تمتلك فرق الأمن المؤسسي عادة أكثر من 40 أداة أمنية، تمنحها رؤية واسعة على البيانات الداخلية والأصول. لكن هذه الأدوات تعمل غالبًا في عزلة، مولدة تنبيهات متكررة ومتداخلة، بينما يظل متوسط زمن بقاء الاختراق داخل الشبكة طويلًا (نحو 43 يومًا)، وتغلق نوافذ الاستجابة قبل أن تتمكن الفرق من التحرك، ويُنهك المحللون في فرز الضوضاء بدلًا من إيقاف التهديدات.
المشكلة ليست في الجهد، بل في البنية المعمارية. فبرامج الأمن بُنيت لعالم كانت فيه التهديدات تتحرك ببطء يسمح للبشر بالتنسيق يدويًا، لكن هذا العالم لم يعد موجودًا. مع تطور قدرات الذكاء الاصطناعي، أصبح مطلوبًا موقف أكثر استباقية واستجابة بسرعة الآلة لمواجهة خصوم يتحركون بالوتيرة نفسها.
الفرق بين الذكاء الاصطناعي المساعد والفاعلي
المصطلحات التسويقية جعلت كلمة “ذكاء اصطناعي” مشوشة، لكن التمييز بين الذكاء الاصطناعي المساعد والذكاء الاصطناعي الفاعلي جوهري.
- المساعد ينتظر الطلب: يلخص، يترجم، يسترجع المعلومات، ويجعل المحللين أسرع في أداء مهامهم التقليدية.
- الفاعلي يتصرف: يفهم السياق، يحدد الأولويات ذاتيًا، وينفذ مهام متعددة عبر الأنظمة بشكل مستمر وخلف الكواليس بسرعة الآلة.
هذا الفارق مهم لأن بيئة التهديدات نفسها باتت تعمل بسرعة الآلة، مع تقليص زمن الانتقال من الاكتشاف إلى الاستغلال بشكل كبير. الفرق التي ستبقى في المقدمة ليست تلك التي تضم أكبر عدد من المحللين، بل تلك التي تمتلك بنية تحتية قادرة على مجاراة هذا الإيقاع بشكل مستقل.
تفعيل إطار CTEM عبر الوكلاء الفاعلين
إطار إدارة التعرض المستمر للتهديدات CTEM الذي طرحته Gartner يهدف إلى الانتقال من تقييمات آنية إلى دورة مستمرة تشمل: تحديد النطاق، الاكتشاف، الأولوية، التحقق، والتعبئة. لكن معظم المؤسسات لم تتمكن من تشغيله بشكل كامل لأن الأدوات لا تتكامل فيما بينها.
هنا يأتي دور الذكاء الاصطناعي الفاعلي الذي يوصل بين ثلاث وظائف أساسية:
- تشغيل الاستخبارات الأمنية: استيعاب البيانات المتعلقة بالتهديدات والثغرات وربطها بالبيئة الداخلية بشكل مستمر.
- التحقق من الوضع الأمني: اختبار الضوابط والفرق والعمليات بشكل دائم ضد سلوكيات الخصوم.
- تعبئة الاستجابة: أتمتة الأولويات وتوجيه إجراءات المعالجة بناءً على أدلة مدعومة بالاستخبارات.
عندما تعمل هذه الوظائف في حلقة مغلقة عبر وكلاء ذكية، يتحول CTEM من إطار نظري إلى واقع تشغيلي.
البنية الفاعلية لإدارة التهديدات
الفرق التي تبني هذه القدرة اليوم لا تنتظر أدوات مثالية، بل تضع النموذج التشغيلي أولًا وتترك البنية لتلحق به. السبق هنا يمنح ميزة تراكمية: بيانات أفضل، تحليل أدق، أدلة أوضح، وذكاء اصطناعي أكثر ضبطًا.
الأمر لا يتعلق باستخدام نماذج لغوية عامة، بل ببنية مصممة خصيصًا لتشغيل CTEM من البداية للنهاية. وهذا ما يظهر في منصات مثل XTM One CTEM Assistant التي تقدم نموذجًا عمليًا لوكلاء فاعلين يربطون بين الاستخبارات والتحقق والاستجابة في سير عمل واحد مستمر.































