء الاصطناعي التركيز على عمليات أمنية فعالة من حيث التكلفة وقابلة للتطوير. يسمح Stellar Cyber للفرق الهزيلة بتحقيق نفس درجة الحماية التي تحققها الفرق اليدوية الأكبر حجمًا، وذلك بفضل مكونيه الأساسيين: البحث الآلي عن التهديدات، واتخاذ القرارات التي يمكن الوصول إليها.
أثناء جمع وتحليل البيانات في الوقت الفعلي داخل المؤسسة، تقوم Stellar Cyber بجمع كل حالات الإهمال الأمني المحتملة في مكتبة البحث عن التهديدات الخاصة بها. تُظهر هذه النظرة العامة أنواع التنبيهات المختلفة وعدد كل منها التي تم اكتشافها. يمكن ربط هذه التنبيهات يدويًا بالحالات الجارية أو التعامل معها بشكل فردي. للحصول على رؤية مختلفة، تقوم عملية تحليل الأصول في Stellar Cyber بفرز الأصول الأكثر عرضة للخطر بسرعة، إلى جانب مواقعها والحالات المرتبطة بها، مما يوفر للمحللين صورة ذات دقة أعلى لكل عيب محتمل.
لا ينبغي أن يتم إنشاء مركز عمليات أمنية آلي على حساب الفريق. تقوم Stellar Cyber بترجمة كل قرار آلي وفقًا للإطار المقابل الذي تستخدمه للوصول إلى هناك. على سبيل المثال، لا تتوافق مع MITRE فحسب - بل إنها تشارك أيضًا كيفية توافق كل قرار فرز مع هذا الإطار. وهذا يحافظ على إمكانية الوصول إلى عملية الفرز حتى عند التعامل مع الهجمات المعقدة.
عزز كفاءة مركز العمليات الأمنية الخاص بك مع Stellar Cyber
إن نتيجة تمكين الذكاء الاصطناعي من Stellar Cyber هي منصة يمكن الوصول إليها وتعزز ثقة محلل مركز العمليات الأمنية في عملياته الخاصة - مما يرفع من قدرات الإنسان والذكاء الاصطناعي. هذا النهج الذي يضع الإنسان في المقام الأول هو أيضًا السبب وراء تسعير Stellar Cyber لمنصتها على ترخيص واحد. يتضمن هذا جميع قدرات SecOps المفتوحة - المصممة خصيصًا لتعزيز كفاءة خبرة كل عضو في مركز العمليات الأمنية. لاستكشاف Stellar Cyber بنفسك، جدولة عرض مع أحد أعضاء فريقنا ذوي الخبرة.
