تشهد الأمن السيبراني ثورة الذكاء الاصطناعي. ففي كل يوم، يتم الإعلان عن منتج أو ميزة جديدة تستفيد من برامج الماجستير في القانون لجعل عمليات الأمن أسرع وأكثر دقة وكفاءة. ويتحدث الخبراء الأكثر حماسة بالفعل عن مراكز عمليات أمنية مستقلة بالكامل، مع الحكم على وظيفة محلل الأمن بالانقراض.
ولكن هل نحن حقًا على وشك رؤية الذكاء الاصطناعي يتولى مسؤولية قدراتنا على اكتشاف التهديدات والاستجابة لها؟
مع ظهور لا يزال احتمال تفرد الذكاء الاصطناعي قائمالا أستطيع أن أقول إن مركز العمليات الأمنية المدعم بالذكاء الاصطناعي والمستقل بالكامل لن يوجد أبدًا. لكن الادعاء بأن الموجة الحالية من قدرات الذكاء الاصطناعي ستؤدي إلى ذلك هو في أفضل الأحوال ساذج، وغالبًا ما يكون تسويقًا غير صادق من قِبَل بائعي التكنولوجيا.
إن قدرات الذكاء الاصطناعي التوليدي مثيرة للإعجاب حقًا، لكنها لا تزال محدودة. استنادًا إلى الكثير من بيانات التدريب، تقوم أنظمة الذكاء الاصطناعي التوليدي بإنشاء نصوص وصور وحتى موسيقى. لكن هذه الإبداعات محدودة بالأفكار والمفاهيم التي ابتكرها البشر. لا تزال الأفكار الأصلية بعيدة كل البعد عن فهم الأنظمة الحالية.
إن هذه الأنظمة محدودة لأنها لا تفهم المفاهيم والأفكار التي تعمل بها، ولا تقوم إلا بتوليد تيارات من النصوص تشبه مجموعات التدريب الخاصة بها. ولقد فوجئنا بمدى قرب هذا النهج البسيط من الذكاء الحقيقي. ومع ذلك، فإن الاستكشاف الأعمق سوف يُظهِر علامات واضحة على “الإكمال التلقائي المجيد”، كما وصفه بعض الناس.
إن بعض الأمثلة على “الإخفاقات” الناجمة عن هذه الأنظمة قد تساعدنا على فهم حدودها بشكل أفضل: فالكثير من طلاب الماجستير في القانون يكافحون من أجل تقديم إجابة مناسبة لسؤال مثل “كم عدد حروف الراء في كلمة فراولة؟”، أو “ما هو الرقم القياسي العالمي لعبور القناة الإنجليزية سيرًا على الأقدام بالكامل؟”، وهذه أمثلة مثالية على هذه القضية. والواقع أن نظام ChatGPT، أو أي نظام آخر من هذه الأنظمة، ليس على دراية بما “يقوله”. وبمجرد أن ندرك أنه لا يوجد فهم إدراكي للمفاهيم الأساسية التي يتم توصيلها، فمن الصعب حتى أن نقول إن هذه الأخطاء إخفاقات.
قد تتساءل لماذا نرى الكثير من التطبيقات المفيدة والمثيرة للاهتمام لهذه التقنيات؟ والإجابة هي أنها تؤدي أداءً جيدًا في حل مشكلات معينة، تلك التي لا يشكل فيها الافتقار إلى القدرة المعرفية والفهم الكامل للبيانات والمفاهيم المرتبطة بها عيبًا كبيرًا. على سبيل المثال، يتمتع طلاب الماجستير في القانون بقدرة رائعة على إنشاء ملخصات نصية.
ولهذا السبب فإن أحد أنجح تطبيقات الذكاء الاصطناعي في عمليات الأمن هو إنشاء تفسيرات نصية وملخصات للحوادث والتحقيقات. ومن بين الاستخدامات الرائعة لـ LLMs إنشاء استعلامات بحث بسيطة أو رمز اكتشاف من تفسير تم إنشاؤه بواسطة الإنسان. ولكن في الوقت الحالي، تتوقف معظم الأشياء عند هذا الحد.
إن مشكلة اكتشاف التهديدات تشكل مجالاً محفوفاً بالمخاطر بالنسبة لمراكز العمليات الأمنية التي تستخدم نماذج LLM، وذلك لأن النماذج قد تبدو وكأنها قادرة على إنشاء محتوى الكشف نيابة عنا. ويمكنني الحصول على نتيجة جيدة إذا طلبت من Microsoft Copilot إنشاء شيء مثل هذا: “إنشاء قاعدة سيجما للكشف عن هجوم log4j”. ولكن إذا تعمقنا في هذا السؤال والإجابة الناتجة عنه، فسوف نتمكن من فهم مدى محدودية الذكاء الاصطناعي في اكتشاف التهديدات.
-
من خلال قول “هجوم log4j”، فإنني أحث النموذج على إنشاء محتوى يعتمد على هجوم معروف. كان على البشر العثور على هذه الهجمات وفهمها قبل إنتاج كل هذا المحتوى. هناك فترة زمنية بين وقوع الهجمات الأولى ثم اكتشافها وفهمها ووصفها بشكل صحيح من قبل البشر قبل أن يصبح لدى الذكاء الاصطناعي المحتوى المتاح لاستيعابه والقدرة على إنتاج قاعدة. هذا ليس هجومًا غير معروف بالتأكيد.
-
القاعدة التي تم إنشاؤها عامة وتستند إلى أكثر أساليب استغلال الثغرة الأمنية المعروفة شهرة. وعلى الرغم من نجاحها، إلا أنها طريقة هشة ستولد عددًا من النتائج الإيجابية والسلبية الخاطئة بقدر ما تولدها القاعدة التي ينشئها محلل بشري متوسط.
يشعر الناس بالإثارة إزاء قوة هذه النماذج الجديدة، ويزعمون أن أنظمة LLM ستكتشف قريبًا الهجمات غير المعروفة. لكنهم مخطئون بسبب القيود المفروضة على تكنولوجيا الذكاء الاصطناعي ومفهوم الهجمات غير المعروفة. لفهم القيود المفروضة ليس فقط على الذكاء الاصطناعي، بل وأيضًا على أي أنظمة كشف تقليدية، يمكننا أن ننظر إلى ظهور الهجمات الخالية من الملفات.
كانت أنظمة الكشف عن البرامج الضارة تركز في السابق فقط على الملفات المكتوبة على القرص. وكانت تحتوي على خطافات يمكن استخدامها لاستدعاء المحلل في كل مرة يتم فيها كتابة شيء ما على القرص. ماذا لو كان لدينا محلل عالي الكفاءة قائم على الذكاء الاصطناعي يقوم بهذه المهمة؟ هل يعني هذا أننا حققنا حلاً مثاليًا لمكافحة البرامج الضارة؟ لا، لأن المهاجمين حولوا الآن أفعالهم إلى أماكن لم يتم فيها جمع البيانات لتحليلها. يمكن حقن البرامج الضارة الخالية من الملفات في الذاكرة وعدم كتابتها على القرص أبدًا، وبالتالي لن يتعرض الذكاء الاصطناعي الفائق لدينا أبدًا لهذا الكود الضار. لم يعد الافتراض الأولي بأن جميع البرامج الضارة ستُكتب على القرص صحيحًا، ولن يبحث نظام الذكاء الاصطناعي ببساطة في المكان الصحيح.
لماذا يصعب اكتشاف الهجمات الجديدة؟
يكتشف المهاجمون الأذكياء كيفية عمل أنظمة الكشف ثم يطورون هجمات جديدة تخرج عن نطاق رؤية محرك الكشف. تحدث براعة الهجوم على مستويات متعددة، وغالبًا ما تتجاوز هذه المستويات المناطق التي يتم فيها وضع قدرات الكشف لدينا. قد تكون شبكة IP مجهزة بالكامل لالتقاط حركة المرور، لكنها ستكون عديمة الفائدة إذا تم اختراق أحد الأنظمة عبر ثغرة في البلوتوث.
لا يوجد نظام ذكاء اصطناعي قادر على تحليل سلوك الهجوم على هذا المستوى، واكتشاف الاختلافات عن السلوك السابق وتصميم حل للتعويض عن هذه التغييرات. لا يزال هذا عملاً بشرياً، وسيظل كذلك حتى ظهور الذكاء الاصطناعي العام.
تعرف على حدود الذكاء الاصطناعي في مركز العمليات الأمنية
مع أي أداة، نحتاج إلى فهم قيمتها، وأين تكون مفيدة وحدودها. نحن نحصل على الكثير من القيمة من القدرات المستندة إلى GenAI لدعم العمليات الأمنية. لكنها ليست حلاً سحريًا. لا ينبغي للمنظمات أن تمتد بها إلى أماكن لا تتفوق فيها، وإلا فإن النتيجة لن تكون مخيبة للآمال فحسب، بل ستكون كارثية أيضًا.
