دور الذكاء الاصطناعي في اكتشاف التهديدات السيبرانية

تمت ترجمة هذه الصفحة تلقائياً. اقرأ النسخة الأصلية باللغة الإنجليزية هنا.

الورقة البيضاء للمؤسسات حول Passkeys. إرشادات عملية وأنماط إطلاق ومؤشرات KPI لبرامج passkeys.

حقائق أساسية

يكتشف الذكاء الاصطناعي التهديدات السيبرانية من خلال تحليل حركة مرور الشبكة والسلوكيات والحالات الشاذة في الوقت الفعلي، حيث ارتفعت الهجمات العالمية بنسبة 30% في الربع الثاني من عام 2024 بمتوسط 1,636 هجوماً لكل مؤسسة أسبوعياً.
شكلت البرامج الضارة متعددة الأشكال (Polymorphic malware) 93.6% من هجمات البرامج الضارة في عام 2019، باستخدام تعليمات برمجية ذاتية التعديل للتهرب من الاكتشاف، مما يجعل الأنظمة الثابتة القائمة على القواعد غير كافية.
يتدرب التعلم غير الخاضع للإشراف على بيانات غير مسماة لتحديد أنماط التهديد غير المعروفة سابقاً، بينما يعمل التعلم المعزز على تحسين الاكتشاف من خلال إشارات المكافأة بالتجربة والخطأ.
تُمكّن التحليلات التنبؤية المؤسسات من تقييم نقاط الضعف التي يُرجح استهدافها وتحديد البرامج الضارة الناشئة من خلال تحليل السلالات الموجودة قبل حدوث الهجمات.
تجعل مشكلة الصندوق الأسود (black box problem) في نماذج التعلم الآلي المعقدة من المستحيل تتبع أسباب الاكتشاف، مما يعقد استجابة المحللين عندما تفتقر التهديدات المكتشفة إلى تفسيرات واضحة.

1. مقدمة#

يشهد المشهد العالمي للتهديدات السيبرانية تطوراً مزدوجاً: لم تعد التهديدات أكثر تواتراً فحسب، بل أصبحت أيضاً أكثر تعقيداً بكثير مما كانت عليه في الماضي. للإثبات: شهد الربع الثاني من عام 2024 زيادة مذهلة بنسبة 30% في الهجمات السيبرانية في جميع أنحاء العالم، بمتوسط 1,636 هجوماً تُشن على أي مؤسسة كل أسبوع. علاوة على ذلك، وفقاً لـ تقرير Webroot للتهديدات لعام 2020، فإن 93.6% من هجمات البرامج الضارة في عام 2019 كانت متعددة الأشكال بطبيعتها، أي أنها تضمنت تعليمات برمجية ذاتية التعديل لتجنب الاكتشاف. ومع تصاعد هذه التحديات، يصبح دور الذكاء الاصطناعي (AI) أمراً لا غنى عنه لمعلومات التهديدات.

أحدث المقالات

2. ظهور الذكاء الاصطناعي في الأمن السيبراني#

يمكّن الذكاء الاصطناعي، في جوهره، الآلات من محاكاة الذكاء البشري (قدرتنا على التفكير واتخاذ القرار والتعرف على الأنماط). في الأمن السيبراني، يعني هذا أن الذكاء الاصطناعي لا يمكنه فقط تكرار الوظائف المعرفية للمحللين البشريين ولكن أيضاً تجاوز القيود البشرية في الحوسبة والسرعة. مجموعة فرعية واحدة من الذكاء الاصطناعي تجعل كل هذا أكثر كفاءة هي التعلم الآلي (ML). يمكّن التعلم الآلي الآلات (في هذه الحالة، أنظمة الأمن السيبراني المدعومة بالذكاء الاصطناعي) من التعلم والتطور بشكل فوري دون الحاجة إلى برمجة بشرية مستمرة. يتم تغذية الأنظمة بكميات كبيرة من البيانات لمعرفة كيفية اكتشاف الأنماط والتنبؤ بالسلوكيات وفهم الانحرافات. يمكن تصنيف التعلم الآلي إلى ثلاثة أنواع:

التعلم الخاضع للإشراف (Supervised Learning): يتم تدريب النظام باستخدام بيانات مسماة. وهذا يتطلب مساعدة بشرية وهو الأفضل لجعل الخوارزميات تفهم العلاقة بين المدخلات والمخرجات.
التعلم غير الخاضع للإشراف (Unsupervised Learning): يتم تدريب النظام باستخدام بيانات غير مسماة. لا يشرف عليه إنسان، ويساعد في تحديد الأنماط التي لم يتم اكتشافها بعد. وهو الأنسب لاكتشاف المخاطر الجديدة.
التعلم المعزز (Reinforcement Learning): في هذا النوع من التعلم، يتم تدريب الخوارزمية باستخدام طريقة التجربة والخطأ، حيث تتلقى مكافأة على الإجراءات الصحيحة، بينما تُفرض عقوبة على الإجراءات غير الصحيحة.

اشترك في Passkeys Substack للحصول على آخر الأخبار.

3. مزايا استخدام الذكاء الاصطناعي لاكتشاف التهديدات السيبرانية#

فيما يلي أهم أربع فوائد لإدخال الذكاء الاصطناعي في اكتشاف التهديدات السيبرانية:

دقة محسنة في تحديد التهديدات مع تقليل الإيجابيات الكاذبة يعظم الذكاء الاصطناعي من إنتاجية فرق الأمان من خلال دمج مصادر بيانات متعددة بشكل فوري لفهم السياق وراء التنبيه. هذا يقلل من التنبيهات غير الضرورية ويساعد في التركيز على التهديدات الحقيقية التي تشكل ضرراً محتملاً للمؤسسة. على سبيل المثال، يمكن للذكاء الاصطناعي التمييز بسرعة بين محاولة تسجيل الدخول الشرعية وتلك المشبوهة من خلال تحليل السلوك السابق للمستخدم وموقعه.
السرعة والكفاءة في معالجة وتحليل كميات كبيرة من البيانات مقارنة باكتشاف التهديدات التقليدي، حيث كان المحللون البشريون يقضون وقتاً طويلاً في جمع وتفسير البيانات، فإن الذكاء الاصطناعي يُحدث ثورة في الأمن السيبراني. يمكنه جمع بيانات الأمان من مصادر مختلفة، وتنظيفها وتوحيدها، وتحليل كل من البيانات الكمية والنوعية بسرعة لا يمكن تصورها. تزود هذه الكفاءة الخارقة فرق الأمان برؤى مفيدة حول وضع النظام الحالي دون أي متاعب.
اكتشاف استباقي للتهديدات من خلال التحليلات التنبؤية التحليلات التنبؤية، وهي مجموعة من التقنيات التي تستخدم البيانات الحالية والتاريخية للتنبؤ بالأداء المستقبلي، تُعد تغييراً جذرياً في اكتشاف التهديدات السيبرانية. يمكن للمؤسسات الآن تقييم نقاط الضعف التي يُرجح استهدافها بشكل أكبر، وتحديد البرامج الضارة الناشئة من خلال تحليل السلالات الحالية، بالإضافة إلى اكتشاف الحالات الشاذة بدقة للإبلاغ عن أي نشاط مشبوه أو ضار.
القابلية للتوسع للتكيف مع التهديدات السيبرانية المتطورة يمكن لأنظمة اكتشاف التهديدات السيبرانية التي تستخدم نماذج التعلم الآلي تطوير نفسها بفعالية أثناء العمل كلما واجهت المزيد من التهديدات وحصلت على المزيد من البيانات للتعلم منها. هذا النهج الديناميكي يمكن الأنظمة من تحسين قدراتها على الاكتشاف تلقائياً والتكيف مع مشهد التهديدات السيبرانية المتغير والأكثر تعقيداً.

4. تطبيقات الذكاء الاصطناعي في اكتشاف التهديدات السيبرانية#

دعونا نفهم دور الذكاء الاصطناعي في اكتشاف التهديدات السيبرانية على مستوى أكثر عملية:

4.1 أمان الشبكة#

يُحسّن الذكاء الاصطناعي أمان الشبكة بشكل أساسي من خلال تحديد الحالات الشاذة في حركة مرور الشبكة وإنشاء قطاعات صغيرة لتقليل سطح الهجوم، وأتمتة الشبكة و مراقبة البنية التحتية. دعونا نفصل هذا.

اكتشاف الحالات الشاذة (Anomaly Detection): يسحب الذكاء الاصطناعي بيانات حول حركة مرور الشبكة وسجلات النظام وتفاعلات المستخدم لوضع خط أساس لنشاط الشبكة المعتاد. أي انحرافات عن هذا المعيار تعني وجود تهديدات محتملة ومشكلات أمنية.

التقسيم الدقيق للشبكة (Network Microsegmentation): التوصيات الآلية القائمة على الهوية، وتجميع المستخدمين، وأمان انعدام الثقة (zero-trust security) هي بعض الطرق لتقسيم الشبكات الكبيرة إلى أجزاء يمكن إدارتها وتقليل سطح الهجوم الإجمالي.
المراقبة والإدارة الآلية لأمان الشبكة: يمكن للمؤسسات نشر كاشفات تهديدات تعتمد على الذكاء الاصطناعي والتي تراقب أمان الشبكة تلقائياً في الوقت الفعلي، وتكتشف الأعطال، وتتتبع عدم الامتثال، وتستجيب حتى لبعض التهديدات.

4.2 أمان نقطة النهاية#

تتطلب الزيادة في نماذج العمل عن بُعد / الهجين وسياسات إحضار الجهاز الشخصي (BYOD) تشديد أمان نقطة النهاية. هنا يبرز الجيل التالي من برامج مكافحة الفيروسات (NGAV) كحل متقدم حقاً لتأمين نقاط النهاية في الشبكة. من خلال دمج الذكاء الاصطناعي والتعلم الآلي والتحليلات السلوكية مع أدوات أمان نقطة النهاية الأخرى، مثل MacKeeper، فإنه يساعد في حظر التهديدات الحالية والجديدة على أجهزة المستخدمين. والأهم من ذلك، يتمتع NGAV ببنية قائمة على السحابة لا تسمح للمؤسسات فقط بنشره على الفور تقريباً وعن بُعد، ولكنها توفر أيضاً معلومات عن التهديدات في الوقت الفعلي. للحصول على نظرة متعمقة لأحد حلول NGAV الرائدة، راجع مراجعة Bitdefender الخاصة بـ Cybernews لمعرفة كيف توفر حماية قوية لنقطة النهاية. إلى جانب NGAV، يمكن أيضاً دمج اكتشاف نقطة النهاية والاستجابة لها (EDR) مع الذكاء الاصطناعي لتحديد التهديدات والتخفيف من حدتها عند نقاط نهاية الشبكة باستخدام مركز إدارة مركزي.

4.3 اكتشاف الاحتيال#

أصبح التعلم الآلي أداة قوية في اكتشاف و منع الاحتيال. إنه يعمل من خلال تحليل كميات كبيرة من المعاملات و البيانات السلوكية عبر نقاط الاتصال المختلفة بالعملاء — مثل أنماط تسجيل الدخول وسلوك الشراء و طرق الدفع. بمرور الوقت، تتعلم نماذج التعلم الآلي ما تبدو عليه المعاملة "العادية" لمستخدم أو نظام معين.
بمجرد إنشاء هذه الأنماط، يمكن للنماذج أن تشير بسرعة إلى النشاط غير المعتاد — مثل التغييرات المفاجئة في الموقع، أو ارتفاع الإنفاق غير المتوقع، أو محاولات تسجيل الدخول غير المنتظمة — على أنها احتيالية محتملة. أحد التهديدات الناشئة في هذا المجال هو انتحال الصوت المدعوم بالذكاء الاصطناعي، حيث يستخدم المهاجمون أصواتاً اصطناعية لانتحال شخصيات حقيقية. لمعالجة هذا الأمر، يمكن تدريب نماذج التعلم الآلي باستخدام مجموعة متنوعة من العينات الصوتية لاكتشاف الصوت المزيف. أدوات مثل مولد الصوت بالذكاء الاصطناعي المجاني يمكن أن توفر أمثلة واقعية تساعد النموذج على معرفة الاختلافات الدقيقة بين الأصوات الحقيقية والاصطناعية. تعتبر هذه الطبقة الإضافية من التحقق الصوتي ذات أهمية متزايدة لتأمين المعاملات القائمة على الصوت والتحقق من الهوية.

4.4 التحليلات السلوكية (BA)#

يلعب الذكاء الاصطناعي دوراً حاسماً في التحليلات السلوكية — سواء كان ذلك للمستخدم أو الكيان أو النظام. استناداً إلى كائن التحليل، يمكن تقسيم التحليلات السلوكية إلى الفئات الثلاث التالية:

تحليلات سلوك المستخدم والكيان (UEBA): يمكن للمؤسسات التي تستفيد من UEBA مراقبة وتحليل سلوك مستخدم أو كيان (الأجهزة والتطبيقات) للبحث عن أي نشاط ضار. على سبيل المثال، يمكن لـ UEBA المساعدة في التمييز بين تسجيل الدخول غير المعتاد ومحاولة تسجيل الدخول المشبوهة. ويحدث هذا بشكل خاص أثناء تطوير التطبيقات لأنه جزء مهم من الأمان.

إذا كنت تتساءل ما الذي يفعله مطور الويب في هذا السياق — فإنه يشمل دمج أدوات التحليلات السلوكية والتأكد من أن التطبيق مرن ضد التهديدات مثل اختطاف الجلسة أو الوصول غير المصرح به

تحليلات سلوك الشبكة: من خلال تحليل حركة مرور الشبكة، يمكن للذكاء الاصطناعي الإبلاغ عن أنماط الشبكة التي تنحرف عن المعيار. على سبيل المثال، يمكنه تنبيه فرق الأمان عندما يحاول شخص ما تصدير كمية كبيرة بشكل غير معقول من البيانات (مثل الصور) إلى مستلم غير معروف للشبكة.

تحليلات سلوك التهديدات الداخلية: يُعرف أيضاً باسم ITBA، وهو يساعد المؤسسات في تحديد المستخدمين الذين قد يسيئون استخدام امتيازاتهم، مما يشير إلى وجود تهديدات داخلية محتملة. ونتيجة لذلك، يمكنك معرفة ما إذا كان شخص ما يصل بشكل غير قانوني إلى معلومات حساسة، أو يسرب بيانات، أو يثبت برامج غير معروفة، أو يمسح ملفات النظام الهامة، إلخ.

5. التحديات والقيود#

ومع ذلك، فإن معلومات التهديدات السيبرانية المدعومة بالذكاء الاصطناعي لها حدودها. فيما يلي التحديات الأربعة الرئيسية المرتبطة باستخدام الذكاء الاصطناعي لاكتشاف التهديدات السيبرانية:

5.1 جودة البيانات والتحيز#

المعادلة بسيطة: إذا تم تدريب نماذج التعلم الآلي على بيانات متحيزة لاكتشاف التهديدات السيبرانية، فلن يؤدي النظام إلا إلى تعزيز هذا التحيز في عمله. على سبيل المثال، إذا تم تدريب النظام على أنماط حركة مرور الشبكة السابقة عندما كان 99% من المستخدمين يعملون على Windows، فسوف يشير عن غير قصد إلى محاولة تسجيل دخول من جهاز يعمل بنظام Linux كتهديد محتمل.

5.2 الهجمات العدائية (Adversarial Attacks)#

أحد التحديات المهمة الأخرى لإدخال الذكاء الاصطناعي في اكتشاف التهديدات السيبرانية هو الحجم المتزايد للهجمات العدائية. يستخدم الفاعلون في التهديدات هذه الهجمات لتعطيل بيانات الإدخال التي تتدرب عليها خوارزميات التعلم الآلي، بحيث تكون المخرجات (القرارات أو التنبؤات التي يتخذها الذكاء الاصطناعي) غير صحيحة أيضاً.

5.3 قابلية التفسير (Interpretability)#

تفتقر خوارزميات التعلم الآلي المعقدة، والمعروفة باسم مشكلة "الصندوق الأسود"، إلى الشفافية. هذا يعني أنه من المستحيل فهم كيف اتخذ النموذج قراراً معيناً، مما يجعل بدوره من الصعب إصلاح مثل هذه الأنظمة عندما تنحرف عن الأداء المتوقع. نتيجة لذلك، قد يجد المحللون صعوبة في فهم التهديدات المحددة والاستجابة لها إذا كانت الأسباب الكامنة وراء اكتشافها غير واضحة.

5.4 المخاوف الأخلاقية والمتعلقة بالخصوصية#

تتضمن مراقبة التهديدات السيبرانية واكتشافها المستندة إلى الذكاء الاصطناعي جمع بيانات قد تمهد الطريق عن غير قصد للعديد من المخاوف الأخلاقية والمتعلقة بالخصوصية. وتشمل هذه المراقبة المفرطة على الأفراد ومعلوماتهم الشخصية، وجمع بيانات أكثر من اللازم للتحليل، وجمع بيانات المستخدم دون موافقتهم.

6. الخاتمة#

مع حلول الأمن السيبراني مثل التحليلات التنبؤية، والتحليلات السلوكية، واكتشاف الحالات الشاذة في الوقت الفعلي، يواصل الذكاء الاصطناعي إعادة تعريف معلومات التهديدات السيبرانية. ومع ذلك، فإن التكيف الاستباقي والابتكار في أنظمة الأمن السيبراني المدعومة بالذكاء الاصطناعي أمران لا غنى عنهما لمكافحة المشهد الديناميكي للتهديدات حقاً. وفي الوقت نفسه، يجب على المؤسسات أن تتعلم كيفية الموازنة بين التقدم التكنولوجي والمسؤولية الأخلاقية لبناء عالم رقمي أكثر أماناً.

نبذة عن المؤلف:
براتيك أرورا (Prateek Arora) هو متخصص في تسويق المحتوى في thestartupinc.com، حيث يتعمق في موضوعات B2B و SaaS التي تحول زوار موقع الويب إلى عملاء يدفعون. بشغف لاستكشاف استراتيجيات التسويق المبتكرة، يستمتع براتيك بالبحث وصياغة المحتوى الذي يتردد صداه مع الجماهير المستهدفة. في وقت فراغه، يحب القيادة في جميع أنحاء المدينة والتسكع مع الأصدقاء، وإيجاد الإلهام في المشهد الحضري النابض بالحياة.

حول Corbado

Corbado هي Passkey Intelligence Platform لفِرَق CIAM التي تُدير المصادقة الاستهلاكية على نطاق واسع. نُمكّنك من رؤية ما لا تستطيع سجلات IDP وأدوات التحليل العامة إظهاره: أي الأجهزة وإصدارات أنظمة التشغيل والمتصفحات ومديري بيانات الاعتماد تدعم passkeys، ولماذا لا تتحوّل عمليات التسجيل إلى عمليات دخول، وأين يفشل تدفق WebAuthn، ومتى يُعطّل تحديث نظام التشغيل أو المتصفح تسجيل الدخول بصمت — كل ذلك دون استبدال Okta أو Auth0 أو Ping أو Cognito أو IDP الداخلي لديك. منتجان: Corbado Observe يُضيف observability للـ passkeys وأي طريقة دخول أخرى. Corbado Connect يُقدّم managed passkeys مع تحليلات مدمجة (إلى جانب IDP الخاص بك). تُشغّل VicRoads passkeys لأكثر من 5 ملايين مستخدم مع Corbado (تفعيل passkey بنسبة +80%). تحدث مع خبير Passkey →

الأسئلة الشائعة#

كيف يقلل الذكاء الاصطناعي من الإيجابيات الكاذبة في اكتشاف التهديدات السيبرانية؟#

يقلل الذكاء الاصطناعي من الإيجابيات الكاذبة من خلال دمج مصادر بيانات متعددة لفهم السياق وراء كل تنبيه. على سبيل المثال، يفرق بين تسجيل الدخول الشرعي والمشبوه من خلال تحليل السلوك السابق للمستخدم وموقعه، مما يركز انتباه فريق الأمان على التهديدات الحقيقية بدلاً من الضوضاء.

ما هو الفرق بين UEBA و ITBA في التحليلات السلوكية المدعومة بالذكاء الاصطناعي؟#

تراقب تحليلات سلوك المستخدم والكيان (UEBA) كلاً من المستخدمين والأجهزة مثل التطبيقات لاكتشاف الأنشطة الضارة بما في ذلك محاولات تسجيل الدخول المشبوهة. تحدد تحليلات سلوك التهديدات الداخلية (ITBA) بشكل خاص المستخدمين الذين يسيئون استخدام امتيازاتهم، مع الإبلاغ عن الوصول غير المصرح به للبيانات، أو تسرب البيانات، أو تثبيت برامج غير معروفة.

كيف تقوض الهجمات العدائية اكتشاف التهديدات السيبرانية القائم على الذكاء الاصطناعي؟#

تتلاعب الهجمات العدائية عمداً ببيانات الإدخال التي تتدرب عليها خوارزميات التعلم الآلي، مما يتسبب في أن تصبح تنبؤات النموذج وقراراته غير صحيحة. يستغل الفاعلون في التهديدات هذا لتعمية أنظمة الاكتشاف، مما يجعل النشاط الضار يبدو شرعياً ويتجاوز الضوابط الأمنية التي يحركها الذكاء الاصطناعي.

ما الذي يجعل برامج مكافحة الفيروسات من الجيل التالي أفضل من برامج مكافحة الفيروسات التقليدية لأمان نقطة النهاية؟#

يجمع برنامج مكافحة الفيروسات من الجيل التالي (NGAV) بين الذكاء الاصطناعي والتعلم الآلي والتحليلات السلوكية مع بنية قائمة على السحابة تتيح النشر عن بُعد بشكل شبه فوري ومعلومات التهديدات في الوقت الفعلي. على عكس برامج مكافحة الفيروسات التقليدية، يحظر NGAV كلاً من التهديدات المعروفة والجديدة على أجهزة المستخدم، مما يجعله فعالاً بشكل خاص في بيئات العمل عن بُعد وسياسات إحضار الجهاز الشخصي (BYOD).