في السنوات الماضية اعتمدت كثير من المؤسسات على الحماية التقليدية المبنية على “الدفاع السلبي”؛ أي انتظار ظهور هجوم أو اكتشاف برمجية خبيثة معروفة مسبقًا عبر جدران نارية ومضادات فيروسات تقوم بالحظر بناءً على توقيعات معروفة. لكن مع تطور أساليب المهاجمين واستخدامهم لبرمجيات تتغير باستمرار مثل البرمجيات متعددة الأشكال (Polymorphic Malware)، لم يعد هذا النهج وحده كافيًا لمواجهة الهجمات المعقدة أو الهجمات التي لا تترك آثارًا واضحة.
هنا برز مفهوم “صيد التهديدات السيبرانية” (Threat Hunting) بوصفه نهجًا استباقيًا ومتقدمًا. بدلًا من الانتظار حتى تُطلق الأنظمة إنذارًا، يقوم فريق الأمن السيبراني (وبمساعدة أدوات ذكية) ببحث نشط ومستمر داخل الشبكة لاكتشاف المخترقين الذين نجحوا بالفعل في تجاوز خطوط الدفاع الأولى والاندماج ضمن السلوك الطبيعي.
ومع تصاعد حجم البيانات وتعقيد الأنظمة، ظهرت قيمة إضافية عند دمج الذكاء الاصطناعي في عمليات صيد التهديدات. تشير تقارير تحليلية متخصصة إلى أن الذكاء الاصطناعي يحسن سرعة وكفاءة اكتشاف الهجمات عبر تحليل كميات ضخمة من سجلات الأحداث وحركة مرور الشبكة—قد تصل إلى تيرابايتات يوميًا—ومن ثم تحويل البيانات إلى مؤشرات قابلة للتصرف. بدلًا من البحث عن “توقيعات” ثابتة، يتعلم النظام الأنماط الطبيعية لسلوك المستخدمين والأجهزة داخل المؤسسة، ليطلق تنبيهًا عند رصد أي شذوذ؛ مثل محاولة موظف الوصول إلى قواعد بيانات حساسة في وقت غير معتاد، أو من موقع جغرافي غير مألوف، أو باستخدام نمط صلاحيات لا يتوافق مع دوره.
كيف تختلف تقنيات صيد التهديدات المدعومة بالذكاء الاصطناعي عن الحماية التقليدية؟
1- تحليل سلوكي عميق (Behavioral Analytics)
لا يكتفي النظام برصد “هل يوجد فيروس معروف؟”، بل يبني ملفات تعريف دقيقة لكل مستخدم وجهاز وتطبيق. بعد ذلك يقارن الأحداث الحالية بالسجل التاريخي للسلوك الطبيعي. هذا الأسلوب مفيد بشكل خاص ضد هجمات لا تعتمد على ملفات خبيثة واضحة مثل الهجمات عديمة الملفات (Fileless Attacks) التي تستغل أدوات نظام شرعية لتنفيذ خطوات هجومية دون ترك بصمات تقليدية.
2- ربط آلي بين الأحداث (Automated Correlation)
كثير من العلامات تكون “صغيرة” عند رؤيتها منفصلة، لكنها تتحول إلى صورة واضحة عندما تُربط معًا. يربط الذكاء الاصطناعي الأحداث عبر مصادر متعددة—مثل محاولات تسجيل الدخول من خادم معيّن، أو إنشاء عمليات مشبوهة، أو حركة بيانات غير معتادة بين الأجهزة—ليكوّن سيناريو احتمالي يوضح مسار الهجوم بدل الاكتفاء بتنبيه جزئي.
3- تعلم مستمر وتكيّف يقلل الإنذارات الكاذبة
عند وقوع إنذار—سواء كان تهديدًا حقيقيًا أو نتيجة إيجابية خاطئة—يتم استخدام المخرجات لتحديث نماذج التحليل. مع الوقت يصبح النظام أكثر دقة في تقليل الضجيج الأمني وتقليل العبء على فرق الأمن، وتحسين الاستجابة بناءً على ما تم تعلمه من كل حالة.
الخطوات العملية لتطبيق صيد التهديدات داخل المؤسسات
1- جمع بيانات شاملة وربطها بمنصة مركزية
ابدأ بتفعيل تجميع السجلات (Logs) من الأجهزة والخوادم وتطبيقات الأعمال والبيئات السحابية، وربطها بمنصة تمكن تحليلات الذكاء الاصطناعي من الحصول على رؤية موحدة. كلما كانت المصادر أكثر تنوعًا ودقة، زادت قدرة النظام على اكتشاف الأنماط غير المعتادة.
2- تحديد فرضيات الصيد (Hypotheses)
ينبغي أن تعمل عمليات الصيد وفق فرضيات واضحة قابلة للاختبار. مثال: هل توجد حسابات تم الاستيلاء عليها وتُستخدم حاليًا في تسريب البيانات؟ أو هل هناك نشاط داخلي غير نمطي يعكس تحركات لاحقة لعملية اختراق أولية؟ ثم يُقوم النظام بتمشيط البيانات لاختبار هذه الفرضيات وتحديد ما إذا كانت تدعم سيناريو تهديد.
3- تصميم قواعد الاستجابة والعزل الفوري
عند تأكيد تهديد متخفٍ، يجب أن تكون الاستجابة سريعة ومبنية على خطة مسبقة. من الإجراءات الشائعة: عزل الجهاز المصاب عن الشبكة، تعطيل أو إلغاء صلاحيات الحساب المخترق، وتقييد الوصول إلى الأصول الحساسة حتى إتمام التحقيق. الهدف هو تقليل زمن الضرر ومنع المهاجم من التشفير أو السرقة.
4- إضافة طبقات تحقق وتقارير قابلة للتتبع
لتحسين موثوقية القرار، تُستحسن آليات تحقق إضافية تربط بين المؤشرات المختلفة (هوية المستخدم، نمط الجهاز، تسلسل الأحداث، ووجهة البيانات). كما يجب حفظ سجلات التحقيق والقرارات كي تكون عملية المراجعة والتحسين لاحقة مبنية على بيانات فعلية.
5- تدريب الفريق وتوسيع الاستهداف تدريجيًا
قدرة صيد التهديدات لا تعتمد على الأداة وحدها؛ بل تعتمد أيضًا على فهم الفريق لمخرجات الذكاء الاصطناعي. لذلك من المهم البدء بمسارات صيد محددة (مثل نشاطات الوصول غير المعتادة أو محاولات رفع الصلاحيات) ثم توسيع النطاق تدريجيًا بناءً على النتائج.
في النهاية، يمنح صيد التهديدات بالذكاء الاصطناعي المؤسسات طريقة أكثر استباقية لفهم ما يحدث داخل شبكتها. فهو لا يركز فقط على منع الهجوم عند نقطة الدخول، بل يتعامل مع الاحتمال الأكبر: أن المهاجم قد يكون داخل النظام بالفعل. ومع تحليل السلوك وربط الأحداث والتعلم المستمر، يصبح اكتشاف التهديدات المعقدة—حتى تلك التي تتجنب التوقيعات التقليدية—أسرع وأكثر دقة، مع استجابة منظمة تقلل الأثر وتدعم قرارات الأمن على بيانات قابلة للتتبع.

التعليقات