تحليل معمق
عندما تدخل العمليات الأمنية في "سرعة الآلة": كيف تعيد SOC الوكيل لبنك Bendigo تشكيل نموذج الأمن السيبراني
يقوم بنك Bendigo ببناء أول "مركز عمليات أمنية وكيلية" في أستراليا، حيث يتم دمج وكلاء الذكاء الاصطناعي بعمق في عمليات الاستجابة الأمنية. هذا ليس مجرد ترقية تقنية، بل يشير إلى تحول نموذجي في عمليات الأمن السيبراني من الدفاع السلبي إلى الحكم الذاتي النشط. تحلل المقالة بعمق تأثير هذا الاتجاه على هيكل الصناعة واستراتيجيات المؤسسات.
عندما تدخل العمليات الأمنية إلى "سرعة الآلة"
لقد تجاوزت سرعة تطور تهديدات الأمن السيبراني القدرة الإدراكية للمحللين البشريين. تعتمد مراكز العمليات الأمنية التقليدية (SOC) بشكل كبير على المحللين من المستويين الأول والثاني لفرز التنبيهات وتدقيق السجلات والاستجابة الأولية، لكن في ظل استخدام المهاجمين المعاصرين للهجمات المولّدة بالذكاء الاصطناعي والتنقل الأفقي الآلي، أصبحت دورة "الكشف والاستجابة" التي يقودها الإنسان غير كافية. صرّح غاجان أنانثابافان، كبير مسؤولي الأمن في بنك Bendigo، خلال قمة Google Cloud في سيدني قائلاً: "لن تستمر فرق SOC التقليدية بشكلها الحالي."
الحل الذي تبناه البنك هو إنشاء أول "مركز عمليات أمنية وكيلية" (agentic SOC) في أستراليا. جوهره ليس مجرد ترقية آلية بسيطة، بل دمج وكلاء ذكاء اصطناعي في حلقة القرارات الأمنية - من ربط التنبيهات وتصنيف الأحداث إلى تنفيذ الاستجابة، حيث يمكن للوكلاء اتخاذ القرارات والتحرك بشكل مستقل في غضون ميلي ثانية، ولا يطلبون التدخل البشري إلا عند الحاجة إلى تحليل عميق أو قرارات استراتيجية. وأوضح أنانثابافان أن الهدف النهائي هو إخراج البشر تماماً من خط الاستجابة الأول، والسماح للفريق بالتركيز على "الأعمال الأمنية عالية القيمة."
من SOAR إلى Agentic: قفزة نموذجية في أتمتة الأمن
كانت أتمتة التنسيق والاستجابة الأمنية (SOAR) أداة قياسية لتحسين كفاءة SOC، لكنها في جوهرها تنفيذ آلي "قائم على النصوص": قواعد محددة مسبقاً، فروع شرطية محدودة، وافتقار إلى فهم السياق. أما مركز العمليات الأمنية الوكيلية فيقوم على نماذج اللغة الكبيرة (LLM) والتعلم التعزيزي، مما يمكنه من فهم معلومات التهديدات الموصوفة باللغة الطبيعية، وتعديل الاستراتيجيات بشكل ديناميكي، بل وتعزيز الضوابط الدفاعية بشكل استباقي - مثل ضبط قواعد جدار الحماية لتطبيقات الويب تلقائياً لمواجهة ناقلات الهجوم الفورية.
يعكس اختيار Bendigo Bank للتكنولوجيا الدعم الأساسي لهذه القفزة: استخدام Google Threat Intelligence لتوفير خارطة تهديدات عالمية، وGoogle SecOps كمنصة تحليل موحدة، وSecurity Command Center لتحقيق الرؤية والتحكم في سياسات الأصول السحابية الأصلية. تحتوي هذه المنتجات بالفعل على قدرات ذكاء اصطناعي مدمجة، لكن البنك ذهب أبعد من ذلك ببناء طبقة وكيلية خاصة به فوقها. وأكد أنانثابافان أن هذا يتطلب "بناء الثقة في قرارات الوكلاء بشكل تدريجي"، مع الحفاظ على "التعاون بين الإنسان والآلة" في البداية، ثم تقليل التدخل البشري تدريجياً بعد الوصول إلى دقة النموذج المطلوبة.
ثلاثة تأثيرات على هيكل الصناعة
سيحدث صعود مركز العمليات الأمنية الوكيلية تغييراً عميقاً في ثلاثة مستويات من مجال الأمن السيبراني:أولاً، إعادة هيكلة القوى العاملة. تواجه مراكز عمليات الأمن (SOC) العالمية نقصًا حادًا في المواهب، مع معدل دوران مرتفع جدًا بين المحللين المبتدئين. إذا تمكن الوكلاء من التعامل مع 80% من معالجة التنبيهات والاستجابات الموحدة، فلن تحتاج الشركات بعد الآن إلى عدد كبير من المحللين ذوي المستوى المنخفض؛ وبدلاً من ذلك، ستكون هناك حاجة إلى أدوار مركبة أقل عددًا مثل "مهندس أمن + مدرب ذكاء اصطناعي"، مسؤولة عن تحسين سلوك الوكلاء والتحقيق في التهديدات المتقدمة. يشبه هذا إعادة تشكيل الاختبارات الآلية لدور ضبط الجودة - ليس إلغاء الوظائف، بل رفع مستوى المهارات المطلوبة.
ثانيًا، إعادة تشغيل موردي الأمن. يواجه بائعو SIEM التقليديون (مثل Splunk وIBM QRadar) منافسة شديدة من منصات الأمن السحابية الأصلية. تقدم Google وMicrosoft وAmazon منصات تشغيل أمنية متكاملة، مدمجة بقدرات وكلاء الذكاء الاصطناعي، ومربوطة بمزايا البنية التحتية السحابية. أظهر بنك Bendigo إكمال ترحيل المنصة وإغلاق الأنظمة القديمة في غضون أربعة أشهر، مما يوضح أن سرعة النشر وتوفير التكاليف للحلول السحابية الأصلية تتحول إلى خيارات فعلية. في الوقت نفسه، تتنافس شركات استشارية مثل PwC، بوصفها متكاملين، على سوق خدمات "التحول بالوكالة".
ثالثًا، ترقية استراتيجية الأمن المؤسسي. لا يقتصر دور الوكلاء على الاستجابة فحسب، بل يمكنهم أيضًا التعزيز النشط. يوضح Ananthapavan، على سبيل المثال، أنه من خلال المعلومات الاستخباراتية المجمعة في الوقت الفعلي من الهجمات الحقيقية، يمكن للوكيل ضبط قواعد الحماية الأمامية مباشرة - وهذا يمثل الانتقال الرسمي لعمليات الأمن من "الدفاع السلبي" إلى مرحلة "الحكم الذاتي النشط". على المدى الطويل، سينتقل تركيز فرق الأمن المؤسسي من "إدارة الأحداث" إلى "حوكمة النماذج وتصميم الاستراتيجيات".محاولة بنك Bendigo هي عقدة إثبات في هذا السرد الكبير. عندما يثبت وكيل SOC موثوقيته وفعاليته من حيث التكلفة، ستسرع الصناعة في متابعته. قواعد لعبة الأمن السيبراني تُعاد كتابتها: النصر لن يعود بعد الآن لأسرع البشر، بل للآلات التي تمتلك أذكى الوكلاء.
حدود المصادر · thedailytech
تضع thedailytech هذه الملاحظة ضمن أخبار التقنية / الذكاء الاصطناعي والابتكار / شركات التقنية الكبرى. ينبغي فتح روابط المصادر قبل إعادة استخدام الملخص: ما زالت التواريخ والأسماء وتغيرات الحالة تحتاج إلى تحقق. أخبار التقنية / الذكاء الاصطناعي والابتكار / شركات التقنية الكبرى يوضح الزاوية التحريرية المحلية.