على مدار العقد الماضي، شكّل نموذج MDR (الكشف والاستجابة المُدارة) الحل الأمثل لمعضلة نقص الكوادر البشرية في مراكز العمليات الأمنية. فقد وفّر هذا النموذج وعدًا بالتغطية على مدار الساعة، حيث يتولى محللون بشريون مهمة فرز التنبيهات الأمنية. لكن مع تسارع تطور التهديدات، لم يعد هذا النموذج قادرًا على مواكبة الواقع الجديد. فالهجمات المدعومة بالذكاء الاصطناعي باتت قادرة على إنتاج حملات تصيّد أكثر إقناعًا، وتوليد برمجيات خبيثة متغيرة بسرعة، وتنفيذ عمليات استطلاع آلية واسعة النطاق، مما جعل بيئة التهديد أكثر تعقيدًا من قدرة MDR التقليدي على الاستجابة.
أين يختبئ المهاجمون؟
تشير بيانات تحليلية شملت 25 مليون تنبيه في مؤسسات عالمية عام 2025 إلى أن نحو 60% من التنبيهات لا تتم مراجعتها، وأن 1% من التهديدات الحقيقية تنشأ من تنبيهات منخفضة الأولوية. هذا يعني أن مؤسسة تولّد 450 ألف تنبيه سنويًا قد تُهمل ما يقارب 54 حادثًا فعليًا كل عام، أي بمعدل حادث واحد أسبوعيًا يختبئ في طابور التنبيهات غير المفحوصة. هذه الثغرة ليست نظرية، بل هي واقع يحدث الآن في مؤسسات تظن أنها محمية بالكامل.
التحديات البنيوية في نموذج MDR
حتى التنبيهات التي تتم مراجعتها تعاني من تفاوت في جودة التحقيق، إذ يعتمد الأمر على خبرة المحلل المناوب، وعمق الطابور، وظروف العمل. هذا التفاوت يؤدي إلى تصنيف تهديدات فعلية على أنها “ضجيج”، أو تجاهل مؤشرات حركة جانبية مبكرة داخل الشبكة. إضافة إلى ذلك، فإن هندسة الكشف في MDR تعمل غالبًا في عزلة عن التحقيقات، ما يجعل القواعد المعيبة تستمر في إنتاج ضجيج دون تحسين، ويؤدي إلى تدهور تدريجي في مستوى التغطية مقارنة بإطار MITRE ATT&CK.
عصر الـ AI SOC: نقلة نوعية في الدفاع السيبراني
في مواجهة هذا الواقع، يبرز نموذج AI SOC (مركز عمليات أمني مدعوم بالذكاء الاصطناعي) كحل جذري. يقوم هذا النموذج على نقل عبء التحقيق من البشر إلى أنظمة الذكاء الاصطناعي، بحيث يتم فحص 100% من التنبيهات، بغض النظر عن الأولوية أو وقت حدوثها. بيانات منصة Intezer أظهرت أن أقل من 2% من التنبيهات تحتاج إلى تصعيد بشري، بينما يتم التعامل مع البقية بشكل آلي بمتوسط زمن لا يتجاوز دقيقة واحدة ودقة تصل إلى 98%. هذا يعني أن المؤسسات التي كانت تفقد عشرات الحوادث سنويًا باتت قادرة على كشفها ومعالجتها فورًا.
العمق الجنائي والملكية المؤسسية
ما يميز التحقيقات المدعومة بالذكاء الاصطناعي هو قدرتها على الوصول إلى مستوى جنائي عميق، يشمل تحليل الذاكرة، وفحص الشيفرات، وكشف البرمجيات عديمة الملفات التي تتخفى داخل العمليات الشرعية. هذا العمق يرفع مستوى الثقة في الأحكام الصادرة عن الذكاء الاصطناعي، ويجعلها قابلة للاعتماد دون تدخل بشري مباشر. كما أن نموذج AI SOC يعيد ملكية القواعد والبيانات والسياق الأمني إلى المؤسسة نفسها، بدلًا من احتجازها داخل منصات مزوّدي MDR، مما يمكّن المؤسسات من بناء قدراتها الداخلية وتطوير وكلاء ذكاء اصطناعي خاص بها.
الاقتصاد الجديد للأمن السيبراني
من الناحية الاقتصادية، يقدّم نموذج AI SOC تسعيرًا يعتمد على عدد النقاط الطرفية (Endpoints) بدلًا من حجم التنبيهات، ما يضمن تغطية كاملة دون تكلفة إضافية عند ارتفاع حجم التنبيهات خلال الحوادث. هذا يوفّر استقرارًا ماليًا ويزيل الحاجة إلى انتقاء التنبيهات ذات الأولوية فقط، وهو ما كان يخلق فجوة خطيرة في نموذج MDR.
