ملخص سريع: يُحدث التعلّم الآلي نقلة نوعية في مجال استخبارات التهديدات من خلال أتمتة الكشف، وتحليل مجموعات البيانات الضخمة في الوقت الفعلي، والتنبؤ بالهجمات قبل وقوعها. وتُحدد الأنظمة المدعومة بالذكاء الاصطناعي الشذوذات السلوكية، وتُرتب أولويات الثغرات الأمنية، وتُقلل من الإنذارات الكاذبة - وهي قدرات بالغة الأهمية، إذ تتوقع 881% من المؤسسات أن يُحدث الذكاء الاصطناعي تأثيرًا كبيرًا على عملياتها خلال السنوات الثلاث القادمة. ومع ذلك، لا تزال تحديات مثل التحيز الخوارزمي، وجودة البيانات، والحاجة إلى مهندسين ذوي مهارات عالية، تُشكل عوائق أمام تبني هذه التقنيات.
التهديدات الإلكترونية لا تنام. ينشر المهاجمون أساليب وتقنيات وإجراءات متطورة بشكل متزايد بوتيرة أسرع من قدرة المحللين البشريين على تتبعها. ولا تستطيع أنظمة الكشف التقليدية القائمة على التوقيعات مواكبة هذا التطور.
هنا يأتي دور التعلّم الآلي. تعالج خوارزميات التعلّم الآلي ملايين الأحداث في الثانية، وتكتشف أنماطًا غير مرئية للعين البشرية، وتتكيّف مع تطوّر التهديدات. ووفقًا لبيانات معهد SANS، تستخدم 451 مؤسسة حاليًا الذكاء الاصطناعي في عمليات الكشف، بينما تتوقع 881 مؤسسة أخرى أن يُحدث الذكاء الاصطناعي تأثيرًا كبيرًا على العمليات خلال السنوات الثلاث القادمة.
لكن كيف يُحسّن التعلّم الآلي معلومات التهديدات تحديداً؟ ما هي حالات الاستخدام المُثبتة؟ وما هي التحديات التي تعيق تبنّيه؟
يشرح هذا الدليل بالتفصيل التقاطع بين التعلم الآلي ومعلومات التهديدات، ويغطي التطبيقات العملية والتقنيات المثبتة والتحديات الحالية وما يخبئه المستقبل.
ما هو التعلم الآلي في مجال استخبارات التهديدات؟
يشير مصطلح "معلومات التهديدات" إلى المعرفة القائمة على الأدلة حول التهديدات الحالية أو الناشئة، وهي بيانات تساعد المؤسسات على فهم نقاط الضعف، وتحديد أولويات المخاطر، والاستجابة بشكل استباقي. ويُعزز التعلم الآلي هذه المعرفة من خلال أتمتة تحليل مجموعات البيانات الضخمة، وتحديد الأنماط، وتوليد رؤى قابلة للتنفيذ دون تدخل يدوي.
تتعلم خوارزميات التعلم الآلي من البيانات التاريخية، وتتعرف على الحالات الشاذة، وتتنبأ بأساليب الهجوم المستقبلية. وتتحسن هذه الأنظمة باستمرار مع معالجتها المزيد من المعلومات، وتتكيف مع التكتيكات الجديدة التي يستخدمها الخصوم.
أمضى مجتمع الأمن السيبراني سنوات في محاولة تحديد أساليب وتقنيات وإجراءات الهجوم (TTPs) تلقائيًا في تقارير معلومات التهديدات السيبرانية (CTI). تستخدم أدوات مثل أداة رسم خرائط التهديدات ATT&CK من MITRE (TRAM) نماذج لغوية كبيرة مُحسَّنة لاستخراج أساليب وتقنيات وإجراءات الهجوم والتنبؤ بها، مما يُحسِّن سرعة ودقة تحديد هذه الأساليب والتقنيات لتلبية متطلبات الدفاع.
ثلاثة أنواع أساسية من التعلم الآلي
إن فهم أنواع التعلم الآلي يوضح كيفية تطبيق التقنيات المختلفة على معلومات التهديدات:
| يكتب | كيف يعمل | تطبيق معلومات التهديدات |
|---|---|---|
| التعلم الخاضع للإشراف | تم تدريبها على مجموعات بيانات مصنفة (برامج ضارة معروفة، أمثلة على التصيد الاحتيالي) | يصنف التهديدات، ويكشف أنماط الهجوم المعروفة، ويحدد عائلات البرامج الضارة |
| التعلم غير الخاضع للإشراف | يكتشف الأنماط الخفية في البيانات غير المصنفة | الكشف عن الحالات الشاذة، وتحديد الثغرات الأمنية غير المعروفة، وتجميع السلوكيات المتشابهة. |
| تعزيز التعلم | يتعلم الإجراءات المثلى من خلال التجربة والخطأ | الاستجابة الآلية للحوادث، واستراتيجيات الدفاع التكيفية، واحتواء التهديدات الديناميكي |
تُظهر الخوارزميات القائمة على الوظائف مثل آلات المتجهات الداعمة والشبكات العصبية الاصطناعية للتعلم العميق دقة أعلى في اكتشاف CTI من مجموعات البيانات شبه المهيكلة مقارنة بالخوارزميات القائمة على الأشجار مثل الغابة العشوائية وشجرة القرار.
لماذا يُعدّ التعلّم الآلي مهماً في مجال استخبارات التهديدات الحديثة؟
يتطور مشهد التهديدات الرقمية بوتيرة أسرع من قدرة المحللين البشريين على تتبعه. يقوم المهاجمون باستمرار بتعديل أساليبهم، واستغلال الثغرات الأمنية الجديدة، وشن حملات عبر البنية التحتية العالمية.
لكنّ الأمر المهم هو أن التحليل اليدوي لا يُمكن تطبيقه على نطاق واسع. ففرق الأمن تواجه إرهاقًا من كثرة التنبيهات، ونتائج إيجابية خاطئة، والكم الهائل من البيانات التي تُنتجها الشبكات الحديثة. ويُعالج التعلّم الآلي هذه المشكلات بشكل مباشر.
السرعة والنطاق
تعالج تقنيات التعلم الآلي بيانات القياس عن بُعد من آلاف نقاط النهاية في وقت واحد، وتحدد التهديدات في أجزاء من الثانية. تحلل الأنظمة حركة مرور الشبكة وسلوك المستخدم وخصائص الملفات واستدعاءات النظام في الوقت الفعلي - وهو أمر مستحيل على الفرق البشرية وحدها.
التعرف على الأنماط عبر مجموعات البيانات المعقدة
يترك المهاجمون آثارًا عبر أنظمة متعددة. يربط التعلم الآلي الأحداث عبر مصادر بيانات متباينة، ويربط بين نقاط تبدو غير مترابطة بالنسبة للمحللين الأفراد. تُعدّ هذه القدرة أساسية للكشف عن التهديدات المتقدمة المستمرة (APTs) التي تعمل بخفاء على مدى فترات طويلة.
القدرات التنبؤية
بدلاً من مجرد الاستجابة للتهديدات المعروفة، تتنبأ تقنيات التعلم الآلي بمسارات الهجوم المحتملة. يستخدم محرك استدلال التقنيات التابع لمركز الدفاع القائم على معلومات التهديدات في MITRE تقنيات التعلم الآلي لاستنتاج أساليب الخصوم غير المرئية، مما يوفر لفرق الأمن معلومات استخباراتية قابلة للتنفيذ حول ما قد يفعله المهاجمون لاحقاً.
انخفاض في النتائج الإيجابية الخاطئة
تُنتج الأنظمة التقليدية القائمة على التوقيعات معدلات إنذارات خاطئة مرتفعة للغاية. أما نماذج التعلم الآلي المُدرَّبة على الأنماط السلوكية، فتُميّز بين الحالات الشاذة المشروعة والتهديدات الحقيقية، مما يسمح للمحللين بالتركيز على الحوادث ذات الأولوية القصوى. وتعتمد المؤسسات بشكل متزايد على الكشف القائم على السلوك، حيث يعتمد 671% من المؤسسات حاليًا على هذا النوع من الكشف بدلاً من الأساليب التقليدية القائمة على التوقيعات.
بناء نماذج استخبارات التهديدات باستخدام الذكاء الاصطناعي المتفوق
غالباً ما تجمع مشاريع استخبارات التهديدات البيانات من مصادر متعددة، بما في ذلك السجلات، وموجزات التهديدات، والتنبيهات، والمؤشرات السلوكية. متفوقة الذكاء الاصطناعي تساعد المؤسسات على تطبيق تقنيات التعلم الآلي لتحسين عمليات تحليل التهديدات وتحديد أولوياتها واكتشافها. وتشمل خدماتها الاستشارات في مجال الذكاء الاصطناعي، والتعلم الآلي، وعلم البيانات، وتطوير برمجيات الذكاء الاصطناعي، وتطوير نماذج إثبات المفهوم، وتقييم النماذج.
بإمكان شركة AI Superior دعم مشاريع استخبارات التهديدات من خلال:
- مراجعة مجموعات بيانات الأمن والمراقبة ومعلومات التهديدات
- تحديد حالات استخدام التعلم الآلي لتحليل التهديدات
- بناء نماذج ذكاء لإثبات المفهوم
- تطوير نماذج للتصنيف أو الكشف عن الحالات الشاذة أو التنبؤ
- اختبار موثوقية النموذج وفائدته التشغيلية
- تخطيط التكامل مع منصات وسير العمل الأمنية
- دعم النشر وتحسين النموذج
تواصل مع شركة AI Superior لمناقشة توجه المشروع.
أهم حالات استخدام التعلم الآلي في مجال استخبارات التهديدات
التعلم الآلي ليس مجرد نظرية، بل تستخدمه المؤسسات اليوم في العديد من وظائف استخبارات التهديدات. إليكم أبرز تطبيقاته وأكثرها تأثيراً.
الكشف عن الحالات الشاذة وتحليل السلوك
يتفوق التعلم غير الخاضع للإشراف في تحديد الانحرافات عن السلوك الطبيعي. تقوم الأنظمة بوضع خطوط أساسية لنشاط المستخدم وحركة مرور الشبكة وعمليات النظام، ثم ترصد الحالات الشاذة التي تشير إلى وجود اختراق.
على سبيل المثال، إذا قام حساب موظف بالوصول فجأة إلى قواعد بيانات حساسة في الساعة الثالثة صباحًا من موقع غير معتاد، فإن خوارزميات التعلم الآلي تكتشف هذا الانحراف فورًا. يكشف هذا النهج التهديدات التي لا تتطابق مع التوقيعات المعروفة، بما في ذلك التهديدات الداخلية واستغلال الثغرات الأمنية غير المعروفة.
الكشف عن البرامج الضارة وتصنيفها
يستخدم تحليل الملفات الثابتة تقنيات التعلم الآلي لفحص خصائص الملفات، وبنية التعليمات البرمجية، والبصمات السلوكية دون تشغيل الملف. وتصنف النماذج الخاضعة للإشراف، المدربة على ملايين عينات البرامج الضارة، الملفات الجديدة على أنها حميدة أو خبيثة بدقة عالية.
تحلل نماذج التعلم العميق البرمجيات الخبيثة متعددة الأشكال، وهي عبارة عن شفرة برمجية تغير مظهرها باستمرار لتجنب الكشف القائم على التوقيعات. ومن خلال التركيز على الأنماط السلوكية بدلاً من التوقيعات الثابتة، يحدد التعلم الآلي النوايا الخبيثة بغض النظر عن التعديلات السطحية.
كشف عمليات التصيد الاحتيالي والهندسة الاجتماعية
تُحلل معالجة اللغة الطبيعية محتوى البريد الإلكتروني، وسمعة المُرسل، وأنماط التواصل لتحديد محاولات التصيد الاحتيالي. وتكشف نماذج التعلم الآلي عن إشارات لغوية دقيقة تدل على الهندسة الاجتماعية، مثل تناقضات الصياغة، والتلاعب بمستوى الإلحاح، وتكتيكات انتحال الشخصية.
تتحسن هذه الأنظمة باستمرار مع قيام المهاجمين بتحسين أساليبهم، والتكيف مع استراتيجيات التصيد الاحتيالي الجديدة دون الحاجة إلى تحديثات يدوية مستمرة للقواعد.
تحديد أولويات الثغرات الأمنية
لا تشكل جميع الثغرات الأمنية نفس القدر من الخطورة. تقوم خوارزميات التعلم الآلي بتحليل احتمالية الاستغلال، وأهمية الأصول، واهتمام الجهات الفاعلة بالتهديدات، والتحديثات المتاحة للتوصية بترتيب الأولويات لفرق تكنولوجيا المعلومات والأمن.
يساعد هذا النهج القائم على البيانات المؤسسات على تخصيص موارد المعالجة بشكل فعال، ومعالجة نقاط الضعف التي من المرجح استغلالها بدلاً من إجراء عمليات التصحيح بناءً على درجات CVSS فقط.
تحديد هوية الجهات الفاعلة في التهديدات وتتبعها
تُحلل تقنيات التعلم الآلي أساليب وتقنيات وأساليب الهجوم عبر الحملات، وتُحدد أنماطًا تُشير إلى جهات تهديد مشتركة. ومن خلال تحليل إعادة استخدام البنية التحتية، وتشابه الشفرات البرمجية، والتوقيت العملياتي، تُنسب الخوارزميات الهجمات إلى مجموعات مُحددة حتى عندما يُحاول المُهاجمون إخفاء هويتهم.
يوفر إطار عمل MITRE ATT&CK قاعدة معرفية عالمية متاحة لتكتيكات وتقنيات الخصوم بناءً على ملاحظات من العالم الحقيقي، والتي تعمل كبيانات تدريب أساسية لنماذج إسناد التعلم الآلي.
استخلاص معلومات التهديدات آلياً
تُصدر فرق الأمن آلاف التقارير عن التهديدات، والمنشورات على المدونات، والتوصيات يوميًا. ومن المستحيل استخلاص معلومات قابلة للتنفيذ يدويًا من هذا الكم الهائل من البيانات.
تُسهّل تقنيات التعلّم الآلي اكتشاف معلومات التهديدات السيبرانية من مصادر غير منظمة وشبه منظمة، بما في ذلك الإنترنت المظلم. تُظهر الأبحاث أن الخوارزميات القائمة على الوظائف تستخرج بفعالية أنواع الثغرات الأمنية ومؤشرات التهديد من منشورات منتديات الإنترنت المظلم، مما يُتيح الدفاع الاستباقي ضد التهديدات الناشئة.
| حالة الاستخدام | تقنية التعلم الآلي | الفائدة الأساسية |
|---|---|---|
| إكتشاف عيب خلقي | التجميع غير الخاضع للإشراف | تحديد التهديدات غير المعروفة والتهديدات الداخلية |
| تصنيف البرامج الضارة | التعلم العميق الخاضع للإشراف | يكشف عن البرامج الضارة متعددة الأشكال والمراوغة |
| كشف عمليات التصيد الاحتيالي | معالجة اللغة الطبيعية | يكشف عن أساليب الهندسة الاجتماعية المعقدة |
| تقييم الثغرات الأمنية | تعزيز التعلم | يُعطي الأولوية للمعالجة بناءً على المخاطر الفعلية |
| تحديد مصدر التهديد | خوارزميات ارتباط الأنماط | يربط الحملات بجهات فاعلة محددة |
تقنيات وخوارزميات التعلم الآلي في الممارسة العملية
تؤدي الخوارزميات المختلفة وظائف استخباراتية مختلفة تتعلق بالتهديدات. ويساعد فهم التقنيات المناسبة لكل حالة المؤسسات على تطبيق أنظمة فعالة.
آلات المتجهات الداعمة (SVM)
تصنف آلات المتجهات الداعمة البيانات من خلال إيجاد الحدود المثلى بين الفئات. وفي مجال استخبارات التهديدات، تميز آلات المتجهات الداعمة بين الملفات الضارة والملفات السليمة، وتصنف حركة مرور الشبكة، وتصنف الجهات الفاعلة في التهديدات بناءً على خصائص سلوكها.
تعمل هذه الخوارزميات بشكل جيد مع البيانات عالية الأبعاد وتثبت فعاليتها في مهام التصنيف الثنائي - البرامج الضارة مقابل البرامج الشرعية، والتصيد الاحتيالي مقابل الاتصالات الحقيقية.
الغابات العشوائية وأشجار القرار
تُنشئ نماذج شجرة القرار تصنيفات قائمة على القواعد من خلال تقسيم البيانات بناءً على قيم الميزات. وتجمع الغابات العشوائية بين أشجار قرار متعددة لتحسين الدقة وتقليل التجاوز.
تُجدي هذه التقنيات نفعاً مع مجموعات البيانات المنظمة ذات السمات الواضحة، مثل سمات حزم الشبكة وسجلات وصول المستخدم وسجلات أحداث النظام. مع ذلك، تُظهر الطرق القائمة على الأشجار دقة أقل من الخوارزميات القائمة على الدوال في مجموعات بيانات CTI شبه المنظمة.
الشبكات العصبية الاصطناعية والتعلم العميق
تتفوق نماذج التعلم العميق متعددة الطبقات في التعرف على الأنماط المعقدة. تحلل الشبكات العصبية الالتفافية (CNNs) البيانات المرئية مثل تصورات حركة مرور الشبكة، بينما تعالج الشبكات العصبية المتكررة (RNNs) البيانات المتسلسلة مثل سلوك المستخدم بمرور الوقت.
يتطلب التعلم العميق بيانات تدريب ضخمة، ولكنه يوفر أداءً فائقًا في مواجهة التهديدات المعقدة. وقد بات اختبار الاختراق المدعوم بالذكاء الاصطناعي يتضمن خوارزميات التعلم الآلي لتعزيز ممارسات القرصنة الأخلاقية، كما يتضح من تركيز شهادة CEH v13 على الذكاء الاصطناعي.
نماذج اللغة الكبيرة (LLMs)
تعمل نماذج التعلم المحسّنة على تحسين عملية استخلاص معلومات التهديدات. تقوم هذه النماذج بتحليل تقارير التهديدات غير المهيكلة، واستخلاص أساليب وتقنيات وتقنيات الهجوم تلقائيًا، وربط النتائج بأطر عمل مثل MITRE ATT&CK.
تستفيد TRAM من نماذج التعلم الآلي لتحسين سرعة ودقة رسم خرائط التكتيكات والتقنيات والإجراءات، ما يعالج مشكلةً عمل عليها مجتمع الأمن السيبراني لسنوات. يتيح هذا التشغيل الآلي للمحللين التركيز على الاستجابة الاستراتيجية بدلاً من تحليل التقارير يدويًا.
التعلم المعزز للدفاع التكيفي
تتعلم أنظمة التعلم المعزز أفضل الإجراءات الأمنية من خلال التجربة والخطأ. تختبر هذه الأنظمة الاستراتيجيات الدفاعية، وتقيس النتائج، وتُحسّن التكتيكات تلقائيًا.
تشمل التطبيقات أنظمة الاستجابة الآلية للحوادث، وهي أنظمة تحتوي على التهديدات، وتعزل الأصول المخترقة، وتبدأ عمليات المعالجة دون تدخل بشري. ومع تطور التهديدات، يقوم التعلم المعزز بتكييف استراتيجيات الدفاع في الوقت الفعلي.
العنصر البشري: تحليل المعلومات الاستخباراتية بمساعدة الذكاء الاصطناعي
لا يحل التعلم الآلي محل المحللين البشريين، بل يعزز قدراتهم. وتجمع برامج استخبارات التهديدات الأكثر فعالية بين قوة الخوارزميات والخبرة البشرية.
بصراحة: تتفوق الخوارزميات في النطاق الواسع والسرعة العالية والقدرة على تمييز الأنماط. أما البشر فيُضفون الفهم السياقي والتفكير الاستراتيجي والحكم الدقيق. المؤسسات التي تتعامل مع التعلم الآلي كمساعد للمحلل - وليس كبديل عنه - تحقق أفضل النتائج.
بحسب دراسة أجراها معهد SANS، حدد أكثر من 701 مشاركًا مهارات الفرز والاستجابة للحوادث ورسم خرائط الهجمات كأهم المهارات التي يحتاجونها. ويتولى التعلم الآلي العمليات الحسابية المعقدة، مما يتيح للمحللين التركيز على تطبيق هذه القدرات القيّمة.
تؤكد برامج التدريب المعتمدة لدى وكالة الأمن السيبراني وأمن البنية التحتية (CISA) على نموذج التعاون بين الذكاء الاصطناعي والبشر، حيث تعلم المحللين كيفية الاستفادة من التحليل القائم على الذكاء الاصطناعي لتحسين اكتشاف التهديدات السيبرانية والاستجابة لها بدلاً من الاعتماد فقط على الأنظمة الآلية.
اتجاهات التبني الحالية وبيانات الصناعة
تُدرك المؤسسات إمكانات التعلم الآلي، لكن معدلات التبني تختلف باختلاف القدرات ومستويات النضج.
إحصائيات الكشف والأتمتة
يكشف بحث معهد SANS لعام 2025 عن أنماط تبني دالة:
- تستخدم 45% من المؤسسات حاليًا الذكاء الاصطناعي في عمليات الكشف
- تتوقع شركة 88% أن يؤثر الذكاء الاصطناعي بشكل كبير على العمليات خلال السنوات الثلاث القادمة
- تتضمن 63% بالفعل أتمتة في عمليات الكشف
- تخطط وحدة 30% لتطبيق الأتمتة خلال العام المقبل
- يهدف مشروع 44% إلى أتمتة تطوير قواعد الكشف وهندسة بيانات الأمان
- تعتمد 67% من المؤسسات الآن على الكشف القائم على السلوك بدلاً من الأساليب التقليدية القائمة على التوقيعات.
تشير هذه الأرقام إلى تحول واضح نحو عمليات الأمن المدعومة بالذكاء الاصطناعي. وتخاطر المؤسسات التي تتأخر في تبني هذه التقنيات بالتخلف عن خصومها الذين يستغلون بالفعل التعلم الآلي لأغراض هجومية.
فجوات المهارات والموارد
لا تكفي التكنولوجيا وحدها لحل التحديات الأمنية. نقص الكفاءات يعيق تبني تقنيات التعلم الآلي.
- تواجه 41% من المنظمات صعوبة في العثور على مهندسين متخصصين في الكشف.
- أفادت 451 منظمة فقط من أصل 3 منظمات بإمكانية الوصول الكافي إلى مصادر البيانات اللازمة
- أشار أكثر من 701 مشاركًا إلى أن مهارات الفرز والاستجابة للحوادث ورسم خرائط الهجمات هي المهارات الأكثر قيمة.
برزت هندسة البيانات ونمذجة التهديدات كمجالات رئيسية للتطوير المهني، مما يسلط الضوء على الطبيعة متعددة التخصصات لأدوار استخبارات التهديدات الحديثة.
تحديات وقيود التعلم الآلي في مجال استخبارات التهديدات
يُتيح التعلّم الآلي إمكانيات تحويلية، لكن لا تزال هناك تحديات في تنفيذه. ويساعد فهم هذه القيود المؤسسات على وضع توقعات واقعية والتخطيط وفقًا لذلك.
التحيز الخوارزمي وجودة البيانات
ترث نماذج التعلم الآلي التحيزات الموجودة في بيانات التدريب. فإذا بالغت مجموعات بيانات التدريب في تمثيل أنواع معينة من الهجمات أو قللت من تمثيل السلوكيات المشروعة من مجموعات مستخدمين محددة، فإن النماذج تنتج مخرجات منحرفة تُنشئ ملفات تعريف مضللة للمخاطر.
يؤدي ضعف جودة البيانات إلى تفاقم هذه المشكلة. فالسجلات غير المكتملة، والتصنيفات غير المتسقة، والبيانات المشوشة تقلل من دقة النموذج. "المدخلات الرديئة تؤدي إلى مخرجات رديئة" - ينطبق هذا المبدأ بقوة على أنظمة استخبارات التهديدات.
الإفراط في التخصيص وتعميم النموذج
يحدث التجاوز في التدريب عندما تتعلم الخوارزميات بيانات التدريب بشكل مفرط، فتحفظ أمثلة محددة بدلاً من تعميم الأنماط. وتؤدي النماذج المتجاوزة للتدريب أداءً ممتازاً على بيانات التدريب، لكنها تفشل عند مواجهة تهديدات جديدة ومختلفة قليلاً في بيئات الإنتاج.
إن تحقيق التوازن بين تعقيد النموذج وقدرة التعميم يتطلب ضبطًا دقيقًا، ومجموعات بيانات للتحقق، ومراقبة مستمرة للأداء.
التعلم الآلي التنافسي
لا يتجاهل المهاجمون أنظمة الدفاع القائمة على التعلم الآلي، بل يستهدفونها. إذ تتلاعب تقنيات التعلم الآلي المعادية بالمدخلات لخداع خوارزميات التصنيف. ويقوم المهاجمون بتصميم برامج خبيثة مُعدّلة خصيصًا للتحايل على أنظمة الكشف القائمة على التعلم الآلي، أو لتسميم مجموعات بيانات التدريب بهدف إضعاف أداء النموذج.
يؤكد كل من المعهد الوطني للمعايير والتكنولوجيا (NIST) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) على ضرورة التصدي لتهديدات الذكاء الاصطناعي المعادية، وتسميم البيانات، والاعتبارات الأخلاقية في تطبيقات الأمن السيبراني العسكرية والمدنية. يجب على المؤسسات أن تفترض أن الخصوم سيهاجمون أنظمة التعلم الآلي الخاصة بها بشكل مباشر.
قابلية التفسير والشرح
تعمل الشبكات العصبية المعقدة كصناديق سوداء، فهي تُنتج تنبؤات دقيقة لكنها لا تُفسر المنطق. عندما يُشير نموذج ما إلى حدثٍ ما على أنه خبيث، يحتاج المحللون إلى فهم السبب للتحقق من صحة النتائج والاستجابة بشكل مناسب.
يُؤدي غياب قابلية التفسير إلى مشاكل في الثقة ويُعقّد التحقيق في الحوادث. تعالج تقنيات الذكاء الاصطناعي القابل للتفسير (XAI) هذه المشكلة من خلال توفير مبررات مفهومة بشريًا للقرارات الخوارزمية، ولكن لا تزال العديد من أنظمة الإنتاج تفتقر إلى الشفافية الكافية.
متطلبات الموارد والبنية التحتية
يتطلب تدريب نماذج التعلم الآلي المتطورة موارد حاسوبية كبيرة، وسعة تخزين هائلة، وأجهزة متخصصة. وتتطلب نماذج التعلم العميق وحدات معالجة رسومية (GPUs) أو وحدات معالجة موتر (TPUs) لتدريبها بكفاءة.
تشمل التكاليف التشغيلية المستمرة إعادة تدريب النماذج، ومراقبة الأداء، وصيانة خطوط نقل البيانات. وقد تجد المؤسسات الصغيرة صعوبة في تبرير هذه الاستثمارات دون إثبات واضح للعائد على الاستثمار.
| تحدي | تأثير | استراتيجية التخفيف |
|---|---|---|
| التحيز الخوارزمي | تقييمات التهديدات المتحيزة | بيانات تدريب متنوعة، وعمليات تدقيق منتظمة للتحيز |
| الإفراط في التخصيص | أداء ضعيف في الواقع العملي | التحقق المتبادل، تقنيات التنظيم |
| الهجمات العدائية | التهرب من النموذج، والتسمم | التدريب التنافسي، التحقق من صحة المدخلات |
| عدم قابلية التفسير | قضايا الثقة والتحقيق | أساليب الذكاء الاصطناعي القابلة للتفسير، والنهج الهجينة |
| متطلبات الموارد | تكاليف تنفيذ مرتفعة | خدمات التعلم الآلي السحابية، النشر المرحلي |
الاتجاهات المستقبلية: إلى أين تتجه تقنيات التعلم الآلي ومعلومات التهديدات؟
يتطور التقاطع بين التعلم الآلي ومعلومات التهديدات بوتيرة متسارعة. وستشكل عدة اتجاهات ناشئة الجيل القادم من العمليات الأمنية.
الذكاء الاصطناعي التوليدي ونماذج اللغة الكبيرة
يُحدث الذكاء الاصطناعي التوليدي تحولاً جذرياً في سير عمل استخبارات التهديدات، متجاوزاً تطبيقات التعلم الآلي التقليدية. تعمل نماذج التعلم الآلي على أتمتة إنشاء التقارير، وتجميع المعلومات من مصادر متعددة، وتوفير واجهات لغة طبيعية لبيانات الأمان.
يقدم إطار عمل "مبدأ أقل ذكاء اصطناعي" الخاص بمعهد SANS إرشادات عملية حول متى يتم استخدام أدوات GenAI غير الحتمية مثل LLMs والتوليد المعزز بالاسترجاع (RAG) مقابل الأساليب الحتمية التقليدية، مما يساعد المؤسسات على تحقيق أقصى قيمة مع تقليل المخاطر.
ومع ذلك، تؤكد المناقشات المجتمعية على التقييم النقدي للضجة الإعلامية التي يروج لها البائعون وتجنب التعقيد غير الضروري عندما تكون الحلول الأبسط كافية.
التعلم الموحد لتبادل المعلومات الاستخباراتية مع الحفاظ على الخصوصية
يُمكّن التعلّم الموحّد المؤسسات من تدريب نماذج التعلّم الآلي بشكل تعاوني دون مشاركة البيانات الأولية. يتم تدريب النماذج محليًا على بيانات كل مؤسسة، ثم تُشارك تحديثات النموذج فقط، مما يحافظ على الخصوصية مع الاستفادة من الذكاء الجماعي.
يعالج هذا النهج المخاوف القانونية والتنافسية التي تمنع تبادل بيانات التهديدات، مما قد يؤدي إلى إنشاء نماذج أكثر قوة يتم تدريبها على نطاق أوسع من مشاهد التهديدات.
التكامل مع تقنية الكشف والاستجابة الموسعة (XDR)
تُشغّل تقنيات التعلّم الآلي منصات الجيل التالي من أنظمة الكشف والاستجابة الشاملة (XDR) التي تربط بيانات القياس عن بُعد عبر نقاط النهاية والشبكات والبنية التحتية السحابية والتطبيقات. توفر هذه الأنظمة رؤية شاملة للتهديدات وقدرات استجابة آلية.
مع تطور هندسة الكشف، يقلل الذكاء الاصطناعي السلوكي من النتائج الإيجابية الخاطئة ويوقف هجمات اليوم الصفر من خلال التركيز على سلوكيات الخصوم بدلاً من المؤشرات الثابتة.
البحث عن التهديدات باستخدام الذكاء الاصطناعي
تستفيد عمليات البحث الاستباقي عن التهديدات من تقنيات التعلم الآلي لتوليد الفرضيات، وتحديد الحالات الشاذة التي تستحق التحقيق، والكشف عن التهديدات الخفية. ويُعدّ محرك استدلال التقنيات مثالاً على هذا التوجه، إذ يستخدم التعلم الآلي للتنبؤ بتقنيات الخصوم التي لم يلاحظها المدافعون بعد، مما يُمكّن من البحث الاستباقي.
الذكاء الاصطناعي الآمن وMITRE ATLAS
مع تزايد اعتماد المؤسسات على أنظمة الذكاء الاصطناعي، يستهدف المهاجمون البنية التحتية للتعلم الآلي نفسها. يوفر مشروع MITRE ATLAS قاعدة بيانات لتكتيكات المهاجمين ضد أنظمة الذكاء الاصطناعي، معتمدًا نهجًا قائمًا على تحليل التهديدات لتأمين عمليات نشر التعلم الآلي.
يساهم هذا التعاون في تعزيز أمن الأنظمة التي تعمل بالذكاء الاصطناعي من خلال التبادل السريع للتقنيات العدائية الجديدة، مما يضمن تطور الدفاعات جنبًا إلى جنب مع التهديدات الناشئة للتعلم الآلي نفسه.
تطبيق التعلم الآلي: اعتبارات عملية
ينبغي على المنظمات التي تخطط لتطبيق التعلم الآلي في مجال استخبارات التهديدات أن تأخذ هذه العوامل العملية في الاعتبار.
ابدأ بحالات استخدام واضحة
لا تُطبّق تقنيات التعلّم الآلي في كل مكان دفعةً واحدة. حدّد نقاط الضعف المحددة - مثل الإرهاق من كثرة التنبيهات، وتحديد أولويات الثغرات الأمنية، واكتشاف التصيّد الاحتيالي - ونفّذ حلولاً مُوجّهة. قِس النتائج، وحسّن النماذج، ثمّ وسّع نطاق استخدامها ليشمل حالات استخدام إضافية.
البنية التحتية للبيانات تأتي أولاً
تعتمد جودة التعلم الآلي كلياً على جودة البيانات. قبل تطبيق الخوارزميات، تأكد من وجود بنية تحتية قوية لجمع البيانات وتوحيدها وتخزينها. فقط 45% من المؤسسات تُبلغ عن توفر وصول كافٍ إلى مصادر البيانات اللازمة - لذا، عالج هذا الشرط الأساسي قبل الاستثمار في نماذج متطورة.
الموازنة بين الأتمتة والإشراف البشري
يُقلل التشغيل الآلي من عبء عمل المحللين، لكن التشغيل الآلي الكامل يُولّد مخاطر. لذا، يُنصح بتطبيق آليات عمل تتضمن تدخلاً بشرياً، حيث يتحقق المحللون من صحة الاكتشافات عالية الموثوقية ويُجرون تحقيقات في الحالات الغامضة. يُعزز هذا النهج الثقة ويُساعد في رصد الحالات الشاذة التي قد تغفل عنها الخوارزميات.
خطة للصيانة الدورية للنموذج
تتدهور نماذج التعلم الآلي بمرور الوقت مع تطور بيئات التهديدات. لذا، يُنصح بجدولة عمليات إعادة التدريب المنتظمة، ومراقبة الأداء، واختبارات التحقق. خصص ميزانية للصيانة المستمرة، وليس فقط للتنفيذ الأولي.
معالجة فجوات المهارات من خلال التدريب
مع معاناة 41% مؤسسة في إيجاد مهندسين متخصصين في الكشف عن التهديدات، أصبحت برامج التدريب الداخلي ضرورية. توفر دورات الذكاء الاصطناعي والتعلم الآلي المعتمدة من CISA في مجال الاستخبارات السيبرانية مسارات تعليمية منظمة للمحللين الذين ينتقلون إلى سير العمل المعزز بالذكاء الاصطناعي.
الأسئلة الشائعة
ما هو التعلم الآلي في مجال استخبارات التهديدات؟
يشير التعلم الآلي في مجال استخبارات التهديدات إلى الخوارزميات التي تحلل بيانات الأمان تلقائيًا، وتحدد الأنماط، وتكشف الشذوذات، وتتنبأ بالتهديدات. تعالج هذه الأنظمة مجموعات بيانات ضخمة في الوقت الفعلي، وتتعلم من الهجمات السابقة للتعرف على كل من التهديدات المعروفة وأساليب الهجوم الجديدة دون تدخل بشري.
كيف يُحسّن التعلّم الآلي من اكتشاف التهديدات مقارنةً بالأساليب التقليدية؟
يكشف التعلم الآلي عن التهديدات بناءً على أنماط سلوكية بدلاً من التوقيعات الثابتة، مما يُمكّن من تحديد ثغرات اليوم الصفر والبرمجيات الخبيثة متعددة الأشكال. تُحلل الأنظمة ملايين الأحداث في وقت واحد، وتقلل من الإنذارات الكاذبة من خلال التحليل السياقي، وتتكيف مع تطور التهديدات - وهي قدرات مستحيلة مع الكشف التقليدي القائم على التوقيعات.
ما هي التحديات الرئيسية لاستخدام التعلم الآلي في مجال الأمن السيبراني؟
تشمل التحديات الرئيسية التحيز الخوارزمي الناتج عن بيانات التدريب غير المتوازنة، والتخصيص الزائد الذي يقلل من الأداء في الواقع، والهجمات المعادية التي تستهدف النماذج نفسها، وعدم قابلية تفسير الشبكات العصبية المعقدة، ومتطلبات الموارد الكبيرة للتدريب والتشغيل. كما يجب على المؤسسات معالجة فجوات المهارات - حيث تواجه 41% صعوبة في العثور على مهندسي كشف مؤهلين.
هل يمكن للتعلم الآلي أن يحل محل محللي الأمن البشريين؟
لا. يُعزز التعلّم الآلي قدرات المحللين، لكنه لا يُغني عن الخبرة البشرية. تتفوق الخوارزميات في النطاق والسرعة والتعرف على الأنماط، بينما يُقدم البشر فهمًا سياقيًا وتفكيرًا استراتيجيًا وحكمًا دقيقًا. تجمع البرامج الأكثر فعالية بين أتمتة التعلّم الآلي والإشراف البشري، لا سيما في الفرز والاستجابة للحوادث ورسم خرائط الهجمات - وهي مهارات تُعتبر الأكثر قيمة لدى أكثر من 701 مليون مؤسسة.
ما هي خوارزميات التعلم الآلي الأكثر فعالية في مجال استخبارات التهديدات؟
تعتمد الفعالية على حالة الاستخدام. تُظهر آلات المتجهات الداعمة وشبكات التعلم العميق العصبية الاصطناعية دقة عالية لبيانات معلومات التهديدات شبه المهيكلة. بينما تُناسب الغابات العشوائية مجموعات البيانات المهيكلة. وتتفوق نماذج اللغة الكبيرة في استخلاص أساليب وتقنيات وتقنيات الهجوم من التقارير غير المهيكلة. ويُمكّن التعلم المعزز من الاستجابة التكيفية للحوادث. وعادةً ما تستخدم المؤسسات خوارزميات متعددة لوظائف معلومات التهديدات المختلفة.
كيف يتقدم تبني الذكاء الاصطناعي في مؤسسات الأمن السيبراني؟
بحسب معهد SANS، تستخدم 45% من المؤسسات حاليًا الذكاء الاصطناعي في عمليات الكشف، بينما تتوقع 88% تأثيرًا كبيرًا خلال ثلاث سنوات. ولا يقتصر تبني الذكاء الاصطناعي على الكشف فحسب، بل يشمل أيضًا دمج الأتمتة في عمليات الكشف، وتهدف 44% إلى أتمتة تطوير قواعد الكشف. ويهيمن الكشف القائم على السلوك حاليًا، حيث تعتمد 67% من المؤسسات عليه بدلًا من الأساليب التقليدية القائمة على التوقيعات.
ما هو مبدأ الحد الأدنى من الذكاء الاصطناعي في استخبارات التهديدات؟
يُقدّم مبدأ الحد الأدنى من الذكاء الاصطناعي إرشادات حول متى يُفضّل استخدام أدوات الذكاء الاصطناعي التوليدية غير الحتمية، مثل نماذج التعلم المحدود، مقارنةً بالأساليب الحتمية التقليدية. ويساعد هذا المبدأ المؤسسات على تحقيق أقصى قيمة مع تقليل المخاطر من خلال اختيار تقنية الذكاء الاصطناعي المناسبة لكل حالة استخدام أمنية، وتجنب التعقيد غير الضروري، والتقييم النقدي لمزاعم الموردين بشأن قدرات الذكاء الاصطناعي.
الخلاصة: التعلم الآلي كمضاعف لمعلومات التهديدات
يُحدث التعلم الآلي تحولاً جذرياً في كيفية تعامل المؤسسات مع معلومات التهديدات. تعالج الخوارزميات البيانات على نطاقات وسرعات تفوق قدرة الفرق البشرية، وتحدد الأنماط الدقيقة عبر مجموعات البيانات المعقدة، وتتنبأ بالتهديدات قبل حدوثها.
لكن التكنولوجيا وحدها لا تخلق الأمن. فالمؤسسات التي تحقق أفضل النتائج تجمع بين أتمتة التعلم الآلي والخبرة البشرية، وتستثمر في البنية التحتية للبيانات قبل نشر النماذج المتطورة، وتتعامل مع الذكاء الاصطناعي كمساعد للمحلل وليس كبديل له.
مع توقع 881% من المؤسسات أن يؤثر الذكاء الاصطناعي بشكل كبير على عملياتها خلال السنوات الثلاث القادمة، فإن السؤال ليس ما إذا كان ينبغي تبني التعلم الآلي في مجال استخبارات التهديدات، بل كيفية تطبيقه بفعالية. ابدأ بتحديد حالات استخدام واضحة، وأعطِ الأولوية لجودة البيانات، وعالج فجوات المهارات، وحافظ على توقعات واقعية بشأن القدرات والقيود.
يستغلّ الخصوم بالفعل تقنيات التعلّم الآلي لأغراض هجومية. ويتعيّن على المدافعين مواكبة هذه القدرة للحفاظ على وضعهم الأمني. الأدوات والأطر وبرامج التدريب متوفرة اليوم، بدءًا من أتمتة MITRE القائمة على إطار عمل ATT&CK وصولًا إلى دورات الذكاء الاصطناعي المعتمدة من CISA لمتخصصي الاستخبارات السيبرانية.
هل أنت مستعد لتعزيز قدرات استخبارات التهديدات باستخدام التعلم الآلي؟ ابدأ بتقييم سير العمل الحالي للكشف، وتحديد فرص الأتمتة ذات القيمة العالية، والاستثمار في البنية التحتية للبيانات والمهارات اللازمة لنشر عمليات الأمن المدعومة بالذكاء الاصطناعي بنجاح.
Arabic 
English 
German 
French 
Dutch 
Spanish