في عصرٍ تُحدث فيه تقنيات الذكاء الاصطناعي ثورةً في جميع القطاعات، بما في ذلك مجال الأمن السيبراني، لم يعد إتقان الذكاء الاصطناعي خيارًا، بل أصبح ضرورةً حتمية. وكما يقول المثل: "لن يحل الذكاء الاصطناعي محلك، ولكن من يستخدمه سيحل محلك". في شركة ستيلار سايبر، تبنينا هذه الفلسفة، ودمجنا الذكاء الاصطناعي في كل جانب من جوانب مركز عمليات الأمن لدينا.SOC) حلول لزيادة فعالية اكتشاف التهديدات، والكفاءة التشغيلية، وتجربة المستخدم إلى أقصى حد.
تعظيم فعالية اكتشاف التهديدات
منذ تأسيسنا في عام 2015، كنا في طليعة تبني الذكاء الاصطناعي في عمليات الأمن السيبراني. لطالما كانت مهمتنا هي جعل الكشف والاستجابة متاحين للجميع مع ضمان إمكانية استخدام جميع البيانات، بغض النظر عن مصدرها، في الوقت الفعلي. وقد تجسدت هذه الرؤية فيما يُعرف اليوم باسم الكشف والاستجابة المفتوحة والموسعة (Open XDR). ملكنا Open XDR يستوعب الحل بيانات الأمان من أي مصدر، مما يضمن رؤية شاملة ويُمكّن من اكتشاف التهديدات بفعالية. من خلال الاستفادة من التعلم الآلي غير الخاضع للإشراف، نُحسّن نماذج الكشف لدينا لتحديد أنماط السلوك المعقدة والشذوذات التي قد تغفلها الطرق التقليدية. كما نستخدم التعلم الآلي الخاضع للإشراف لاكتشاف التهديدات ذات الأنماط المعروفة، مثل خوارزميات توليد المجال (DGA). تُعدّ عمليات الكشف هذه القائمة على التعلم الآلي بالغة الأهمية في مشهد التهديدات الحالي، حيث أصبحت الهجمات المعقدة متعددة المراحل أكثر شيوعًا.
تعزيز الكفاءة التشغيلية باستخدام الارتباط وGraphML والإدارة المرتكزة على الحالة
في شركة ستيلار سايبر، نُعظّم الكفاءة التشغيلية باستخدام تقنية التعلّم الآلي للرسوم البيانية (GraphML) لرفع مستوى العمليات الأمنية من خلال ربط التنبيهات بشكل متطور. ويؤدي هذا النهج إلى تقليل كبير في التشويش، وتوحيد الحالات، وتمكين SOC يُمكّن هذا المحللين من التعامل مع المعلومات المُثرية بدلاً من غمرهم بالتنبيهات الفردية. وينتج عن ذلك تحسن كبير في كيفية تحديد المحللين لأولويات التهديدات والتحقيق فيها ومعالجتها.
استخدام التشابه والارتباط
تتميز GraphML بقدرتها على التعرف على أوجه التشابه والارتباط بين الكيانات المختلفة داخل شبكتك. ومن خلال رسم خريطة للعلاقات بين نقاط البيانات، تساعد GraphML في اكتشاف الأنماط التي قد تمر دون أن يلاحظها أحد. على سبيل المثال، يمكنها ربط:
- كيانات المستخدم: مثل معرفات الجلسة، ومعرفات الأمان (SID)، وأسماء المستخدمين الرئيسيين (UPNs)، والتي يمكن ربطها معًا للكشف عن سلوك المستخدم المشبوه.
- كيانات الجهاز: بما في ذلك معرفات الأجهزة وأسماء الملفات والمجلدات ومفاتيح التسجيل. يتيح ربط النشاط عبر الأجهزة اكتشاف الأنشطة الضارة المعقدة التي تمتد عبر نقاط نهاية متعددة.
- كيانات البريد الإلكتروني: مثل عناوين المرسل والمستلم، وعناوين المواقع الإلكترونية، والمرفقات. من خلال ربط حركة البريد الإلكتروني، SOC يستطيع المحللون اكتشاف محاولات التصيد الاحتيالي أو الهجمات القائمة على البريد الإلكتروني.
- الكيانات العامة: مثل عناوين IP وموارد السحابة ومعرفات التطبيقات. يساعد ربط نقاط البيانات هذه في الكشف عن الهجمات المنسقة التي تخترق الشبكات وبيئات السحابة.
يُسهم تحليل التشابه هذا في ربط البيانات بشكل ذكي ودقيق. بدلاً من قصف البيانات SOC يقوم نظامنا بتجميع التنبيهات ذات الصلة في حالات، مما يُظهر الصورة الأكبر ويسهل تحديد الأولويات واتخاذ الإجراءات.
تحليل السببية من خلال التمثيلات المستندة إلى الرسوم البيانية
يتيح GraphML أيضًا تحليل السببية، وهو أمر ضروري لفهم الهجمات المعقدة متعددة المراحل. من خلال تحليل التمثيلات المستندة إلى الرسوم البيانية لبيانات الحدث، يكشف نظامنا عن العلاقات السببية المحتملة بين التنبيهات. على سبيل المثال، قد تؤدي رسالة التصيد الاحتيالي إلى نقطة نهاية معرضة للخطر، تليها حركة جانبية عبر شبكتك.
يسمح تحليل السببية هذا SOC يُمكّن هذا النظام المحللين من تتبع مسار الهجوم وفهم تسلسل الأحداث، مما يُتيح لهم الاستجابة بفعالية أكبر. ومن خلال تصوير العلاقات بين الأحداث، يستطيع المحللون إدارة مسار الهجوم بأكمله كحالة متكاملة بدلاً من التعامل مع التنبيهات الفردية بشكل منفصل.
يسمح تحليل السببية هذا SOC يُمكّن هذا النظام المحللين من تتبع مسار الهجوم وفهم تسلسل الأحداث، مما يُتيح لهم الاستجابة بفعالية أكبر. ومن خلال تصوير العلاقات بين الأحداث، يستطيع المحللون إدارة مسار الهجوم بأكمله كحالة متكاملة بدلاً من التعامل مع التنبيهات الفردية بشكل منفصل.
تطبيق العالم الحقيقي:
في سيناريو عملي، مثل المثال أدناه، فإن XDR يستخدم النظام لغة GraphML لربط التنبيهات تلقائيًا بناءً على سمات مشتركة مثل الأصول أو الخصائص. على سبيل المثال، يؤدي اكتشاف عنوان URL للتصيد الاحتيالي على مضيف إلى اكتشاف عمليات إنشاء مشبوهة في نظام Windows وتنفيذ أوامر سطر الأوامر، وكلها جزء من نمط هجوم أكبر وأكثر تعقيدًا.
GraphML في العمل:
- الارتباط التلقائي للتنبيهات: من خلال الربط التلقائي بين التنبيهات التي تشترك في عناصر مشتركة، مثل تلك التي تنشأ من نفس المضيف (192.168.56.23) أو التي تنطوي على نفس الكيانات (bravos، daenerys.targaryen)، يعمل GraphML على تبسيط التحليل. وهذا يساعد في بناء سرد متماسك حول الهجوم دون تدخل يدوي.
- نظرة شاملة لمتجهات الهجوم: عرض الرسم البياني المقدم في XDR توضح المنصة الروابط بين التنبيهات المختلفة مثل إنشاء العمليات المشبوهة وعمليات سطر الأوامر التي تؤدي إلى استخدام برامج PowerShell النصية، وهي سلوكيات نموذجية في هجمات البرامج الضارة المتطورة.
- تحسين كفاءة الفرز: باستخدام GraphML، SOC لا يضطر المحللون للتعامل مع تنبيهات منفصلة، بل يمكنهم الاطلاع على خريطة مترابطة للأنشطة الخبيثة، مما يُسرّع عملية الفرز. وهذا يسمح بعزل التهديدات ومعالجتها بشكل أسرع، وبالتالي الحد من الأضرار المحتملة.
الفوائد التشغيلية المشتقة:
- عمليات سير عمل الكشف المبسطة: من خلال تقديم بنية ذات مستوى أعلى من التنبيهات المرتبطة للمحللين، يساعد GraphML في الكشف عن التهديدات بشكل أسرع وأكثر دقة، مما يقلل الوقت المطلوب للارتباط اليدوي.
- انخفاض إجهاد التنبيه: تعمل هذه التقنية على خفض عدد التنبيهات التي تحتاج إلى اهتمام فردي بشكل كبير، مما يقلل من إجهاد التنبيهات ويسمح للمحللين بالتركيز على التنبيهات المهمة حقًا.
- البحث الاستباقي عن التهديدات: تساعد القدرة على تصور أنماط الهجوم وربطها بشكل استباقي في توقع الهجمات المستقبلية المحتملة استنادًا إلى السلوكيات الملاحظة، مما يعزز وضع الأمن العام.
من خلال الاستفادة من GraphML لربط التنبيهات في سيناريوهات معقدة كتلك الموضحة في المثال أعلاه، لا يضمن نظامنا الكفاءة التشغيلية فحسب، بل يعزز أيضًا البنية التحتية الأمنية ضد التهديدات السيبرانية متعددة الأوجه. يضمن هذا النهج المتكامل ما يلي: SOC تم تزويد الفرق بالأدوات اللازمة للتعامل بفعالية مع تحديات الأمن السيبراني الحديثة.
تسريع التحقيق في التهديدات باستخدام الذكاء الاصطناعي التوليدي
كما نركز على تحسين تجربة المستخدم من خلال دمج الذكاء الاصطناعي التوليدي. تخيل روبوت محادثة يسمح لمحللي الأمن بالتفاعل مع النظام والبيانات باستخدام لغة طبيعية. على غرار ChatGPT ولكن متخصص في التحقيقات الأمنية، تتيح هذه الميزة للمحللين طرح الأسئلة ووصف مهامهم بشكل طبيعي.
على سبيل المثال، قد يسأل المحلل، "تحديد السلوكيات غير الطبيعية التي قام بها مسؤولو النظام خارج ساعات العمل في الأسبوع الماضي"يقوم النظام بترجمة هذا الاستعلام إلى بحث دقيق مع جميع المعايير الضرورية، مثل أنواع الأحداث، وامتيازات المستخدم، والإطارات الزمنية. ويمكن للمحللين حتى طلب التصورات، مثل "إنشاء رسم بياني لأكبر 10 مستخدمين تلقوا أكبر عدد من محاولات التصيد الاحتيالي،"وسوف يقوم النظام بإنشاء الرسم البياني تلقائيًا.
هدفنا هو ضمان اندماج الذكاء الاصطناعي بسلاسة في أساليب الاتصال البشرية. من خلال إتقان اللغة البشرية، يمكن للذكاء الاصطناعي فهم الفروق الدقيقة والنوايا، مما يسمح للمستخدمين بالتركيز على تحقيقاتهم دون فهم اللغة المعقدة للآلة. يعزز هذا التفاعل الطبيعي كفاءة وعمق عملية التحقيق، مما يمكن المحللين من إنشاء خرائط ذهنية واضحة للمواقف الجارية دون القلق بشأن تعقيدات البيانات الأساسية.
على سبيل المثال، قد يسأل المحلل، "تحديد السلوكيات غير الطبيعية التي قام بها مسؤولو النظام خارج ساعات العمل في الأسبوع الماضي"يقوم النظام بترجمة هذا الاستعلام إلى بحث دقيق مع جميع المعايير الضرورية، مثل أنواع الأحداث، وامتيازات المستخدم، والإطارات الزمنية. ويمكن للمحللين حتى طلب التصورات، مثل "إنشاء رسم بياني لأكبر 10 مستخدمين تلقوا أكبر عدد من محاولات التصيد الاحتيالي،"وسوف يقوم النظام بإنشاء الرسم البياني تلقائيًا.
هدفنا هو ضمان اندماج الذكاء الاصطناعي بسلاسة في أساليب الاتصال البشرية. من خلال إتقان اللغة البشرية، يمكن للذكاء الاصطناعي فهم الفروق الدقيقة والنوايا، مما يسمح للمستخدمين بالتركيز على تحقيقاتهم دون فهم اللغة المعقدة للآلة. يعزز هذا التفاعل الطبيعي كفاءة وعمق عملية التحقيق، مما يمكن المحللين من إنشاء خرائط ذهنية واضحة للمواقف الجارية دون القلق بشأن تعقيدات البيانات الأساسية.
البقاء في المقدمة في مجال الأمن السيبراني
من أجل البقاء على قمة الأمن السيبراني، فإننا نبتكر باستمرار. يستفيد مستخدمونا بالفعل من الذكاء الاصطناعي المتكامل في حلولنا للكشف عن التهديدات والاستجابة لها يوميًا. وفي المستقبل، نخطط لتقديم الذكاء الاصطناعي التوليدي لتحسين تجربة المستخدم بشكل أكبر في عمليات البحث والتحقيقات. وبالنسبة لأولئك الذين يتوقون لتجربة هذه التطورات، فإننا نقدم الوصول المبكر إلى هذا الحل بدءًا من هذا الصيف.
خاتمة
دمج الذكاء الاصطناعي في SOC لا تُعدّ العمليات مجرد اتجاه عابر، بل تطورًا جوهريًا. فمن خلال إتقان الذكاء الاصطناعي، تستطيع المؤسسات تعزيز قدرتها على كشف التهديدات، ورفع كفاءتها التشغيلية، وتحسين تجربة المستخدم بشكل ملحوظ. في ستيلار سايبر، نُمكّن مستخدمينا من الاستفادة القصوى من الذكاء الاصطناعي، ما يضمن لهم البقاء في طليعة المشهد المتطور باستمرار للأمن السيبراني.
دعوة للعمل: هل أنت مستعد لاستكشاف الإمكانات؟ SOC هل تحتاجون إلى حلول الأتمتة والذكاء الاصطناعي في عمليات الأمن السيبراني لديكم؟ تواصلوا معنا اليوم عبر [معلومات الاتصال] أو تفضلوا بزيارة موقعنا الإلكتروني لحجز استشارة شخصية. لنعمل معًا على تسخير قوة الذكاء الاصطناعي من أجل مستقبل أكثر أمانًا.
