الجيل التالي الحديث من SOC المدعوم بالذكاء الاصطناعي
يعد الذكاء الاصطناعي من بين أكثر التقنيات اضطرابًا في عصرنا. على الرغم من أن الذكاء الاصطناعي/التعلم الآلي موجود منذ عقود، فقد أصبح موضوعًا ساخنًا مع الابتكارات المستمرة في الذكاء الاصطناعي التوليدي (GenAI) بدءًا من شركة OpenAI الناشئة وحتى عمالقة التكنولوجيا مثل Microsoft وGoogle وMeta. عندما يتم دمج نماذج اللغة الكبيرة (LLMs) مع البيانات الضخمة وتحليلات السلوك، يمكن للذكاء الاصطناعي/التعلم الآلي زيادة الإنتاجية وتوسيع نطاق العمليات في كل قطاع من الرعاية الصحية إلى التصنيع والنقل وتجارة التجزئة والتمويل والحكومة والدفاع والاتصالات والإعلام والترفيه والمزيد. .
وفي صناعة الأمن السيبراني، تعد شركات SentinelOne وPalo Alto Networks وCisco وFortinet وغيرها من الشركات الرائدة في مجال الذكاء الاصطناعي في مجال الأمن السيبراني. في تقرير بحثي للأسواق العالمية أجرته شركة Allied Market Research، من المتوقع أن يرتفع الذكاء الاصطناعي في الأمن السيبراني إلى 154.8 مليار دولار في عام 2032 من 19.2 مليار دولار في عام 2022، بمعدل نمو سنوي مركب قدره 23.6٪.
تحديات SOC التقليدية
سيم
أحد التحديات مع التقليدية مركز العمليات الأمنية (SOC) إن محللي SOC غارقون في العدد الهائل من التنبيهات التي تأتي منهم إدارة أحداث المعلومات الأمنية (SIEM). تتعرض فرق الأمن لوابل من التنبيهات منخفضة الدقة وتقضي وقتًا طويلاً في فصلها عن التنبيهات عالية الدقة. تأتي التنبيهات من أي مصادر تقريبًا عبر المؤسسة وتزداد تعقيدًا مع وجود عدد كبير جدًا من حلول النقاط ومع بيئة متعددة البائعين.
غالبًا ما تتطلب الأدوات العديدة ونقص التكامل عبر حلول منتجات البائعين المتعددين قدرًا كبيرًا من التحقيق والتحليل اليدوي. إن الضغط الذي يأتي مع الاضطرار إلى مواكبة تدريب البائعين وربط البيانات وتسجيل الدخول إلى رؤى ذات معنى يصبح مرهقًا. في حين أن الحلول الأمنية متعددة البائعين، ومتعددة المصادر، ومتعددة الطبقات توفر الكثير من البيانات، بدون تعلم الآلة والتحليلات الأمنية، فإنها تخلق أيضًا الكثير من الضجيج ورؤية متباينة لمشهد التهديد مع سياق غير كافٍ.
حلق
تقليدي التنسيق الأمني والاستجابة الآلية (SOAR) الأنظمة الأساسية التي تستخدمها فرق العمليات الأمنية الناضجة لتطوير أدلة التشغيل التي تعمل على أتمتة استجابات الإجراءات من مكتبة واجهات برمجة التطبيقات لنظام بيئي للحلول الأمنية معقدة ومكلفة للتنفيذ والإدارة والصيانة. في كثير من الأحيان، تحاول مراكز عمليات الأمن (SOCs) اللحاق بتكاليف تطوير الترميز وتمويل قواعد التشغيل التشغيلية، مما يجعل من الصعب الحفاظ على العمليات وتوسيع نطاقها للاستجابة للهجمات الجديدة بسرعة وكفاءة.
XDR
الكشف والاستجابة الموسعة (XDR) يحل الكثير من هذه التحديات من خلال حلول أمنية منعزلة من خلال توفير رؤية موحدة ذات رؤية أكثر وسياق أفضل من بحيرة بيانات شاملة واحدة عبر النظام البيئي بأكمله. يوفر XDR الوقاية بالإضافة إلى الكشف والاستجابة من خلال إمكانات التكامل والأتمتة عبر نقطة النهاية والسحابة والشبكة. يمكن أن تتضمن إمكانات التشغيل الآلي الخاصة به وظائف SOAR الأساسية الشائعة مثل أدوات الأمان المتصلة بواجهة برمجة التطبيقات (API). فهو يجمع بيانات غنية من مصادر متعددة ويطبق البيانات الضخمة والتحليل القائم على التعلم الآلي لتمكين الاستجابة لإنفاذ السياسات باستخدام الضوابط الأمنية في جميع أنحاء البنية التحتية.
الذكاء الاصطناعي في الجيل التالي الحديث من SOC
يعد استخدام الذكاء الاصطناعي والتعلم الآلي أمرًا ضروريًا بشكل متزايد للعمليات السيبرانية لتحديد الحالات الشاذة بشكل استباقي والدفاع ضد التهديدات السيبرانية في عالم رقمي شديد الترابط. وتشير تقديرات أبحاث كاناليس إلى أن أكثر من 70% من الشركات ستحصل على عمليات الأمن السيبراني الخاصة بها مدعومة بأدوات الذكاء الاصطناعي التوليدية خلال السنوات الخمس المقبلة.
منصات وأدوات XDR التي تعمل بالذكاء الاصطناعي
مع تطور XDR لدمج وظائف SOAR المعقدة والمدمجة المدعومة بالذكاء الاصطناعي، فإن نموذج الذكاء الاصطناعي الأساسي المستخدم وموارد الحوسبة المطلوبة لتمكين الجيل التالي من SOC ضروري. إن عمق تجربة الذكاء الاصطناعي والتعلم الآلي التي تدخل في بناء الأساس لمنصة تكنولوجيا XDR لا تقل أهمية عن القدرة على التشغيل والإدارة والصيانة في مركز عمليات الأمن (SOC) المدعوم بنظام الذكاء الاصطناعي.
منصات XDR المدعومة بالذكاء الاصطناعي مع عمليات الكشف المتكاملة المستندة إلى تحليلات ML، وإدارة الحوادث، وذكاء التهديدات، والأتمتة، وقدرات رؤية سطح الهجوم
- استفد من عملية صنع القرار المستندة إلى الذكاء الاصطناعي للمساعدة في التنقل في مشهد التهديدات
- تعريف المستخدمين والآلات والكيانات باستخدام تحليل سلوك المستخدم والكيان (UEBA) والكشف عن مؤشرات السلوك (IoBs)
- اكتشف التهديدات الأكثر تعقيدًا أو غير المعروفة في الوقت الفعلي من خلال معرفة واسعة بتفاصيل الهجوم بحيث يتم تبسيط الاستجابة للحوادث من خلال فهم متعمق لمنع الهجمات المستقبلية المماثلة
- استهدف وظائف محددة وقم بتطبيق ضوابط الأمان من أدوات الأمان المتعددة تلقائيًا لتنفيذ المهام الروتينية وقواعد اللعبة متعددة المراحل
- تسريع التنسيق الأمني والأتمتة والاستجابة للحوادث بشكل أكثر دقة
- استدعاء الكشف عن نقطة النهاية والاستجابة لها (EDR)، والكشف عن الشبكة والاستجابة لها (NDR)، والكشف عن السحابة والاستجابة لها (CDR) من خلال تنبيهات التعلم الآلي والتهديدات السلوكية
- تحسين جودة التحقيق وتقليل مخاطر الأعمال والأمان بسرعة الجهاز
عند تقاطع الذكاء الاصطناعي/التعلم الآلي والأمن السيبراني، يتم تحويل مركز العمليات الأمنية التقليدي (SOC) إلى تطور الجيل القادم من تجربة SOC الحديثة التي تمكن محللي SOC من الاستجابة للهجمات الحرجة والأكثر تطوراً. يمكن لقدرات الأتمتة القوية هذه، المدعومة بالذكاء الاصطناعي والتي يقودها الإنسان، أن توفر الوقت البشري في أداء أنشطة متكررة ومنخفضة المستوى حتى يتمكن المحللون من التركيز على المزيد من المبادرات الإستراتيجية مثل مطاردة التهديدات وتحسين الوضع الأمني العام بشكل استباقي.
يستفيد الأمن السيبراني من التحليلات المتقدمة والتعلم الآلي وGenAI لتحويل بيانات التهديد الأولية بسرعة إلى معلومات استخباراتية منسقة عن التهديدات السيبرانية ومراقبة الشبكة للدفاع بشكل استباقي ضد الخصوم. يمكن أن يوفر GenAI حماية أفضل لهجمات DDoS والتخفيف من آثارها من خلال تحليل البيانات الضخمة المجمعة وتدفقات الشبكة وأنماط الاستخدام ومقاييس القياس عن بعد الأخرى التي توفر سياقًا أمنيًا أفضل للاستجابة بسرعة ودقة أكبر.
يمكن لنموذج GenAI الذي تم تدريبه على التعلم من الأنماط الموجودة في التهديدات السيبرانية ونقاط الضعف أن يتنبأ بالتهديدات المستقبلية. بدلاً من الاستجابة لآلاف التنبيهات والمعاناة من إرهاق التنبيه، يمكن لمحللي مركز العمليات الأمنية الاستفادة من GenAI للكشف الاستباقي عن التهديدات، وتوقع التهديدات المحتملة، واتخاذ نهج استباقي باستخدام أدوات الأمان الحالية للرد قبل حدوث هجوم فعلي.
محللو SOC
المستوى 1 – الفرز
يتم تكليف محللي المستوى الأول بتحديد الإيجابيات الحقيقية وتصفية الإيجابيات الخاطئة من حجم التنبيهات. ينصب تركيزهم الأساسي على فرز التهديدات وتصنيفها وتقييم مدى إلحاح التهديدات التي سيتم تسليمها إلى المستوى 2 للتعامل مع الحوادث. تتيح ML والتحليلات السلوكية للمستخدم والكيان (UEBA) لشركة SOC القيام بذلك
- تعرف ديناميكيًا على ما هو السلوك الطبيعي مقابل السلوك غير الطبيعي وقم بتشغيل تنبيه تلقائيًا عند اكتشاف نشاط شاذ
- قم بتعزيز مؤشرات الاختراق الثابتة المعروفة بالفعل (IOCs) بمؤشرات السلوك الديناميكية (IoBs) التي توفر السياق والهدف من التهديد في وقت مبكر
- اكتشف التهديدات الداخلية والتهديدات غير المرئية مثل يوم الصفر ومؤشرات التهديد التي تفتقدها التقنيات الأخرى
- يمكنك تقليل عبء العمل اليدوي لفرق الأمان عن طريق استخدام الأتمتة والتعلم الآلي لتحديد التهديدات والتحقق من صحتها وتعيين درجات المخاطر.
يمكّن GenAI شركة نفط الجنوب من القيام بذلك
- فهم النشاط الشاذ الذي تم تحديده وتسلسل الأحداث واتخاذ قرارات أفضل لتصعيد التنبيه
- اكتشف الهجمات الفعلية بشكل أكثر دقة من البشر مع عدد أقل من النتائج الإيجابية الكاذبة
- تحديد رسائل البريد الإلكتروني المشبوهة والخبيثة من حملات التصيد الاحتيالي
- تقليل احتمالية الهجمات الإلكترونية عن طريق تقليل مساحة الهجوم الإجمالية
في الواقع، يمكن لـ GenAI أتمتة جزء كبير من هذه الأنشطة بما في ذلك عمليات فحص الثغرات الأمنية وإعداد التقارير حتى يتمكن المحللون من التركيز على الاستجابة للتهديدات الحقيقية ذات الأولوية.
المستوى 2 – الاستجابة للحوادث
يقوم محللو المستوى 2 بالتحقق من صحة الإيجابيات الحقيقية، وجمع البيانات ذات الصلة، ومراجعة معلومات التهديدات في الوقت الفعلي، والتحقيق في الحوادث، وتطوير تقارير حالة الحوادث. تتيح منصات SOC التي تعمل بالذكاء الاصطناعي للمحللين القيام بذلك
- اطرح أسئلة على GenAI من خلال مطالبات البيانات لفهم تسلسل الأحداث التي حدثت خلال جدول زمني، وناقل التهديد، ونقاط الضعف والمخاطر التي تشكلها على بيئة مؤسسة معينة
- تحليل استخبارات التهديدات الناشئة، وIoBs، وتحديد الأنظمة والأجهزة التي يستهدفها الخصم والتنبؤ بها، وتقييم نطاق الأنظمة والأجهزة والملفات المتأثرة في البيئة
- قم بالمعالجة تلقائيًا والتعافي بسرعة من الهجمات لتقليل الاستجابة وأوقات المكوث
- أتمتة عملية جمع القطع الأثرية وتوثيق تقرير التحقيق، مما يسمح للمحللين بالتعمق في الحادثة التالية.
المستوى 3 – مطاردة التهديدات
يركز محللو المستوى 3 على صيد التهديدات. يقومون بتقييم بيانات الضعف واكتشاف الأصول بشكل استباقي للكشف عن التهديدات الأكثر تعقيدًا وسرية في البيئة. يتيح GenAI اللغات المستندة إلى LLM في الوقت الفعلي حتى يتمكن صائدو التهديدات الذين يستخدمون أدوات SOC المدعومة بالذكاء الاصطناعي من ذلك
- قم بإجراء تحليل لمهارات الذكاء الاصطناعي والصيد الاستباقي لتهديدات الذكاء الاصطناعي باستخدام سجلات القياس عن بعد عبر نقاط النهاية والسحابة والشبكة
- التحقيق بشكل استباقي في الحالات الشاذة الناشئة التي اكتشفها الذكاء الاصطناعي والتوصية بإجراءات الاستجابة لمنع الهجمات المستقبلية بشكل أسرع
- محاكاة هجمات الهندسة الاجتماعية لتحديد نقاط الضعف
- أتمتة اختبار الاختراق لاستكشاف الدفاعات لتحديد نقاط الضعف وتحسين الوضع الأمني.
باختصار، يعمل GenAI على تحسين مقاييس الأداء الرئيسية بشكل كبير بما في ذلك متوسط وقت الكشف (MTTD)، ومتوسط وقت التحقيق (MTTI)، ومتوسط وقت الحل (MTTR). تقدم GenAI فوائد هائلة للجيل القادم من SOC الحديث ومحلليها:
- ركز على التنبيهات الحرجة والتهديدات الفعلية بثقة عالية بدلاً من الرد على حجم كبير من التنبيهات والإيجابيات الكاذبة
- السرعة في اكتشاف الحالات الشاذة والتكوينات الخاطئة والبرامج الضارة والتهديدات السيبرانية والاستجابة لها من خلال إمكانيات التشغيل الآلي
- تم اكتساب الكفاءة من خلال اكتشاف التهديدات السيبرانية المدعومة بالذكاء الاصطناعي وقدرات الاستجابة للتعلم والتكيف
- تحليل الحوادث وتقييمات التهديدات من مجموعات البيانات الكبيرة ومصادر البيانات المتعددة للمساعدة في تلخيص وإعداد التقارير الخاصة بالحوادث وتقييمات السبب الجذري وتقييمات الوضع الأمني والخطوات التالية الموصى بها
- استجابة استباقية لنواقل التهديد الديناميكية بناءً على الأنماط المستفادة والتهديدات المتوقعة
- تحسين رأس المال البشري في ظل الفجوة الحالية في المهارات ونقص المواهب في مجال الأمن السيبراني
أنظمة الذكاء الاصطناعي والبيانات المدربة
تعد جودة ودقة وموثوقية البيانات المدربة المستخدمة في أنظمة الذكاء الاصطناعي أمرًا بالغ الأهمية. كلما زادت البيانات الجيدة المستخدمة للتدريب، كان التحليل والاستجابة أفضل. إن قدرة أنظمة الذكاء الاصطناعي على التعلم والتكيف بسرعة مع البيانات المنسقة من المصادر العالمية لفرز البيانات الجيدة المعروفة من السيئة أمر بالغ الأهمية أيضًا.
يمكن لنموذج الذكاء الاصطناعي المحدد وجودة البيانات المدربة على الذكاء الاصطناعي المستخدمة لتحليل وربط معلومات التهديدات المتكاملة تلقائيًا من أجل سياق أفضل عبر الشبكة ونقطة النهاية وأعباء العمل السحابية والتطبيقات ومراكز البيانات أن يجعل مركز عمليات الأمن (SOC) أكثر فعالية وهو عامل تمييز رئيسي. يقدم الذكاء الاصطناعي موضوعات استفزازية أخرى حول الخصوصية والتحيز والمسائل الأخلاقية.
مكافحة المجرمين الذين يستخدمون الذكاء الاصطناعي باستخدام مراكز العمليات الأمنية التي تعمل بالذكاء الاصطناعي
من المؤكد أن ظهور المجرمين الذين يستخدمون الذكاء الاصطناعي سيجعل مكافحة الجرائم الإلكترونية أكثر صعوبة. يستفيد مجرمو الإنترنت من الذكاء الاصطناعي لتنفيذ عمليات TTP لاختراق الشبكات، واستخلاص البيانات الحساسة، وتوليد هجمات برامج الفدية الديناميكية، وتنفيذ هجمات دولة قومية أكثر استهدافًا ومتميزة على بنيتنا التحتية الحيوية الوطنية.
ستعمل الحراس السيبرانيين المدعومين بالذكاء الاصطناعي لمحللي الأمن السيبراني الجيدين والمدعومين بالذكاء الاصطناعي في مركز عمليات العمليات (SOC) الحديث من الجيل التالي على تسريع الاستجابة لهجمات التصيد الاحتيالي، والتحقيقات في البرامج الضارة، واستغلال يوم الصفر، والتزويد عن بعد، وإدارة التهديدات بشكل استباقي بشكل أكثر كفاءة للبقاء في صدارة مجرمي الإنترنت. يمكن تقليل متوسط الوقت اللازم لحل الحوادث الحرجة (MTTR) من أيام وأسابيع إلى ثوانٍ ودقائق.
إن التطور من نموذج العمليات الأمنية اليدوية الذي يتفاعل مع مركز عمليات الأمان الاستباقي الذي يعمل بالذكاء الاصطناعي والذي يتسم بالذكاء والتكيف وقيادة الآلة ويقوده الإنسان مع الحد الأدنى من مشاركة المحللين، سيكون أمرًا بالغ الأهمية في رحلة التحول إلى مركز عمليات العمليات (SOC) الحديث من الجيل التالي. يعد اعتماد الذكاء الاصطناعي ابتكارًا بالغ الأهمية لشركة نفط الجنوب في العصر الحديث. إنه أمر بالغ الأهمية لتقليل وتخفيف مخاطر الأمن السيبراني للمؤسسة وتحقيق المرونة.