الذكاء الاصطناعي يعيد تشكيل سير عمل مراكز العمليات الأمنية.. من التجربة إلى القيمة التشغيلية

رغم أن الذكاء الاصطناعي أصبح جزءاً متزايداً من بيئة الأمن السيبراني، إلا أن العديد من فرق مراكز العمليات الأمنية (SOC) ما زالت تواجه صعوبة في تحويل التجارب الأولية إلى قيمة تشغيلية مستمرة. تشير نتائج مسح SANS لعام 2025 إلى أن 40% من المراكز تستخدم أدوات الذكاء الاصطناعي أو التعلم الآلي دون دمجها بشكل رسمي في العمليات، بينما يعتمد 42% على الأدوات “كما هي” دون أي تخصيص. هذه الفجوة تؤدي إلى وجود الذكاء الاصطناعي داخل المراكز بشكل غير مُهيكل، حيث يستخدمه المحللون بشكل غير رسمي وبموثوقية متفاوتة، بينما لم تحدد القيادات بعد نموذجاً واضحاً لمكانة الذكاء الاصطناعي وكيفية التحقق من مخرجاته.

مجالات رئيسية لدعم الذكاء الاصطناعي في SOC

أثبتت التجارب أن الذكاء الاصطناعي يمكن أن يعزز قدرات المراكز الأمنية ويزيد من نضجها ورضا فرق العمل، شرط أن يُطبق على مهام محددة بوضوح مع آليات مراجعة صارمة. ومن أبرز المجالات التي يمكن أن يستفيد منها:

1. هندسة الاكتشاف (Detection Engineering): الهدف هو بناء تنبيهات عالية الجودة يمكن إدراجها في أنظمة SIEM أو خطوط MDR. الذكاء الاصطناعي ينجح عندما يُستخدم في مشكلات محددة وقابلة للاختبار، مثل تحليل أول ثماني بايتات من تدفق الحزم لتحديد ما إذا كانت تعيد بناء حركة DNS بشكل صحيح. هذا المثال يوضح أن القيمة تأتي من دقة المهمة وجودة التدريب، وليس من الأتمتة الواسعة.
2. الصيد السيبراني (Threat Hunting): يُستخدم الذكاء الاصطناعي هنا كأداة استكشافية لتسريع البحث عن أنماط غير مألوفة أو اختبار فرضيات جديدة. لكنه لا يقرر ما هو مهم، بل يترك الحكم للمحللين الذين يفسرون السياق ويحددون قيمة الإشارات.
3. تطوير البرمجيات والتحليل (Software Development and Analysis): نظراً لأن المراكز تعتمد على البرمجة بشكل يومي، يمكن للذكاء الاصطناعي أن يسرّع كتابة الأكواد أو تحسينها. لكنه لا يفهم المشكلة الأساسية، مما يفرض على المحللين مسؤولية التحقق من صحة المخرجات قبل استخدامها في بيئة الإنتاج.
4. الأتمتة والتنسيق (Automation and Orchestration): يمكن للذكاء الاصطناعي أن يساعد في صياغة منطق الأتمتة وتحويل أوصاف نصية إلى خطوات قابلة للتنفيذ داخل منصات SOAR أو MCP. لكن القرار النهائي بتنفيذ الإجراء يجب أن يبقى بيد البشر، لضمان اتساق الأتمتة مع مستوى المخاطر المقبول لدى المؤسسة.
5. التقارير والتواصل (Reporting and Communication): ما زالت 69% من المراكز تعتمد على أساليب يدوية في إعداد التقارير، مما يضعف الرؤية لدى القيادات. الذكاء الاصطناعي يوفر وسيلة منخفضة المخاطر لتحسين الأداء عبر توحيد البنية، تعزيز الوضوح، وتحويل الملاحظات الخام إلى ملخصات قابلة للفهم بسرعة.

نماذج تبني الذكاء الاصطناعي في SOC

يمكن تصنيف استخدام الذكاء الاصطناعي في المراكز الأمنية إلى ثلاثة أنماط:

• المستفيد (Taker): يستخدم الأدوات كما هي دون تعديل.
• المُشكّل (Shaper): يخصص الأدوات لتناسب سير العمل.
• المُنشئ (Maker): يبني حلولاً جديدة مثل نماذج كشف محددة النطاق.

غالباً ما تكون الفرق مزيجاً من هذه الأنماط، حيث قد تعتمد على تقارير جاهزة في جانب، وتطور منطقاً خاصاً في جانب آخر. المهم أن يكون لكل سير عمل توقعات واضحة حول كيفية استخدام الذكاء الاصطناعي، وكيفية التحقق من مخرجاته، وأن تبقى المسؤولية النهائية في يد المحللين لضمان حماية الأنظمة.