الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

القراءة: أمثلة واقعية على استخبارات التهديدات التطبيقية القائمة على الذكاء الاصطناعي

حدد علامات التبويب للتنقل عبر المحتوى.

  • مقدمة

  • دراسة الحالة: جوجل ومانديانت

  • دراسة الحالة: مايكروسوفت

  • دراسة الحالة: آي بي إم

  • ملخص

  • موارد

مقدمة

أصبح تطبيق الذكاء الاصطناعي في استخبارات التهديدات منتشرًا بشكل متزايد في سيناريوهات العالم الحقيقي، مع وجود العديد من الشركات البارزة التي تقود الطريق. يتناول هذا الدرس دراسات حالة للمؤسسات، بما في ذلك Google وMicrosoft وIBM، لعرض كيفية استفادتها من الذكاء الاصطناعي لتعزيز قدراتها في مجال الاستخبارات المتعلقة بالتهديدات.

أهداف الدرس

وبنهاية هذا الدرس ستكون قادراً على ذلك

  • اكتشف كيفية قيام Google وMicrosoft وIBM باستخدام الذكاء الاصطناعي لتحليل التهديدات الذكية

دراسة الحالة: جوجل ومانديانت

تستخدم Google الذكاء الاصطناعي لتحليل مليارات الإشارات الأمنية يوميًا لتحديد التهديدات المحتملة. تسمح النمذجة المتقدمة لعملاء Google بإنشاء مسارات عمل معقدة وعمليات استجابة موثوقة وقابلة للتكرار. من خلال الجمع بين تحليل البيانات القوي وموارد الحوسبة من Google جنبًا إلى جنب مع عقود من المعرفة الأمنية المكتسبة من خلال الاستحواذ على Mandiant في عام 2022، يمكن للعملاء اكتشاف مؤشرات الاختراق والاستجابة والتخفيف من التهديدات بسرعة.

كانت شركة Mandiant، المشهورة بخبرتها في الخطوط الأمامية ومعلومات التهديدات الرائدة في الصناعة، في طليعة مكافحة الخروقات الأمنية على مدار الثمانية عشر عامًا الماضية. ومع استحواذ شركة Mandiant، اكتسبت Google أيضًا المعرفة والخبرة في هذا المجال لأكثر من 900 مستشار ومحلل. حلول الدفاع السيبراني الديناميكية التي توفرها شركة Mandiant توفر لشركة Google الحماية من التهديدات السيبرانية وفريقًا من ذوي المهارات العالية لتوجيه إدارة الاستجابة للحوادث عند حدوث انتهاكات أمنية وهجمات إلكترونية.

أدت شعبية الحوسبة السحابية في السنوات الأخيرة إلى ظهور مخاوف مختلفة في مشهد الأمن السيبراني. تتطلب الطبيعة المترابطة للبيئات السحابية اتخاذ تدابير قوية للأمن السيبراني لحماية سلامة البيانات وسريتها وتوافرها.

يجب على مؤسسات مثل Google Cloud ضمان سرية المعلومات الحساسة، والحماية من الوصول غير المصرح به، ومنع خروقات البيانات، والحفاظ على الامتثال للمتطلبات التنظيمية. بالإضافة إلى ذلك، يجب عليهم الدفاع ضد التهديدات المتطورة مثل البرامج الضارة وبرامج الفدية وهجمات التصيد والتهديدات الداخلية التي تستهدف الأنظمة السحابية.

يمكن أن تكون عواقب عدم كفاية الأمن السيبراني في السحابة وخيمة. يمكن أن تؤدي الانتهاكات إلى خسائر مالية كبيرة، وأضرار بالسمعة، وآثار قانونية، وفقدان ثقة العملاء. علاوة على ذلك، نظرًا لأن البيئات السحابية غالبًا ما تستضيف البنية التحتية والخدمات الحيوية، فإن الاضطرابات أو الوصول غير المصرح به يمكن أن يكون له آثار بعيدة المدى على الشركات وعملائها. ولمواجهة هذه التحديات، يجب على المؤسسات إعطاء الأولوية لتدابير الأمن السيبراني المصممة خصيصًا لمشهد الحوسبة السحابية. يتضمن ذلك تنفيذ ضوابط وصول قوية، والتشفير، وأمن الشبكة، وحلول مراقبة التهديدات. تعد التقييمات الأمنية المنتظمة وفحص الثغرات الأمنية والتدريب على توعية الموظفين أمرًا بالغ الأهمية أيضًا لتحديد المخاطر وتخفيفها بشكل فعال.

سيمكن التعاون بين Google Cloud وMandiant من تقديم المعلومات والخبرة على نطاق واسع من خلال منصة Mandiant Advantage Software-as-a-Service (SaaS)، مما يكمل محفظة الأمان الحالية لـ Google Cloud. ومن خلال توحيد القوى، تهدف المنظمتان إلى إحداث تأثير كبير في تأمين السحابة، وتشجيع اعتماد الحوسبة السحابية، وتعزيز بيئة رقمية أكثر أمانًا.

دراسة الحالة: مايكروسوفت

مساعد الأمن، الذي سيعالج ثلاث قضايا رئيسية يواجهها محللو الأمن:

  1. تعقيد الهجوم
    الأنظمة المعقدة يمكن أن تكون ضارة أثناء الهجوم. ومن خلال دمج البيانات من مصادر مختلفة وتحويلها إلى رؤى واضحة وعملية، يستطيع المحللون الاستجابة للحوادث في غضون دقائق بدلاً من تحمل فترات طويلة تحت الهجوم.

  2. تكتيكات التهرب خفية
    في مواجهة أساليب التهرب الخفية التي يستخدمها المهاجمون، يقوم برنامج Copilot بتحليل الإشارات بسرعة كبيرة باستخدام التعلم الآلي. فهو يحدد التهديدات في مرحلة مبكرة ويحصل على إرشادات استباقية للتصدي بشكل فعال لتصرفات المهاجم المستقبلية.

  3. فجوة المواهب
    تشكل ندرة المواهب تحديًا حيث أن الطلب على خبراء الأمن المهرة يفوق العرض بكثير. يستطيع مساعد الطيار مساعدة الفرق في تعظيم فعاليتها وتعزيز قدراتها من خلال تعليمات مفصلة خطوة بخطوة لتخفيف المخاطر.

يسعى Copilot إلى الجمع بين التعلم الآلي والذكاء البشري في نظام متماسك يساعد المؤسسات من جميع الأحجام على إدارة التهديدات بفعالية باستخدام خدمة برمجية. تستخدم Microsoft الذكاء الاصطناعي لتتبع أنشطة الجهات الفاعلة في مجال التهديد وتقييم مخاطر الهجوم من خلال مراقبة وتحليل المدخلات من أنظمة الكشف ومدخلات العملاء وبيانات الاستجابة. بعد ذلك، يمكن لمحللي مركز أبحاث أمان Microsoft (MSRC) التحقق بكفاءة من تأثير عمليات إرسال الأبحاث المستقلة وتقييمها في بوابة مكافآت الأخطاء الخاصة بهم باستخدام أدوات الذكاء الاصطناعي والتعلم الآلي، مما يقلل العبء الأمني ​​على المؤسسات الفردية.

باستخدام Security Copilot، تمكن Microsoft فرق الأمان الخاصة بعملائها وصائدي التهديدات ومحللي البرامج الضارة من التعاون في الوقت الفعلي والتحقيق في التهديدات وتحسين أوقات الاستجابة من خلال إنشاء أدلة تشغيل وإجراءات استنادًا إلى الأحداث والاستجابات السابقة.

دراسة الحالة: آي بي إم

تعمل شركة IBM على الاستفادة من قوة تقنية Watson AI في منصة إدارة الحوادث الأمنية والأحداث (SIEM) الرئيسية الخاصة بها من خلال حل يسمى QRadar Advisor.

فكيف يعمل؟ QRadar Advisor هو مساعد يعمل بالذكاء الاصطناعي يساعد مراكز العمليات الأمنية (SOCs) على مواكبة سيل من المعلومات عن طريق ربط الحوادث المختلفة تلقائيًا بطريقة تساعد المحللين على مراقبة الصورة الكبيرة وعدم استبعاد حدث ما عن طريق الخطأ.

مركز العمليات الأمنية (SOC)، المعروف أيضًا باسم مركز عمليات أمن المعلومات (ISOC)، هو فريق من متخصصي أمن تكنولوجيا المعلومات الذين يعملون إما داخليًا أو خارجيًا لمراقبة البنية التحتية لتكنولوجيا المعلومات بالكامل في المؤسسة على مدار الساعة. هدفهم الرئيسي هو تحديد حوادث الأمن السيبراني في الوقت الحقيقي والاستجابة لها بسرعة وكفاءة.

من خلال أتمتة الممارسات الرئيسية في مركز عمليات الأمان (SOC)، يمكن لـ QRadar مساعدة المؤسسات على مواجهة هذه التحديات المشتركة:

  1. المزيد من التهديدات وليس الوقت الكافي لاكتشافها - غالبًا ما تمر المعلومات القيمة دون أن يلاحظها أحد لأن المحللين يكافحون من أجل الربط بين النقاط. وهذا يجعل من الصعب استخلاص رؤى قابلة للتنفيذ، مما يدفع المحللين إلى التركيز فقط على الحالات التي يشعرون بالثقة بشأنها. ولسوء الحظ، يمكن أن يؤدي هذا النهج إلى إغفال التحقيقات وتعريض المنظمة للمخاطر.

  2. الحمل الزائد للمعلومات - إن الحجم الهائل والتنوع وسرعة التحليل للرؤى يجعل من الصعب تحديد أولويات العمل وتحديد السبب الجذري للمشكلات. يؤثر هذا التحدي على الشركات بجميع أحجامها. ويكافح المحللون من أجل تجميع السياق المحلي بسرعة، مما يجعلهم غارقين في المهام المتكررة.

  3. أوقات المكوث - تُعد مدة المكوث، التي تشير إلى المدة بين وقوع حادث أمني واكتشافه والاستجابة له، مقياسًا مهمًا يعتمد عليه خبراء الأمن لتقييم فعاليتهم في حماية البيانات والدفاع عنها. على وجه التحديد، يتم استخدام قياسين رئيسيين، وهما MTTD (متوسط ​​وقت الكشف) و MTTR (متوسط ​​وقت الاستجابة) ، على نطاق واسع لتقييم هذا النجاح. على الرغم من توفر المزيد من الحلول والبيانات، يمكن أن يتراوح متوسط ​​وقت المكوث اليوم من 50 إلى 200 يوم. ويساهم الافتقار إلى تحقيقات متسقة وعالية الجودة مع المعلومات السياقية في انهيار العمليات الحالية، مما يزيد من المخاطر التي تواجهها المنظمات.

  4. النقص في المواهب في مجال الأمن السيبراني والإرهاق الوظيفي - غالبًا ما يجد محللو الأمن أنفسهم مثقلين بالعمل، ويعانون من نقص الموظفين، ومرهقين بسبب اتساع نطاق التهديدات والمهام التشغيلية اليومية. ومع استمرار نمو البيانات بشكل كبير، تتسع فجوة المهارات، وستزداد المشكلة أيضًا.

تتمثل الميزة الأساسية لأتمتة أجزاء من مركز عمليات الأمن (SOC) الخاص بك في أنها تجمع وتنسق أدوات وممارسات الأمان الخاصة بالمؤسسة والاستجابة للحوادث. يؤدي هذا التكامل عادة إلى تحسين التدابير الوقائية، وتعزيز السياسات الأمنية، والكشف بشكل أسرع عن التهديدات، واستجابات أسرع وأكثر فعالية وفعالة من حيث التكلفة للحوادث الأمنية. علاوة على ذلك، يمكن لمركز عمليات الأمن (SOC) تعزيز ثقة العملاء وتبسيط الامتثال للوائح الخصوصية الصناعية والوطنية والعالمية. يؤدي الحل إلى استجابة متسقة، مع إعطاء الأولوية للتنبيهات الأكثر خطورة وتخطيط إجراءات المهاجم لإطار عمل MITRE ATT&CK.

يعد إطار عمل MITRE ATT&CK، الذي طورته شركة MITRE، قاعدة معرفية شاملة تقوم بفهرسة التكتيكات والتقنيات والإجراءات الواقعية التي يستخدمها المهاجمون في عمليات التطفل عبر الإنترنت. وهو يقدم نهجًا منظمًا وموحدًا لتحليل المراحل المختلفة للهجمات ويغطي مختلف نواقل التهديدات مثل الشبكة ونقطة النهاية والسحابة والأنظمة الأساسية للجوال. يتكون ATT&CK من مصفوفة تنظم تكتيكات وتقنيات المهاجم، مما يوفر نظرة ثاقبة للأهداف والأساليب. يستخدم على نطاق واسع من قبل متخصصي الأمن السيبراني، فهو يعزز قدرات الكشف عن التهديدات والاستجابة لها، ويساعد المؤسسات على فهم تكتيكات الخصوم، وتطوير دفاعات فعالة، وتحسين المرونة السيبرانية بشكل عام.

ملخص

وقد اكتسب تطبيق الذكاء الاصطناعي في استخبارات التهديدات اهتماما كبيرا، كما يتضح من دراسات الحالة لشركات بارزة مثل جوجل، ومايكروسوفت، وآي بي إم. كما يستفيد موردو الأمن البارزون الآخرون، مثل Cisco وCrowdStrike وPalo Alto، من تقنيات الذكاء الاصطناعي والتعلم الآلي لتحسين الكشف عن الهجمات ضد عملائهم وإيقافها. تستفيد هذه المؤسسات من الذكاء الاصطناعي لتعزيز قدراتها في مجال استخبارات التهديدات، مما يمكنها من تحليل كميات هائلة من الإشارات الأمنية، واكتشاف التهديدات المحتملة، والاستجابة بسرعة.

يجمع التعاون بين Google وMandiant بين إمكانات تحليل بيانات Google وخبرة Mandiant، مما يوفر حلول دفاع إلكترونية متقدمة وإرشادات للاستجابة للحوادث. تعالج أداة Security Copilot المدعومة بالذكاء الاصطناعي من Microsoft التعقيدات وأساليب التهرب وفجوة المواهب التي يواجهها محللو الأمن، مما يسهل إدارة التهديدات الاستباقية. تستخدم شركة IBM تقنية Watson AI في حل QRadar Advisor الخاص بها، مما يؤدي إلى أتمتة الممارسات الرئيسية في مراكز العمليات الأمنية (SOCs) لمواجهة التحديات مثل التحميل الزائد للمعلومات، وأوقات المكوث، ونقص مواهب الأمن السيبراني. يؤدي تكامل هذه الأساليب المعتمدة على الذكاء الاصطناعي مع إطار عمل MITRE ATT&CK إلى تعزيز قدرة المؤسسات على اكتشاف التهديدات السيبرانية والاستجابة لها والدفاع ضدها، مما يؤدي في النهاية إلى تعزيز بيئة رقمية أكثر أمانًا.

أثناء تنقلك خلال التمارين في هذه الدورة، ضع في اعتبارك دراسات الحالة هذه وكيف يمكن لأدوات الذكاء الاصطناعي أن تساعد في معالجة بعض هذه التحديات التي تواجه مؤسستك.

موارد

  • الذكاء الاصطناعي للتهديدات السحابية من Google

  • مايكروسوفت الأمن مساعد IBM الأمن

  • بالو ألتو نتوركس- قيمة الذكاء الاصطناعي/التعلم الآلي في البيئات الأمنية: تجاوز الضجيج

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل