أظهرت دراسة حديثة أجرتها Spur Intelligence على أكثر من 200 متخصص أمني أن البنى المجهولة مثل شبكات VPN والوكلاء السكنيين أصبحت جزءًا شبه ثابت في الحوادث الأمنية. هذه الأدوات تمنح المهاجمين القدرة على إخفاء هويتهم، حيث تمرر حركة المرور عبر اتصالات إنترنت منزلية أو شبكات افتراضية، ما يجعل النشاط الخبيث يبدو وكأنه سلوك طبيعي لمستخدم شرعي. النتيجة أن القوائم السوداء التقليدية أو تقييم السمعة لم تعد كافية للكشف المبكر.
فجوة السياق في تحليل بيانات الـ IP
رغم وفرة البيانات مثل معلومات الموقع الجغرافي وملكية الشبكة، فإن الفرق الأمنية تفتقر إلى السياق الذي يوضح من يقف خلف الاتصال وما هي نواياه. نصف المشاركين في الدراسة أكدوا أن غياب السياق هو أكبر تحدٍ أمامهم. المطلوب اليوم ليس مجرد بيانات أساسية، بل طبقات إضافية مثل:
- تصنيف البنية التحتية (VPN أو Proxy).
- مؤشرات سلوكية وأنماط استخدام تاريخية.
- إشارات مرتبطة بالأتمتة أو البوتات.
- ربط الجلسات والأجهزة لتحديد المخاطر بدقة.
ردود فعلية بدلًا من استباقية
معظم المؤسسات تستخدم بيانات الـ IP في مرحلة التحقيق بعد وقوع التنبيه، أي بشكل رد فعلي. هذا يحد من القيمة الاستراتيجية للمعلومات. الاتجاه الجديد هو إدخال ذكاء الـ IP في وقت مبكر ضمن عمليات اتخاذ القرار، مثل:
- المصادقة التكيفية.
- ضوابط وصول قائمة على المخاطر.
- منع الاحتيال عبر السياسات الآلية.
- تقييم المخاطر للجلسات في الزمن الحقيقي.
المخاطر الداخلية للبنى المجهولة
لا تقتصر المشكلة على التهديدات الخارجية؛ فسياسات الأجهزة الشخصية (BYOD) واستخدام الموظفين لتطبيقات VPN أو بروكسيات سكنية يفتح مسارات مجهولة داخل الشبكة المؤسسية. الدراسة أظهرت أن 61% من المؤسسات ليست قلقة بما يكفي من هذا الخطر، رغم أنه قد يُستغل من جهات تهديد تتخفى كموظفين شرعيين في بيئات العمل عن بُعد. مع تطور بنية Zero Trust، يجب اعتبار أي نشاط مجهول داخل الشبكة إشارة خطر محتملة.
قياس فعالية ذكاء الـ IP
الكثير من المؤسسات تستثمر في تقنيات ذكاء الـ IP لكنها لا تقيس فعاليتها بشكل صحيح. ثلث الشركات لا تقيسها إطلاقًا. المقاييس الأكثر أهمية اليوم هي:
- زمن التحقيق.
- معدلات الإيجابيات الكاذبة.
- التكاليف التشغيلية.
هذه مؤشرات مرتبطة مباشرة بالأثر التجاري وتساعد في تبرير الاستثمار.
مستقبل ذكاء الـ IP
يتجه المجال نحو ثلاث ركائز أساسية:
- المزيد من السياق بدلًا من المزيد من البيانات الخام.
- الأتمتة لدمج الذكاء مباشرة في أنظمة الكشف والمنع.
- الارتباط بالقرارات الأمنية بحيث يصبح ذكاء الـ IP أساسًا لضوابط الوصول القائمة على المخاطر.
المنظمات التي ستنجح هي تلك التي تنتقل من مجرد رصد عناوين مشبوهة إلى فهم البنية والسلوك والنوايا الكامنة خلفها، وهو ما سيحدد فعالية الاستجابة أمام التهديدات الحديثة.
