كيف يعمل الذكاء الاصطناعي الوكيل على تمكين مركز عمليات أمنية مستقل مع الحد الأدنى من التدخل البشري

واجهت مراكز العمليات الأمنية (SOCs) تحديات مستمرة في الكشف عن التهديدات والاستجابة لها لسنوات. وتشمل هذه التحديات تمييز الإشارات الأمنية الحقيقية من الضوضاء الخلفية، والسياق غير الملائم للتحقيق في التنبيهات، والافتقار إلى الأتمتة الشاملة، واختناقات سير العمل، وإرهاق التنبيهات، على سبيل المثال لا الحصر.

لقد قلت منذ سنوات أن العمليات الأمنية، أو إدارة التهديدات السيبرانية بأي شكل من الأشكال، تحتاج إلى تغيير كبير مثل ما حدث في شركات الطيران التجارية في منتصف القرن العشرين: الآلات هي التي تقود الطائرات التجارية، والطيارون يتدخلون في حالات محدودة. وبالمثل، ستدير مراكز العمليات الأمنية (SOCs) الجديدة عمليات تشغيل مستقلة مع تدخل بشري محدود.

ثم يصبح محللو مراكز العمليات الأمنية (SOCs) بعد ذلك بمثابة طياري SOC، حيث يختارون الوقت والمكان المناسب للمشاركة، بينما يتولى الجهاز الافتراضي عمليات التشغيل القياسية.

يقف الأمن السيبراني بمفرده في مواجهة ظاهرة "0-day" الغامضة: وهي الثغرات المكتشفة حديثاً في البرمجيات أو الأجهزة، والتي لم يكتشفها مجتمع الأمن سابقاً. يجسد هذا المفهوم عدم القدرة على التنبؤ المحيطة بظهور التهديد التالي ، بما في ذلك مصدره وتوقيته ومنهجيته.

عندما تتحقق أوجه عدم اليقين ، يتولى طيارو مركز العمليات الأمنية (SOC) (المحللون البشريون) القيادة ، من خلال استخدام خبراتهم لمواجهة هذه التهديدات الجديدة والقضاء عليها.

فلماذا لا يتوفر لدينا بالفعل مراكز عمليات أمنية يمكنها العمل بأدنى حد من التدخل البشري؟ لسنوات، كان بائعو برامج الأمن يدفعون بالأتمتة إلى منتجاتهم. لقد دفعت فرق مراكز العمليات الأمنية (SOCs) حدود الأتمتة إلى مواضع جديدة، وأحياناً طورت حلولاً محلية متطورة لتسريع وزيادة فعالية كشف التهديدات والاستجابة لها. لكن مراكز العمليات الأمنية تحتاج إلى أكثر من مجرد الأتمتة. إنها بحاجة إلى الاستقلال الرقمي.

يمكن للذكاء الاصطناعي (AI) تكرار عمليات صناعة القرار البشري. يمكن لهذه التقنية أن تسهّل إحداث تحول جذري في عمليات الأمن السيبراني، لا سيما في العمليات الأمنية الروتينية.

يستخدم الكشف عن التهديدات بالفعل قدرات الذكاء الاصطناعي مثل التعلم الآلي (ML). تستخدم تقنيات مراكز العمليات الأمنية المختلفة التعلم الآلي (ML) في مهام تتراوح من تحديد التهديدات إلى تصنيف التنبيهات، وذلك بفضل التكامل من قبل شركات البرمجيات الكبرى. ومع ذلك، تخضع عمليات الأمان المؤتمتة لقيود معينة.

معظم فرق العمليات الأمنية لديها قواعد اشتباك، تتطلب درجة من اليقين قبل التنفيذ. يفسر هذا اليقين سبب انتشار الأتمتة في الأنظمة المغلقة مثل أنظمة كشف نقطة النهاية والاستجابة لها (EDR). يعد كل من برنامج نقطة النهاية ووحدة التحكم على دراية بجميع المتغيرات ذات الصلة ويمكنهما أتمتة الاستجابات بشكل فعال.

يُقدم أحد المتخصصين في مجال الأمن في مختبر كبير جدًا مثالاً عمليًا. تتطلب شركته مشاركة محدودة من مركز العمليات الأمنية بسبب فهمها العميق لكل تقنية وأصل في مجموعتها. يعمل إعدادهم بشكل أساسي كنظام مغلق، مما يسمح بالأتمتة الكثيفة.

أما بالنسبة للمؤسسات التي لا تملك مثل هذه الأنظمة المغلقة، لا سيما تلك المؤسسات التي تتعامل مع أنظمة إدارة المعلومات والأحداث الأمنية (SIEM)، فإن السيناريو يكون مختلفًا. هنا، يقوم دليل تشغيل تطبيق تنسيق الأمان والأتمتة والاستجابة (SOAR) بإدارة الأتمتة.

على سبيل المثال، يمكن برمجة دليل الاستجابة التلقائية لعزل المضيف إذا لم يكن خادماً وكان يدير أنشطة خبيثة معروفة. ومع ذلك، لا يمكن تفعيل هذه الأتمتة إلا إذا كانت هوية الأصل معروفة، مثل ما إذا كان خادماً حساساً أو محطة عمل.

يُعد السياق أمرًا بالغ الأهمية في أتمتة الوظائف الأمنية، وهذا هو المكان الذي يتألق فيه المحللون البشريون من مركز العمليات الأمنية (SOC). من خلال جمع البيانات والحكم عليها وتحليلها يدويًا، ما يعرف باسم "الكرسي الدوار"، فإنها توفر السياق اللازم للأتمتة للعمل بفعالية في الأنظمة المفتوحة. تحتاج عمليات الكراسي الدوارة إلى إفساح المجال للنموذج الجديد للعمليات المستقلة متعددة الوكلاء.

إدخال إطار العمل المستقل متعدد الوكلاء. تستخدم خدمات الأمن السيبراني في IBM الذكاء الاصطناعي لفهم الحاجة إلى السياق، وجمع السياق، واتخاذ القرار، والسماح للأتمتة بالإكمال أو التعامل مع الأتمتة بشكل كامل — حتى من خلال تجاوز تنسيق الأمان والأتمتة والاستجابة (SOAR).

يقوم منسق العمل الرقمي لدينا، آلة عمليات التهديد المستقلة (ATOM)، بتطوير قائمة مهام للتحقيق في حالة وجود تنبيه. إذا قررت ATOM أن سياق الأصول غير كاف، فإنها تستخدم وكلاء الذكاء الاصطناعي الآخرين لجمع المعلومات المفقودة.

لدعم تشبيهنا بالكرسي الدوار، عندما يكتشف ATOM سياق الأصل مفقود، فإنه يتصرف. يتفاعل بشكل استباقي مع الوكلاء المرتبطين بإدارة الثغرات، وإدارة التعرض، وقواعد بيانات إدارة التكوينات (CMDBs)، وأنظمة اكتشاف نقاط النهاية والاستجابة لها أو الكشف والاستجابة الموسعة (XDR) لجمع هذا السياق.

تحدد ATOM بعد ذلك أن الأصل المحدد، استنادًا إلى اسم المضيف وموقع الشبكة، يتوافق مع أنماط محطات العمل النموذجية، وتستنتج أنه بالفعل محطة عمل. هذا المنطق هو نفس نوع المنطق الذي سيطبقه المحلل البشري.

بعد أن تتخذ آلة عمليات التهديد المستقلة (ATOM) القرار السياقي، تقوم بصياغة استجابة فريدة لهذا التنبيه المحدد. على سبيل المثال، يمكنها تحديد ما إذا كان استدعاء واجهة برمجة التطبيقات إلى وحدة تحكم اكتشاف نقاط النهاية والاستجابة لها هو الخيار الأفضل أو ما إذا كان يجب أن يعود سير العمل إلى نظام SOAR.

لا يزال من غير المعروف ما إذا كان الذكاء الاصطناعي سيسمح لأفراد مراكز العمليات الأمنية بالانتقال إلى مقعد الطيار في مراكز العمليات الأمنية أم لا. ومع ذلك، فإن قدرات العمل الرقمي المنسقة أقرب إلى ما هو مطلوب لعمليات مراكز العمليات الأمنية المستقلة من أي تقنية عملنا بها في IBM من قبل. في حين أن التحول الكامل إلى مراكز العمليات الأمنية المستقلة بالكامل لم يتحقق بعد، فإن الرحلة نحو نموذج مركز العمليات الأمنية الفعال الذي يتطلب الحد الأدنى من التدخل البشري قد تقدمت بشكل كبير مع ظهور الذكاء الاصطناعي الوكيل.

ومن المتوقع أن يُحدث هذا التغيير الكبير ثورة في إدارة التهديدات من خلال تمكين الفرق الأمنية من تحديد أولويات المبادرات الإستراتيجية بدلاً من تحميلها أعباء المهام المتكررة. ومع استمرار تطور الذكاء الاصطناعي، فإننا نتطلع إلى مستقبل لا تكون فيه مراكز العمليات الأمنية لدينا مؤتمتة فحسب، بل ذاتية التشغيل بالفعل، وجاهزة للتحليق وترك الأمور العادية للآلات.

اشترك في الندوة عبر الإنترنت لتتعلم كيف يمكن للعمل الرقمي أن يكون الأصل ضد التهديدات السيبرانية