مقدمة
يمتلك فريق أمان المؤسسة العادي 40 أداة أمان أو أكثر، مما يوفر قدرًا كبيرًا من الرؤية لبيانات القياس الداخلي والأصول. ولكن في كثير من الأحيان، تعمل هذه الأدوات بشكل منفصل، حيث تولد تنبيهات وبيانات (متداخلة). ومع ذلك، تظل فترات بقاء الاختراقات طويلة للغاية (حوالي 43 يومًا)، وتستمر نوافذ الاستجابة في الإغلاق قبل أن تتمكن الفرق من التصرف، ويستهلك المحللون ضوضاء الفرز بدلاً من إيقاف التهديدات.
المشكلة ليست في الجهد إنها الهندسة المعمارية.
تم تصميم برامج الأمان لعالم تتحرك فيه التهديدات ببطء كافٍ حتى يتمكن البشر من تنسيق الاستجابات يدويًا. هذا العالم لم يعد موجودا. مع الطريقة التي يتم بها تطوير قدرات الذكاء الاصطناعي واستخدامها، خاصة مع أدوات الذكاء الاصطناعي الرائدة، هناك حاجة إلى موقف أكثر استباقية فيما يتعلق بالأمن بالإضافة إلى استجابة سرعة الآلة لمحاربة الخصوم الذين يتحركون بسرعة. يساعد إطار إدارة التعرض المستمر للتهديدات (CTEM) من Gartner على هذا التحول من التقييمات التفاعلية في الوقت المناسب إلى دورة مستمرة ومتكررة لتحديد النطاق والاكتشاف وتحديد الأولويات والتحقق من الصحة والتعبئة. ولكن بالنسبة لمعظم المؤسسات، ظل تفعيل CTEM من البداية إلى النهاية بعيد المنال، لأن الأدوات اللازمة للقيام بذلك لا تزال لا تتواصل مع بعضها البعض.
المشكلة المعمارية وراء كل فجوة أمنية
مجموعات الأمان الحديثة عبارة عن مجموعات من الأدوات المتخصصة: منصة استخبارات التهديدات هنا، وماسح الثغرات الأمنية هناك، وأداة BAS (محاكاة الاختراق والهجوم) المنفصلة، وSIEM الذي يحاول تجميع كل ذلك معًا. كل يولد البيانات. لا أحد منهم يغلق الحلقة.
بحلول الوقت الذي يتم فيه ربط المعلومات الاستخبارية، وتحديد أولويات التعرضات، وتشغيل التحقق من الصحة، واتخاذ إجراءات بشأن تذكرة العلاج، يكون الخصم قد تحرك بالفعل في كثير من الأحيان. عنق الزجاجة ليس أداة واحدة. إنها المساحة البيضاء بينهما.
هذه هي مشكلة الهندسة المعمارية التي تجعل قادة الأمن مستيقظين ليلاً، وهي المشكلة التي لا يحلها فعليًا مساعدو الذكاء الاصطناعي العامون، المندمجون في سير العمل الحالي. من المفيد أن تطلب من برنامج الدردشة الآلية تلخيص تقرير التهديد. لا يشبه الأمر وجود نظام ذكاء اصطناعي يربط هذا التقرير بشكل مستقل بسطح التعرض المباشر، ويتحقق من صحة عناصر التحكم لديك، ويعطي الأولوية لما يجب إصلاحه أولاً.
ماذا تعني كلمة “وكيل” فعليًا ولماذا أصبحت مهمة الآن
لقد أصبح مصطلح “الذكاء الاصطناعي” مثقلًا جدًا في التسويق الأمني لدرجة أنه يستحق أن نكون دقيقين بشأن ما يعنيه الذكاء الاصطناعي الوكيل فعليًا في هذا السياق.
الذكاء الاصطناعي المساعد في انتظار أن يُطلب منك ذلك. فهو يلخص، ويترجم، ويسترجع. فهو يجعل المحللين أسرع في القيام بنفس الأشياء التي كانوا يقومون بها بالفعل.
أعمال الذكاء الاصطناعي الوكيل. فهو يفهم السياق، ويحدد الأولويات بشكل مستقل، وينفذ عمليات سير عمل متعددة الخطوات عبر الأنظمة، ليس كاستعلام لمرة واحدة، ولكن بشكل مستمر، في الخلفية، وبسرعة الجهاز.
إن التمييز مهم لأن بيئة التهديد تعمل بشكل متزايد بسرعة الآلة أيضًا. ومع التقدم السريع في نماذج الذكاء الاصطناعي الرائدة، تتقلص الجداول الزمنية للاكتشاف والاستغلال بشكل كبير. الفرق الأمنية التي ستبقى في المقدمة لن تكون هي التي لديها أكبر عدد من المحللين. سيكونون هم الأشخاص الذين يمكن لبنيتهم التحتية للذكاء الاصطناعي أن تتطابق مع هذه الوتيرة بشكل مستقل.
بالنسبة لـ CTEM على وجه التحديد، هذا يعني أن ثلاث وظائف يجب أن تتوقف عن كونها مسارات عمل منفصلة:
- تفعيل الاستخبارات المتعلقة بالتهديدات: استيعاب بيانات التهديد والتعرض ونقاط الضعف وهيكلتها ووضعها في سياقها بشكل مستمر ضد بيئتك. يفهم ماذا الخصوم يفعلون و أيّ ومن المحتمل أن تتعرض الأصول والبنية التحتية لتلك المخاطر.
- اختبار الوضع الأمني الخاص بك والتحقق من صحته: الاختبار المستمر لما إذا كانت عناصر التحكم والفرق والعمليات لديك تصمد فعليًا في مواجهة سلوكيات الخصم التي تتتبعها
- تعبئة الاستجابة: تحديد أولويات إجراءات المعالجة وتوجيهها تلقائيًا استنادًا إلى الأدلة والمخاطر المعتمدة على المعلومات.
عندما تعمل هذه الوظائف الثلاث كحلقة مغلقة، حيث يقوم عملاء الذكاء الاصطناعي بنقل المعلومات والقرارات فيما بينهم دون انتظار عمليات التسليم البشرية، يتوقف برنامج CTEM عن كونه إطار عمل على شريحة ويبدأ في كونه حقيقة تشغيلية.
الذكاء الاصطناعي الوكيل لتفعيل CTEM والأمن الاستباقي
إن بنية إدارة التهديدات الوكيلة هي ما يُحدث الفرق بين إطار عمل CTEM الموجود في وثيقة الإستراتيجية والذي يعمل بشكل مستمر في الخلفية. يتطلب ذلك طبقة تنسيق مخصصة للذكاء الاصطناعي تعمل كطبقة أساسية وسياقية مع عوامل مترابطة. بدلاً من قيام المحللين بربط معلومات التهديد يدويًا بالتحقق من صحة التعرض، يقوم الوكلاء بالعبء الثقيل بشكل مستمر وبالسياق والمنطق الصحيحين. يكون سير العمل بأكمله مستقلاً، حيث يقوم الوكلاء بتسليم المهام من واحد إلى آخر وعبر المنتجات مع الاحتفاظ بالإنسان في الحلقة لاتخاذ القرار النهائي. يمكن للمحللين أن يصبحوا حقًا منسقين للإجراءات التي تعتمد على الاستخبارات.
إن فرق الأمان التي تعمل على بناء هذه الإمكانية لا تنتظر الآن مجموعة أدوات مثالية. إنهم يبنون النموذج التشغيلي أولاً ويتركون الهندسة المعمارية تلحق بالركب. وأولئك الذين يصلون إلى هناك أولاً سوف يتمتعون بميزة هيكلية تتراكم بمرور الوقت: بيانات أفضل، وتحليل أفضل، وأدلة أفضل، علاوة على ذلك، ذكاء اصطناعي أفضل. لم يتم تصميم ماجستير إدارة الأعمال للأغراض العامة لهذا الغرض، فهو يتطلب السياق والمعرفة القائمة على المنتج.
إن المؤسسات التي تغلقه بشكل أسرع هي تلك التي تتعامل مع CTEM كنموذج تشغيل، وليس كأداة واحدة، وتختار البنية التحتية للذكاء الاصطناعي المصممة خصيصًا لتشغيله من البداية إلى النهاية. يمكنك رؤية النموذج التشغيلي أثناء العمل باستخدام XTM One CTEM Assistant.
شاهده عمليًا: ندوة عبر الإنترنت مباشرة
يدير Filigran جلسة مباشرة تستعرض كيف يبدو هذا الأمر عمليًا: كيف تستخدم فرق الأمان الذكاء الاصطناعي الوكيل لربط المعلومات الاستخباراتية والتحقق من صحة التعرض والاستجابة في سير عمل واحد مستمر، بدون فجوات التسليم التي تبطئ كل خطوة بينهما.
ستغطي الجلسة:
- لماذا يؤدي التحول إلى الذكاء الاصطناعي الوكيل إلى تغيير النموذج التشغيلي لبرامج الأمان، وليس فقط الأدوات
- حيث تتفوق العوامل المصممة لهذا الغرض على الذكاء الاصطناعي للأغراض العامة عندما تكون الدقة مهمة
- كيفية تقييم البنية التحتية للذكاء الاصطناعي الوكيل لبرنامجك الخاص
سجل لحضور جلسة مباشرة أو احصل على التسجيل:
