تعزيز الدفاع السيبراني بالذكاء الاصطناعي الوكالي

في ظل تزايد الهجمات السيبرانية، أصبح من الضروري استخدام تقنيات متقدمة مثل الذكاء الاصطناعي الوكالي لتعزيز الدفاعات الأمنية.

كيف يمكن للذكاء الاصطناعي الوكالي تعزيز الدفاع السيبراني

شهدت أنشطة الهجمات السيبرانية زيادة كبيرة لدرجة أن أكبر فرق تحليل أمني لم تعد قادرة على قياس دقة وجودة تحقيقاتها دون شكل من أشكال الأتمتة. بالنسبة لبعض المؤسسات، قد يكون الاعتماد على نماذج الذكاء الاصطناعي الوكالي التي تقوم بتصنيف التنبيهات وتقييم شدتها وتعمل جنبًا إلى جنب مع محللي مركز العمليات الأمنية (SOC) خيارًا قابلاً للتطبيق.

تجربة ترانسوربان

تعتبر شركة ترانسوربان، المشغل العالمي للطرق السريعة، من أوائل المتبنين للوكلاء الافتراضيين لمعالجة المشكلة الشائعة التي يواجهها مشغلو SOC في مواجهة زيادة حجم التهديدات التي أصبحت أكثر تعقيدًا. ناقش محمد علي باراكا، رئيس الدفاع السيبراني في ترانسوربان، كيفية تنفيذ فريقه لنماذج الذكاء الاصطناعي الوكالي كجزء من عرض “تحويل مستقبل الدفاع السيبراني بالذكاء الاصطناعي الوكالي” في مؤتمر بلاك هات الشرق الأوسط في الرياض، المملكة العربية السعودية، هذا الأسبوع. أوضح باراكا التحديات التي واجهها، والتكنولوجيا التي تم تنفيذها، والخطط المستقبلية، وكيف حسّن الذكاء الاصطناعي الكفاءة في عملية حوكمة الأمن في المؤسسة.

يقول باراكا لموقع Dark Reading إن حجم التنبيهات أصبح ساحقًا لدرجة أن محللي SOC في ترانسوربان كانوا يقومون بتصنيف 8% فقط من التذاكر المولدة. كان المحللون الكبار يدخلون البيانات في جداول Excel في نهاية الشهر ويكتشفون أن المعلومات في بعض التذاكر لم تكن دقيقة، “لذا أرجعوها إلى المحللين، لكن التذاكر كانت مغلقة في ذلك الوقت”، كما يقول باراكا.

تطوير نظام ذكاء اصطناعي وكالي

لم يكن توظيف المزيد من المحللين الأمنيين ممكنًا بسبب التكاليف وصعوبة التوظيف والاحتفاظ بهم. وبالتالي، في بداية هذا العام، قام باراكا وفريقه الأمني وتطوير البرمجيات بتطوير وتدريب نظام ذكاء اصطناعي وكالي يعتمد على نماذج اللغة الكبيرة (LLMs) التي تمكن الوكلاء الآليين من المساعدة في التعامل مع التذاكر الأمنية. قام المطورون بتدريب وكيلين لأداء فحوصات الجودة، مما يضمن تحسين الدقة في الوقت الحقيقي لجميع الأحداث الأمنية.

بعد تقييم خيارات نمذجة LLM المختلفة، قررت ترانسوربان استخدام نموذج كلود من أنثروبيك. يقول باراكا إن ترانسوربان اختارت كلود لأنه يتكامل بشكل جيد مع نظام Splunk SIEM ونظام تذاكر ServiceNow وAWS Bedrock، الخدمة المدارة للذكاء الاصطناعي لاستضافة نماذج الأساس مثل كلود.

تحسين عملية التعامل مع الحوادث

تم تصميم نموذج الذكاء الاصطناعي الوكالي داخليًا لتصفح جميع عقد الحوادث والحلول، مما يضمن التعامل مع الحوادث ضمن الدلائل المعنية. يتكون النموذج من وكيلين: واحد لتصنيف الحوادث وآخر للتحقق من ملاحظات الحل قبل إغلاق التذاكر. يقوم الوكيل الأول بمراجعة حقول تذاكر الحوادث، مما يضمن تصنيفها بشكل صحيح، بينما يقوم الوكيل الثاني بحل حادثة قبل إغلاقها، كما يوضح باراكا. ومع ذلك، لا يغلق الوكيل التذاكر؛ بل يرسل الملخص مرة أخرى إلى المحلل الأمني البشري لمعالجة القضايا المقترحة. ثم يتحقق نموذج الوكيل من أن المشكلة قد تم تصحيحها قبل إغلاق الحادث.

نتائج إيجابية

يقول باراكا إن النماذج، التي تم اختبارها بشكل مكثف قبل النشر، توفر تغطية بنسبة 100% لجميع الحوادث مع الحفاظ على معدل إيجابيات خاطئة أقل من 3%. منذ نشرها في سبتمبر، تم تقليل أوقات تصنيف التنبيهات بنسبة 60%، مع معدل دقة يبلغ 92%.

الالتزام باتفاقيات مستوى الخدمة ودلائل استجابة الأمن السيبراني أمر ضروري في ترانسوربان، التي تدير عمليات 22 طريقًا سريعًا في وطنها أستراليا، بالإضافة إلى بعض الطرق في الولايات المتحدة وكندا. تعتبر المرونة السيبرانية أمرًا حيويًا لأنها نشرت تكنولوجيا على الطرق التي تديرها والتي يمكن أن تؤثر على تدفق حركة المرور.

يقول باراكا: “سلامة الإنسان هي العامل الأكثر أهمية بالنسبة لنا”.

خطط مستقبلية

يقول باراكا إن فريقه لم يستكشف بعد كل ما يمكن أن يفعله الذكاء الاصطناعي الوكالي لأتمتة العملية الكاملة للوقت المستغرق لاكتشاف (MTTD) والوقت المستغرق للاستجابة (MTTR). تخطط ترانسوربان لتوسيع النظام ليشمل معلومات التهديدات الخارجية وأتمتة عمليات التصنيف والاستجابة باستخدام خادم نموذج سياق أنثروبيك (MCP) للتكامل مع أنظمة أخرى.

يضيف باراكا أن المرحلة التالية ستكون أتمتة عملية التصنيف، ثم إضافة الاستجابة الآلية، “لذا إذا كان علينا احتواء أي أنظمة أو شبكات متأثرة، يمكننا الاعتماد على الذكاء الاصطناعي الوكالي لاتخاذ قرارات ذكية واحتواء الأنظمة أيضًا”.

يقول باراكا إنه على الرغم من أن هذه القدرات جديدة نسبيًا، إلا أنه يعتقد أنها ستكتسب زخمًا سريعًا، مما يتماشى مع توقعات Omdia لمسؤولي اتخاذ القرار في مجال الأمن السيبراني لعام 2025. وفقًا لتوقعات Omdia، يمكن أن تصل SOCs المستقلة إلى إمكاناتها الكاملة وتصبح معيارًا لمديري الأمن السيبراني خلال عامين.

“الذكاء الاصطناعي الوكالي هو تقنية تتطور بسرعة ويحتضنها فرق SecOps حيث تتحول SOCs بسرعة إلى مختبرات لتنفيذ الذكاء الاصطناعي المتقدم”، كما أشار أندرو براونبرغ. “هذا الاعتماد يحدث ثورة في العمليات بشكل أكثر دراماتيكية من أي ابتكار منذ ظهور منصات SIEM الجيل التالي.”

تتجه المؤسسات نحو تبني الذكاء الاصطناعي الوكالي كحل مبتكر لمواجهة التحديات الأمنية المتزايدة وتحسين الكفاءة في عمليات الأمن السيبراني.