الفجوة بعد التنبيه: التحدي الحقيقي أمام فرق الأمن السيبراني رغم سرعة الكشف

الفجوة بعد التنبيه: التحدي الحقيقي أمام فرق الأمن السيبراني رغم سرعة الكشف
الفجوة بعد التنبيه: التحدي الحقيقي أمام فرق الأمن السيبراني رغم سرعة الكشف
شارك هذا الخبر

قامت شركة Anthropic بتقييد نموذجها التجريبي Mythos بعد أن تمكن بشكل مستقل من العثور على ثغرات يوم صفر واستغلالها في جميع أنظمة التشغيل والمتصفحات الرئيسية. وفي الوقت ذاته، حذرت Wendi Whitmore من Palo Alto Networks من أن قدرات مشابهة قد تنتشر خلال أسابيع أو أشهر.
تقرير CrowdStrike 2026 أشار إلى أن متوسط وقت الاختراق في الجرائم الإلكترونية يبلغ 29 دقيقة، بينما أوضح تقرير Mandiant M-Trends 2026 أن زمن تسليم السيطرة بين المهاجمين تقلص إلى 22 ثانية فقط. هذه الأرقام تكشف أن الهجوم يتسارع بشكل غير مسبوق، بينما يظل الدفاع بطيئًا في مرحلة ما بعد التنبيه.

تحسن أدوات الكشف لكن المشكلة في ما بعد التنبيه

أدوات الكشف الأمنية مثل EDR، وحماية البريد الإلكتروني، وأنظمة الهوية، ومنصات SIEM، باتت قادرة على تقليص زمن الكشف (MTTD) إلى مستويات شبه صفرية بالنسبة للتقنيات المعروفة. هذا إنجاز حقيقي نتج عن سنوات من الاستثمار في هندسة الكشف.
لكن المشكلة لا تكمن في سرعة إطلاق التنبيه، بل في ما يحدث بعده. فالمحلل الأمني يحتاج إلى رؤية التنبيه، جمع السياق من عدة أدوات، التحقيق، اتخاذ القرار، ثم بدء الاستجابة. هذه العملية قد تستغرق من 20 إلى 40 دقيقة، وغالبًا ما يبدأ التحقيق بعد فوات الأوان، إذ يكون المهاجم قد تحرك بالفعل داخل الشبكة.

الفجوة بعد التنبيه: التحدي الحقيقي

في معظم مراكز العمليات الأمنية (SOC)، التنبيه يدخل في قائمة انتظار، بينما يكون المحلل منشغلًا بتحقيق آخر. السياق موزع عبر أربع أو خمس أدوات، والتحقيق يتطلب استعلامات متعددة وربط بيانات الهوية مع سجلات الأجهزة. النتيجة أن المهاجم يستغل هذه النافذة الزمنية القصيرة ليحقق أهدافه قبل أن يبدأ التحقيق الجاد.
مؤشر MTTD لا يعكس هذه الفجوة، فهو يقيس سرعة الكشف فقط، بينما الجزء الأخطر يظل غير مقاس: كم من التنبيهات خضعت لتحقيق فعلي؟ كم منها أُغلق بسرعة دون تحليل؟ وكم منها لم يُنظر فيه أصلًا؟

دور الذكاء الاصطناعي في سد الفجوة

التحقيق المدعوم بالذكاء الاصطناعي لا يسرّع الكشف، لكنه يضغط الزمن بعد التنبيه. فبدلًا من قوائم الانتظار، يتم التحقيق في كل تنبيه فور وصوله، وتجميع السياق الذي كان يستغرق 15 دقيقة يتم في ثوانٍ، والتحليل نفسه يُنجز في دقائق بدلًا من ساعة.
هذا ما تسعى إليه منصات مثل Prophet AI، التي تحقق في كل تنبيه بعمق يعادل محللًا خبيرًا لكن بسرعة الآلة، مع خطة ديناميكية للتحقيق واستعلام مباشر من المصادر ذات الصلة، وصولًا إلى استنتاج مدعوم بالأدلة.

مقاييس جديدة لأداء مراكز العمليات الأمنية

مع انهيار الفجوة الزمنية بعد التنبيه، تصبح المقاييس التقليدية أقل أهمية، ويظهر جيل جديد من المؤشرات:

  • معدل تغطية التحقيقات: نسبة التنبيهات التي تخضع لتحقيق كامل. في المراكز التقليدية لا تتجاوز 15%، بينما في بيئة مدعومة بالذكاء الاصطناعي يجب أن تصل إلى 100%.
  • تغطية سطح الكشف: قياس مدى تغطية تقنيات MITRE ATT&CK عبر مكتبة الكشف، مع تحديد الثغرات والفجوات.
  • سرعة تغذية الارتجاع من الإيجابيات الكاذبة: تحويل نتائج التحقيق مباشرة إلى تحسين قواعد الكشف بشكل مستمر بدلًا من مراجعات فصلية.
  • معدل إنشاء قواعد كشف جديدة من الصيد الاستباقي: قياس مدى قدرة فرق الصيد على تحويل نتائجهم إلى قواعد كشف دائمة توسع سطح الحماية.

هذه المقاييس تعكس تحولًا جذريًا في تقييم أداء مراكز العمليات الأمنية، من التركيز على سرعة التشغيل إلى التركيز على النتائج الأمنية الفعلية.

وسوم
محمد طاهر
محمد طاهر
المقالات: 1440

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة