قبل عشر سنوات، كان عائد الاستثمار لأمن البريد الإلكتروني بسيطًا: نشر أنظمة مطابقة الأنماط، وقبول بعض النتائج الإيجابية الخاطئة، وتعيين مركز عمليات الأمن (SOC) للتصعيد. لقد نجحت الحسابات لأن الهجمات اتبعت أنماطًا يمكن للآلات أن تتعلمها.
لقد كسر الذكاء الاصطناعي هذا النموذج.
تقضي فرق أمان المؤسسات الآن 25% من وقت المحللين في التحقق من الإيجابيات الكاذبة المتعلقة بأمان البريد الإلكتروني. هذا يمثل ربع قدرتك الأمنية على العمل الذي لا ينتج عنه أي شيء. تظهر أبحاث الصناعة أن 65% من التنبيهات الأمنية عبر البريد الإلكتروني هي نتائج إيجابية كاذبة.
يستغرق كل واحد 33 دقيقة للتحقيق. وفي الوقت نفسه، تنجح الهجمات التي يولدها الذكاء الاصطناعي لأن فرق الأمن غارقة في الضجيج، وغير قادرة على التركيز على التهديدات التي لا تتطابق مع الأنماط التاريخية.
بالنسبة لقادة تكنولوجيا المعلومات الذين يديرون ميزانيات ثابتة، لا يتعلق الأمر بالحاجة إلى المزيد من الاستثمار. لم تعد البنية نفسها تنتج عوائد مقبولة.
مشكلة الاقتصاد
غيّر الذكاء الاصطناعي اقتصاديات المهاجم. تظهر الأبحاث الحديثة التي أجرتها جامعة هارفارد أن الذكاء الاصطناعي يمكن أن يخدع أكثر من 50% من البشر بينما يخفض تكاليف الهجوم بنسبة 95% ويزيد الربحية بما يصل إلى 50 ضعفًا. لم تواكب قدرات المدافع السرعة، على الأقل ليس إذا كنت تستخدم الأمان المصمم لمواجهة تهديدات ما قبل الذكاء الاصطناعي.
يخلق أمان البريد الإلكتروني الحالي عبئًا تشغيليًا يمكن التنبؤ به:
65% من التنبيهات هي نتائج إيجابية كاذبة (SOC Best Practices, 2025)
25% من وقت المحلل يبحث عن نتائج إيجابية كاذبة (Ponemon/Exabeam, 2024)
متوسط 33 دقيقة من التحقيق لكل تنبيه (VMRay/Microsoft, 2025)
ويتناسب هذا مع حجم المؤسسة ولكنه يحافظ على نفس عدم الكفاءة. تخسر شركة SOC المكونة من 5 أشخاص في السوق المتوسطة 1.25 FTE نتيجة لتحقيق إيجابي كاذب. تخسر شركة نفط الجنوب (SOC) المكونة من 40 شخصًا 10 FTE – ما يقرب من 1.2 إلى 1.7 مليون دولار أمريكي من قدرة المحللين السنوية التي لا تحقق شيئًا.
التأثير متطابق على جميع المستويات: حيث يظل اختراق البريد الإلكتروني الخاص بالعمل الذي يستهدف المديرين التنفيذيين في قائمة الانتظار لساعات بينما تقوم فرق الأمان بالتحقيق في الإنذارات الكاذبة. تعمل مراكز عمليات الأمان بنسبة 105-175% من طاقتها قبل القيام بأي عمل أمني استباقي. المنظمات الأكبر لا تفلت من هذا. إنهم يضيعون المزيد فقط.
لماذا لا تعمل الإصلاحات الإضافية
تقوم بعض المنظمات بتعيين المزيد من المحللين. هذا لا يحل المشكلة المعمارية. إنه يقيس عدم الكفاءة. إذا كانت 65% من التنبيهات عبارة عن نتائج إيجابية كاذبة وتستهلك 25% من وقت المحللين، فإن توظيف المزيد من الأشخاص يعني إهدار 25% من وقتهم أيضًا. عائد الاستثمار لا يتحسن أبدًا. يتناسب هيكل التكلفة بشكل خطي مع المشكلة.
يقوم آخرون بضبط حدود الكشف أو إضافة المزيد من القواعد. فخ مختلف: التوتر الإيجابي الكاذب/التوتر السلبي الكاذب لا يمكن حله في الأنظمة التي تبحث فقط عن التهديدات.
اجعل عملية الكشف عدوانية لاكتشاف الهجمات المعقدة، وستقوم بعزل الاتصالات التجارية المشروعة. كن حذرًا لتقليل النتائج الإيجابية الكاذبة، وستنجح الهجمات الجديدة. مقايضة محصلتها صفر. إن تحسين أحد المقاييس يؤدي إلى تدهور الآخر.
المشكلة معمارية يشترك أمان البريد الإلكتروني المبني على مطابقة الأنماط (الجيل الأول) أو التعلم الآلي (الجيل الثاني) في نفس القيد: يمكنه فقط تقييم إشارات التهديد. فهو يبحث عن الأنماط المشبوهة ولكن ليس لديه طريقة للتحقق من شرعية العمل.
عندما أعاد المهاجمون استخدام القوالب والتكتيكات، نجح هذا الأمر. نجحت عملية مطابقة الأنماط في اكتشاف 60-70% من التهديدات. وكان العمل المتبقي يمكن التحكم فيه.
الذكاء الاصطناعي يغير اللعبة. يقوم المهاجمون الآن بإنشاء متغيرات فريدة غير محدودة، مخصصة للسياق التنظيمي، دون سابقة تاريخية. كل هجوم جديد. تفشل مطابقة الأنماط رياضيًا، فلا يمكنك مطابقة الأنماط التي لا تتكرر.
يفشل التعلم الآلي بنفس الطريقة، فلا يمكنك تدريب النماذج على أنماط الهجوم التي لم يتم رؤيتها بعد.
سوء تخصيص الموارد
وهذا يخلق مشكلة لقيادة تكنولوجيا المعلومات. مواردك الأمنية الأكثر قيمة – المحللون الخبراء الذين يتمتعون بخبرة تتراوح بين 7 إلى 15 عامًا والذين ينبغي عليهم البحث عن التهديدات وبناء قدرات الكشف عنها – محاصرة للتحقيق في النتائج الإيجابية الزائفة.
وينبغي أن يكون هؤلاء المحللون:
- تقييم الآثار الأمنية المترتبة على اعتماد أدوات الذكاء الاصطناعي عبر وحدات الأعمال
- بناء برامج استخبارات التهديد التي توجه القرارات
- إجراء تمارين الطاولة لإعداد القيادة للهجمات
- تمكين الاعتماد الآمن لمنصات الاتصال الجديدة وأدوات العمل
وبدلاً من ذلك، يخصص 25% من وقتهم للتحقق مما إذا كانت فواتير البائعين الشرعية عبارة عن تصيد احتيالي. عند الحصول على تعويض كامل قدره 85-120 ألف دولار لكل محلل، يعد هذا سوء تخصيص كبير للموارد الأمنية.
التحول إلى العمارة القائمة على المنطق
يظهر جيل ثالث من هندسة أمان البريد الإلكتروني يعمل على تغيير النموذج الاقتصادي من خلال حل تخصيص الموارد هندسيًا.
بدلاً من البحث عن إشارات التهديد فقط، تقوم هذه الأنظمة بتقييم رسائل البريد الإلكتروني عبر بعدين في وقت واحد: مؤشرات التهديد وأنماط شرعية الأعمال. وهذا يكسر التوتر الإيجابي/السلبي الكاذب.
لكل بريد إلكتروني، يقوم النظام بإجراء تحقيقات موازية. يقوم جمع إشارات التهديد بفحص حالات فشل المصادقة ومسارات الترحيل المشبوهة وأساليب التلاعب.
وفي الوقت نفسه، يقوم تحليل شرعية الأعمال بتقييم ما إذا كانت أنماط الاتصال تتطابق مع العلاقات التنظيمية القائمة، وما إذا كانت الطلبات تتناسب مع سير عمل الموافقة الموثقة، وما إذا كان سلوك المرسل يتوافق مع المعايير التاريخية.
إن طبقة الاستدلال – التي تستخدم نماذج لغوية كبيرة باعتبارها بنية التنسيق، وليس كميزة مثبتة – تزن جميع الأدلة وتتخذ القرارات.
يمكن إصدار اتصالات البائع المشروعة ذات الخصائص غير العادية (نطاق جديد، مرسل لأول مرة، لغة عاجلة) تلقائيًا لأن إشارات شرعية الأعمال تفوق إشارات التهديد البسيطة.
رسائل البريد الإلكتروني التي تبدو نظيفة من الناحية الفنية ولكنها تنتهك منطق العمل (المدير المالي الذي يطلب التحويل البنكي لتجاوز سير عمل الموافقة القياسية) تؤدي إلى تصعيد ذي أولوية عالية.
وهذا يغير الاقتصاد. بدلاً من 65% من المعدلات الإيجابية الكاذبة التي تستهلك 25% من قدرة المحللين، يمكن للأنظمة المبنية على البنية القائمة على المنطق أن تطلق تلقائيًا 70-80% من الإيجابيات الكاذبة، والتعامل التلقائي مع 15-20% من التهديدات منخفضة المخاطر المضمنة، وتصعيد 5-10% فقط من الهجمات المعقدة مع حزم تحقيق كاملة.
يتحول عبء عمل المحلل من 25% من القدرة على الفرز الإيجابي الكاذب إلى 3-5% من القدرة للتحقق من التصعيد عالي الثقة – وهو تحسن بمقدار 5 إلى 8 أضعاف في إنتاجية المحللين يمكن توسيعه في أي حجم مؤسسة.
بالنسبة لشركة نفط الجنوب (SOC) المكونة من 5 أشخاص في السوق المتوسطة، فإن هذا يسترد 1 FTE مقابل أعمال أخرى. بالنسبة لمؤسسة عمليات مركزية مكونة من 40 شخصًا، يستعيد هذا 8 FTE، وهو الفرق بين تشغيل فرز التنبيه المستمر وبناء برامج استباقية لتعقب التهديدات.
إطار التقييم لقيادة تكنولوجيا المعلومات
عند تقييم بنية أمان البريد الإلكتروني، ركز على النتائج الاقتصادية، وليس على قوائم الميزات. اسأل البائعين:
ما هي النسبة المئوية للاكتشافات التي لا تصل أبدًا إلى المحللين البشريين؟
إذا لم تكن الإجابة “70-80% تم إصدارها تلقائيًا أو تمت معالجتها تلقائيًا”، فهذا يعني أن البنية لم تحل مشكلة تخصيص الموارد. أنت تشتري نظامًا سيستهلك 25% من قدرة المحللين بالمعدلات الحالية.
كيف يشكل النظام شرعية الأعمال، وليس فقط إشارات التهديد؟
البائعون الذين لا يمكنهم سوى توضيح قدرات الكشف عن التهديدات يبيعون أنظمة تعمل على إدامة الأزمة الإيجابية الكاذبة. تختلف الأنظمة التي يمكنها شرح كيفية التحقق من صحة سياق الأعمال وسير عمل الموافقة وأنماط الاتصال من الناحية المعمارية.
ما هي أعمال التحقيق التي تتم قبل تصعيد مركز العمليات الأمنية؟
ترسل الأنظمة القديمة تنبيهات: “تم اكتشاف بريد إلكتروني مريب”. يجب أن تقدم الأنظمة القائمة على الاستدلال حزمًا جاهزة لاتخاذ القرار: جمع الأدلة الكاملة، والتحليل متعدد الأبعاد، وحساب المخاطر مع الأخذ في الاعتبار السلطة المستهدفة وتأثير الأعمال، والإجراءات الموصى بها مع الأساس المنطقي الداعم.
إذا بدأ المحللون التحقيق من الصفر، فأنت تدفع مقابل العمل الذي كان من المفترض أن يقوم به نظام الأمان تلقائيًا.
ما هي التكلفة الإجمالية للملكية؟
احسب: رسوم الترخيص + وقت المحلل في التحقيق في النتائج الإيجابية الخاطئة (25% من السعة × تكلفة الفريق) + تعطل الأعمال بسبب رسائل البريد الإلكتروني المشروعة المعزولة + تكاليف الاختراق بسبب التهديدات المفقودة. يمكن للهندسة المعمارية التي تقلل من عبء المحلل بنسبة 80% + أن تبرر ارتفاع تكاليف الترخيص لأن العائد الاقتصادي الإجمالي أفضل.
النافذة تغلق
لدى المنظمات نافذة محدودة قبل أن تصبح الهجمات المعززة بالذكاء الاصطناعي سائدة. وبحلول عام 2026-2027، سيتم تحويل الأدوات والتقنيات إلى سلعة، مما يؤدي إلى توسيع مجموعة الجهات الفاعلة في مجال التهديد.
إن المؤسسات التي تنتقل إلى أمن البريد الإلكتروني القائم على المنطق تحقق الآن مزايا تشغيلية – اكتشاف أفضل للتهديدات، نعم، ولكن الأهم من ذلك، تخصيص الموارد بشكل أفضل. يمكن لفرق الأمن التركيز على العمل الحقيقي بدلاً من فرز التنبيهات. تواجه العمليات التجارية احتكاكًا أقل من الحجر الصحي الإيجابي الكاذب.
تتحسن هياكل التكلفة مع زيادة إنتاجية المحلل.
ستقضي المنظمات التي تؤخر هذا التحول الفترة من 2027 إلى 2028 في إدارة اضطرابات الأعمال التي يمكن الوقاية منها بينما يعمل المنافسون بكفاءة أكبر.
إن التحول المعماري من مطابقة الأنماط إلى التفكير في سياق العمل يحدد ما إذا كان أمان البريد الإلكتروني سيصبح ميزة أم مركز تكلفة متزايد. لقد تطور أمان البريد الإلكتروني من نظافة البنية التحتية إلى تحدي تخصيص الموارد.
إن السؤال المطروح على قيادة تكنولوجيا المعلومات ليس ما إذا كان ينبغي الاستثمار أكثر أم لا، بل ما إذا كان ينبغي الاستثمار بشكل مختلف، في البنى التحتية التي توفر عوائد اقتصادية أفضل بدلاً من تكاليف التوسع الخطي.
لقد عرضنا أفضل برامج التشفير.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات