ظلّت أنظمة كشف الشبكات والاستجابة (NDR) لسنوات طويلة تُتهم بأنها “صاخبة” وتنتج سيلاً من التنبيهات التي تُربك فرق التحليل وتثقل كاهل مراكز العمليات الأمنية. لكن مع دخول الذكاء الاصطناعي الوكيلي (Agentic AI) إلى المشهد، تغيّرت المعادلة جذرياً، وأصبح ما كان يُنظر إليه كضجيج بلا قيمة يتحوّل إلى مادة خام غنية بالأنماط والسياقات التي تكشف التهديدات قبل أن تتفاقم.
أصول الضجيج في أنظمة NDR
منذ بداياتها، وفّرت أنظمة NDR رؤية عميقة في حركة المرور الشبكية وسلوك الجلسات المشفّرة والانحرافات في البروتوكولات. غير أن هذه الرؤية كانت في كثير من الأحيان مادة أولية غير مصقولة، تتطلب ضبطاً يدوياً مكثفاً لتجنّب إغراق أنظمة إدارة المعلومات الأمنية (SIEM) بالإنذارات. المؤسسات التي لم تستثمر الوقت والجهد في هذه المرحلة عزّزت السمعة السلبية لـ NDR باعتبارها “مدفع إنذارات” لا يتوقف.
الذكاء الاصطناعي الوكيلي يحوّل الضجيج إلى سردية
التحوّل الجوهري جاء مع دخول الذكاء الاصطناعي الوكيلي، الذي يتولى بشكل مستقل جمع البيانات، فرز التنبيهات، وإجراء التحليلات الأولية. هذا الذكاء قادر على ابتلاع آلاف النقاط البيانية وتحليلها في وقت واحد، ليحوّل ما كان يُعتبر ضجيجاً إلى إشارات قابلة للتنفيذ. على سبيل المثال، يمكنه الربط بين استعلام DNS مشبوه ومحاولة تسجيل دخول فاشلة أو وصول غير مألوف إلى ملف حساس، ليقدّم للباحثين قصة مترابطة مدعومة بالأدلة الشبكية.
هذا التغيير سمح للمحللين بالتركيز على التهديدات عالية الخطورة، بينما يتكفل الذكاء الاصطناعي بالمهام الروتينية المرهقة. النتيجة هي تقليص الاعتماد على الضبط اليدوي، وتقديم إنذارات أقل عدداً وأكثر دقة، مع سياق فوري يسهّل الاستجابة.
مقارنة بين NDR التقليدي وNDR المدعوم بالذكاء الاصطناعي
في سيناريو تقليدي، قد يرصد النظام خلال 24 ساعة مئات الانحرافات الشبكية، ويُصنّف العشرات منها كمحتملة الخطورة، ليبدأ المحللون عملية فرز شاقة تنتهي بأربع حالات تستحق التدخل. أما مع الذكاء الاصطناعي الوكيلي، فإن نفس العدد من الانحرافات يُعالج بشكل آلي، ويُقدَّم للمحللين أربع حالات مصنّفة مسبقاً مع أدلة وسياق كامل، مثل ربط هوية مخترقة بأنماط هجوم معروفة مثل إشارات Cobalt Strike. هذا المستوى من الشفافية يمكّن المحللين من فهم كيف توصّل النظام إلى استنتاجاته، ويختصر وقت الاستجابة بشكل كبير.
متطلبات النشر التشغيلي
رغم قوة الذكاء الاصطناعي، فإن نجاح NDR لا يزال يعتمد على نشر مدروس. هناك ثلاث ركائز أساسية:
- الخط الأساس (Baselining): يحتاج النظام إلى فترة مراقبة أولية لرصد السلوك الطبيعي للشبكة، مما يساعده على التمييز بين النشاط الروتيني والتهديدات الحقيقية.
- الضبط المستمر (Staying tuned): الشبكات ديناميكية، ومع تغيّر التطبيقات والأجهزة والبيانات، يجب تحديث الخط الأساس بانتظام لتجنّب الإنذارات الكاذبة.
- تكامل SOC: بيانات NDR تغذي أنظمة أخرى داخل مركز العمليات الأمنية، وكلما كانت البيانات عالية الجودة، زادت دقة التمييز بين التهديدات والإنذارات الكاذبة. تقارير حديثة أظهرت أن جودة البيانات يمكن أن ترفع دقة النماذج بنسبة تتجاوز 300% مقارنة بالاعتماد على سجلات تقليدية.
