يشهد الذكاء الاصطناعي انتشاراً متزايداً في عمليات الأمن السيبراني، لكن العديد من الفرق التقنية تواجه صعوبة في تحويل التجارب الأولية إلى قيمة تشغيلية فعلية. السبب الرئيسي هو تبني الذكاء الاصطناعي دون نهج مدروس للدمج التشغيلي.
كشفت نتائج استطلاع SANS SOC لعام 2025 عن فجوة كبيرة في استخدام الذكاء الاصطناعي، حيث أن 40% من مراكز العمليات الأمنية تستخدم أدوات الذكاء الاصطناعي دون جعلها جزءاً محدداً من العمليات، بينما 42% يعتمدون على الأدوات الجاهزة دون أي تخصيص.
النتيجة نمط متكرر: الذكاء الاصطناعي موجود داخل مراكز الأمن لكنه غير مفعّل بشكل صحيح. المحللون يستخدمونه بشكل غير رسمي مع موثوقية متفاوتة، بينما الإدارة لم تضع نموذجاً واضحاً لمكان الذكاء الاصطناعي وكيفية التحقق من نتائجه.
ما هي فوائد دمج الذكاء الاصطناعي في الأمن السيبراني؟
يمكن للذكاء الاصطناعي تحسين قدرات مراكز العمليات الأمنية بشكل واقعي عند تطبيقه بشكل صحيح. حسب تيكبامين، المفتاح يكمن في تضييق نطاق المشكلة والتحقق من المنطق ومعاملة المخرجات بنفس الدقة المتوقعة من أي جهد هندسي.
الفرصة الحقيقية ليست في إنشاء فئات جديدة من العمل، بل في تحسين الفئات الموجودة بالفعل وتمكين الاختبار والتطوير لتوسيع القدرات الحالية.
5 مجالات رئيسية لتطبيق الذكاء الاصطناعي
1. هندسة الكشف عن التهديدات
هندسة الكشف تتعلق ببناء تنبيهات عالية الجودة يمكن وضعها في أنظمة SIEM أو خطوط MDR التشغيلية. لكي تكون قابلة للتطبيق، يجب تطوير المنطق واختباره وتحسينه بمستوى ثقة لا يترك مجالاً للغموض.
المشكلة أن الذكاء الاصطناعي غالباً ما يُطبق بشكل غير فعال في هذا المجال. لا تفترض أن الذكاء الاصطناعي سيصلح القصور في DevSecOps أو يحل مشاكل خط التنبيهات ما لم يكن ذلك الهدف المقصود.
يمكن أن يكون الذكاء الاصطناعي مفيداً عند تطبيقه على مشكلة محددة جيداً تدعم التحقق والضبط التشغيلي المستمر. مثال واضح من دورة SANS SEC595 هو تمرين تعلم آلي يفحص أول ثمانية بايتات من تدفق الحزمة لتحديد ما إذا كانت حركة المرور تعيد بناء DNS.
المزايا الرئيسية للتطبيق الصحيح
- تحسين قدرة وكفاءة مراكز العمليات الأمنية
- زيادة قابلية تكرار العمليات
- رفع مستوى رضا الموظفين وقدراتهم
- نتائج أكثر قابلية للتنبؤ وفائدة
كيف تبدأ بدمج الذكاء الاصطناعي في عمليات الأمن؟
وفقاً لتقرير تيكبامين، يجب على الفرق التقنية معاملة الذكاء الاصطناعي كأداة مساعدة وليس حلاً سحرياً. عند تطبيقه على مهمة محددة ومحدودة النطاق مع عملية مراجعة واضحة، يصبح تأثيره أكثر قابلية للتنبؤ والفائدة.
التركيز يجب أن يكون على المهام المحددة جيداً والقابلة للقياس، مع وضع آليات للتحقق من النتائج وضبط الأداء بشكل مستمر.
