سرعان ما أصبح وكلاء الذكاء الاصطناعي هم الوعد المفضل في صناعة الأمن السيبراني.
من الناحية النظرية، يمكنهم فرز التنبيهات والتحقيق في الحوادث والاستجابة للتهديدات – حيث يعملون كمضاعفات للقوة لفرق مركز العمليات الأمنية المنهكة.
يستمر المقال أدناه
مدير فني أول في ExtraHop.
ليس لأن هؤلاء الوكلاء غير قادرين، ولكن لأنهم يفتقرون إلى البيانات والسياق لفهم النشاط عبر الشبكة والاستجابة بشكل مناسب.
إن الاستقلالية أمر مقنع، ولكن بدون البيانات الصحيحة، فإن الأتمتة الأقل فائدة والتخمين الأكثر تفاؤلاً هي التي تخلق بهدوء فجوة في الرؤية في قلب مركز عمليات العمليات العميل.
مشكلة السياق
يعتمد معظم وكلاء الذكاء الاصطناعي على نفس مجموعات القياس عن بعد المجزأة التي عانى منها المحللون لسنوات. سجلات نقطة النهاية في إحدى الأدوات، والإشارات السحابية في أداة أخرى، وبيانات الهوية في مكان آخر، وغالبًا ما يتم استخدام حركة مرور الشبكة بشكل غير كافٍ أو يتم تجاهلها. يروي كل مصدر جزءًا من القصة، لكن لا أحد يقدم الصورة الكاملة بغض النظر عن لوحة المعلومات التي تفضلها.
عندما يكون السياق مفقودًا، يواجه العملاء صعوبة في التفكير بشأن ما هو طبيعي وما هو ضار. يمكن أن تتضاعف النتائج الإيجابية الكاذبة، ويمكن أن تتوقف التحقيقات، ويمكن أن تؤدي الاستجابات الآلية إلى تعطيل النشاط التجاري المشروع.
توضح حالات الاستخدام العملية للذكاء الاصطناعي كلاً من الوعد والتحدي: يمكن للوكلاء عزل نقاط النهاية المخترقة تلقائيًا بعد اكتشاف أنماط تسجيل دخول غير عادية، أو الإبلاغ عن حركة جانبية شاذة قد تستغرق ساعات من المحللين للتحقيق فيها يدويًا.
ومع ذلك، فإن هذه العوامل نفسها يمكن أن تفشل في إطلاق النار إذا كان القياس عن بعد الأساسي غير مكتمل، مما يؤدي إلى عمليات عزل غير ضرورية أو الفشل في اكتشاف التهديدات المعقدة الخفية.
في جوهرها، هذه ليست مشكلة مع الذكاء الاصطناعي، ولكن مع المعلومات المتاحة له. لا يمكن للذكاء الاصطناعي أن يتصرف إلا بناءً على ما يعرفه. وفي العديد من شركات نفط الجنوب، فهي ببساطة لا تعرف ما يكفي.
بناء أساس للاستقلالية
قبل أن تتجه المؤسسات نحو الأتمتة بشكل أكبر، فإنها تحتاج إلى معالجة مشكلة أكثر جوهرية: جودة واكتمال القياس عن بعد. يتطلب اتخاذ القرار المستقل تدفقًا مستمرًا من البيانات عالية الدقة والجديرة بالثقة – وهو النوع الذي يمكن ربطه بين المستخدمين والأجهزة والتطبيقات وأحمال العمل.
يعود العديد من الممارسين إلى المبدأ الأساسي المتمثل في أن الشبكة تظل واحدة من أكثر مصادر الحقيقة موثوقية في البيئات الحديثة. على الرغم من إمكانية التلاعب بنقاط النهاية وعزل السجلات، إلا أن نشاط الشبكة لا يمكن للمهاجمين تجنبه. إنه يجسد ما حدث بالفعل – من تحدث إلى ماذا ومتى وكيف.
تتطلب البيئات الحديثة المزيد من السياق. تحتاج فرق الأمان أيضًا إلى رؤية الهويات الكامنة وراء الإجراءات وسلوك أحمال عمل السحابة الأصلية وKubernetes التي تعمل الآن على تشغيل تطبيقات الأعمال المهمة.
كيف يمكّن السياق الذكاء الاصطناعي الفعال
عندما يتم توحيد هذه الطبقات – الشبكة والهوية والسحابة – يمكن للوكلاء العمل بوضوح. فبدلاً من التخمين، يمكنهم الاستعلام مباشرةً عن معلومات القياس عن بُعد الغنية، وإثراء التنبيهات تلقائيًا، واتخاذ قرارات حتمية حول ما إذا كان شيء ما يمثل خطرًا حقيقيًا.
في مركز العمليات الأمنية الفعال، لا يحل الذكاء الاصطناعي محل المحللين أو يثير الاستجابات بشكل أعمى. ومع ذلك، فهو يتعامل مع الأحمال الثقيلة، ويربط الإشارات، ويبرز الأدلة الأكثر صلة، ويحل الحوادث المباشرة حتى يتمكن البشر من التركيز على التهديدات المعقدة.
ولكن هذا لا ينجح إلا إذا كانت البيانات الأساسية كاملة ومنظمة ويمكن الوصول إليها. ببساطة، لا يمكن للخوارزميات الأفضل أن تعوض ضعف الرؤية.
الطريق إلى الأمام
مع تسابق المؤسسات لتبني دفاعات تعتمد على الذكاء الاصطناعي، فمن المغري التعامل مع الوكلاء باعتبارهم طريقًا مختصرًا لنضج الأمن السيبراني. وفي الواقع، فهي تعمل على تضخيم أي أساس موجود بالفعل، سواء كان جيدًا أو سيئًا.
تحقق المنظمات التي تتمتع بقياس قوي عن بعد ورؤى سياقية مكاسب ذات مغزى. وأولئك الذين لا يملكونها يقومون ببساطة بأتمتة نقاطهم العمياء.
ستشمل SOC المستقبلية بالتأكيد عملاء الذكاء الاصطناعي. لكن الاستقلالية يجب أن تبدأ بالتأكد من أن النظام لديه شيء جدير بالثقة يمكن رؤيته.
سواء كان الذكاء الاصطناعي أم لا، في مجال الأمن السيبراني، فإن ذكاءك يكون قويًا بقدر قوة السياق الذي يقف وراءه.
تحقق من قائمتنا لأفضل حلول إدارة الهوية.
التعليقات