الكشف المدعوم بالذكاء الاصطناعي يسد فجوة «اليوم صفر» وفجوة التأخير في مسار الأمان لديك

تنطوي كل قناةManaged File Transfer ملفات مؤسسية على عدم كفاءة خفية. فمهامManaged File Transfer MFT )، ووكلاء بروتوكول تكييف محتوى الإنترنت ICAP )، ومرفقات البريد الإلكتروني، وبوابات تحميل العملاء، وعمليات نقل البيانات عبر النطاقات، تشترك جميعها في حقيقة إحصائية واحدة: ما يقارب 99.9% من الملفات التي تمر عبرها هي بيانات تجارية سليمة. أما الـ 0.1% الخبيثة فهي السبب الوحيد لوجود قناة النقل هذه. يخضع كل ملف لنفس الإجراءات الأمنية بغض النظر عن درجة المخاطر، وهذا التوحيد هو مصدر عدم الكفاءة.

التكلفة الأولى هي زمن الاستجابة. فالملف الذي ينتظر دوره في طابور خلف عشرات الملفات الأخرى خلال ساعة الذروة الصباحية، يضطر إلى الانتظار حتى يتم فحصه بشكل كامل ومتعدد المراحل، بغض النظر عما إذا كان جدول بيانات روتينيًا أم ملفًا قابلاً للتنفيذ مجهولًا. في الخدمات المصرفية والمالية، يُترجم هذا التأخير مباشرةً إلى معاملات معلقة، ومعالجة أبطأ، وتحويلات مصرفية تنتظر دورها على جهاز الفحص. وفقًا لاستطلاع SANS 2025 للكشف والاستجابة، أصبح وقت الاستجابة أحد التحديات الرئيسية لـ 53% من فرق الأمن، بزيادة عن نسبة 45% في العام السابق.

أما النوع الثاني من الأخطاء فهو «النتائج الإيجابية الخاطئة». يتم ضبط معظم محركات الأمان القائمة على التعلم الآلي على «معدل الاسترجاع»: أي التقاط كل شيء، مع قبول الضوضاء. هذه المقايضة تنجح على مستوى نقطة النهاية. أما في مسار معالجة الملفات، فإن النتيجة الإيجابية الخاطئة تحجب ملفًا تجاريًّا شرعيًّا، وتُطلق تنبيهًا غير ضروريًّا لمركز العمليات الأمنية (SOC)، وتقوض ثقة المحللين التي تجعل الأتمتة ممكنة. وقد كشف الاستطلاع نفسه الذي أجرته SANS أن النتائج الإيجابية الخاطئة أصبحت الآن التحدي الرئيسي في مجال الكشف بالنسبة لـ 73% من المشاركين في الاستطلاع.

Predictive Alin AI هو محرك OPSWAT للكشف عن البرامج الضارة المدعوم بالذكاء الاصطناعي، والمخصص للكشف عن تهديدات «يوم الصفر» قبل التنفيذ، وهو مصمم لتحديد الملفات الخبيثة قبل تنفيذها من خلال تحليل خصائص الملفات الهيكلية والسلوكية باستخدام التعلم الآلي. ولا يعتمد المحرك على التوقيعات، أو المعرفة المسبقة بتهديد معين، أو اختبار التشغيل في بيئة معزولة (sandbox) للتوصل إلى نتيجة. حيث يقوم Predictive Alin AI بقراءة المؤشرات الهيكلية التي تكشف عن النية الخبيثة قبل تنفيذ أي تعليمة واحدة.

تعمل محركات مكافحة الفيروسات التقليدية بناءً على قائمة. فإذا تطابق التوقيع مع تهديد معروف، يتم وضع علامة على الملف. ومع ظهور 450,000 عينة جديدة من البرامج الضارة يوميًا، وفقًا لم وقع AV-TEST.org، فإن هذه القائمة تتخلف دائمًا بخطوة عن الركب. أما تقنية الذكاء الاصطناعي التنبؤية «Alin AI»، فتتبع نهجًا مختلفًا، حيث تستخرج وتحلل السمات الهيكلية التي تتركها الملفات الخبيثة وراءها، بغض النظر عما إذا كانت قد شوهدت من قبل أم لا.

يقوم المحرك بتقييم السمات التالية:

• عناوين الملفات، والأقسام، والتصميم العام

• أنماط الإنتروبيا ومؤشرات الكود المضغوط

• نقاط الدخول وخصائص تدفق التحكم

• البيانات الوصفية وجداول الاستيراد

هذه هي المؤشرات التي يضمّنها التهديد في بنية ملفه، وهي موجودة بغض النظر عما إذا كان هذا التهديد المحدد قد شوهد من قبل أم لا. فالملف الذي تم إنشاؤه بهدف التهرب من الكشف لا يزال بحاجة إلى عملية إنشاء، وهذه العملية تنطوي على أنماط يمكن للنموذج المدرب قراءتها.

تُحسَّن معظم محركات الأمان القائمة على التعلم الآلي أداءها من حيث معدل الاسترجاع: حيث تقوم بوضع علامة على أكبر عدد ممكن من الحالات وتقبل النتائج الإيجابية الخاطئة كثمن مقابل التغطية الشاملة. أما OPSWAT قرارًا هندسيًّا معاكسًا مع محرك «Predictive Alin AI». فقد تم ضبط هذا المحرك بحيث يركز على الدقة أولاً، مستهدفًا معدل نتائج إيجابية خاطئة يبلغ 0.01٪. وعندما يصدر محرك «Predictive Alin AI» حكمًا، فإن هذا الحكم مصمم بحيث يمكن الوثوق به واتخاذ الإجراءات بناءً عليه دون الحاجة إلى مراجعة بشرية.

وتمتد هذه الدقة في كلا الاتجاهين. فالتحليل نفسه الذي يتعرف على العلامات الهيكلية لملف ضار يتعرف أيضًا على العلامات الهيكلية لملف سليم. وهذه الثقة ثنائية الاتجاه هي ما يجعل حالة استخدام «Deflection» ممكنة، والتي سيتم تناولها بالتفصيل في القسم التالي.

تقدم تقنية «Predictive Alin AI» نتائج في أقل من 15 مللي ثانية عند مستوى P50 لملفات PE، مع أداء عند مستوى P90 يتراوح بين 10 و22 مللي ثانية عبر أنواع الملفات المختلفة، وأقل من 100 مللي ثانية عند مستوى P99 للتنسيقات المعقدة بما في ذلك ملفات PDF. تتوفر حاليًا أربعة تنسيقات في مرحلة الإنتاج: PE وPDF وMach-O وELF، مع دعم موسع للتنسيقات في خطة التطوير المستقبلية. ويصدر الحكم قبل أن يدرك المستخدم أن الملف قد تم تحميله، مما يجعل الحماية المدمجة عملية دون أن تشكل عائقًا في مسار المعالجة.

يثبت الكشف أن النظام يعمل بشكل صحيح. فكل ثغرة «يوم صفر» يتم الإبلاغ عنها بشكل صحيح تمثل نقطة بيانات تساهم في بناء سجل الأداء المطلوب لاتخاذ إجراءات في الاتجاه المعاكس. وبمجرد ترسيخ هذه الثقة، يمكن تطبيق نفس عتبة الدقة المستخدمة في الكشف عن الملفات الخبيثة على الملفات السليمة لتأكيد سلامتها بنفس القدر من الثقة.

عندما تصدر تقنية «Predictive Alin AI» حكمًا نهائيًّا مؤكدًا بدرجة ثقة عالية، يسلك الملف مسارًا مختصرًا تم التحقق منه. فيتجاوز Multiscanning «Metascan™» Multiscanning جه مباشرةً إلى تقنية «Deep CDR™» للتطهير قبل التسليم. وعندما لا تكون تقنية «Predictive Alin AI» متأكدة، يسلك الملف المسار الكامل: الفحص المتعدد عبر ما يصل إلى 30 محركًا، وتقنية «Deep CDR™»، والحكم النهائي الكامل قبل التسليم. ينتهي كل ملف بحكم. ولا يؤدي التحويل إلا إلى تغيير المسار، وليس النتيجة.

ويكون لهذا الأمر أهمية قصوى خلال أوقات الذروة. فالتدفقات الصباحية للبريد الإلكتروني، وعمليات النقل المجمعة في نهاية اليوم، وطفرات التحميل التي تلي الإعلانات، هي بالضبط الأوقات التي تتوسع فيها قوائم الانتظار وترتفع فيها أوقات الاستجابة. تعمل عملية التحويل على تصفية حركة المرور التي تم التأكد من سلامتها عند الدخول، بحيث لا تتحمل بقية خط الأنابيب هذه الموجة أبدًا.

لا يقلل التحويل من مستوى التدقيق. ولا تزال فلسفة «لا تثق بأي ملف. لا تثق بأي جهاز.™» التي بُني عليها نظام MetaDefender® دون تغيير. ولا يُفترض أن أي ملف خالٍ من التهديدات. ويُعد التحويل إجراءً احترازيًّا: فعندما يكون المحرك متأكدًا، يتخذ الإجراء اللازم؛ وعندما يكون هناك أي شك، يُسلك الملف المسار الأطول. ولا يتم حل الغموض أبدًا على مستوى طبقة التحويل.

وفقًا لاستطلاع SANS 2025 حول الكشف والاستجابة، تُعد النتائج الإيجابية الخاطئة التحدي الرئيسي في مجال الكشف بالنسبة لـ 73% من فرق الأمن، حيث ارتفعت نسبة الفرق التي تواجهها بمعدلات عالية جدًّا من 13% في العام السابق إلى 20%. فكل نتيجة إيجابية خاطئة تعني تحويل انتباه أحد المحللين عن تهديد حقيقي، وحجب ملف سليم عن مسار عمل مشروع، وتآكلًا تدريجيًّا للثقة في نظام الكشف نفسه.

تواجه فرق مركز عمليات الأمن (SOC) التي تدير مسارات نقل الملفات ذات الحجم الكبير مشكلة متفاقمة: فكلما زاد عدد الملفات التي تمر عبر المسار، زاد عدد التنبيهات التي تولدها منصة الكشف، وأصبح التمييز بين الإشارات الحقيقية والضوضاء أكثر صعوبة. وعندما يقضي المحللون نوبة عملهم في تصفية التنبيهات الكاذبة، تتاح للتهديدات الحقيقية مزيد من الوقت للتحرك. إن عنق الزجاجة في مركز عمليات الأمن (SOC) هو في الواقع عنق الزجاجة في عملية الكشف.

للاطلاع على نظرة أعمق حول كيفية كسر هذه الحلقة من خلال التحليل الأكثر ذكاءً، انظر: «معوقات مركز العمليات الأمنية (SOC): كسر حلقة إرهاق التنبيهات باستخدام بيئة العزل الأكثر ذكاءً».

لا تقتصر فجوة الكشف وفجوة زمن الاستجابة على قطاع واحد بعينه. ففي قطاعات التصنيع والطاقة والبيئات الحكومية، تظهر فجوات الكشف وزمن الاستجابة في سياقات تشغيلية مختلفة. ويوضح الجدول أدناه مدى تعرض كل قطاع على حدة للقدرات التي تعالجها تقنية الذكاء الاصطناعي التنبؤية «Predictive Alin AI».

استخدام الذكاء الاصطناعي التنبئي «ألين» في مختلف القطاعات

تدير الخدمات المالية بعضًا من أكبر مسارات نقل الملفات من حيث الحجم في أي قطاع. فبوابات تحميل الملفات الخاصة بالعملاء، وسير عمل استلام المستندات، وعمليات النقل عبر المجالات المختلفة، كلها تولد حركة مرور مستمرة للملفات، وكل تنبيه غير ضروري يشتت انتباه المحلل عن التهديد الحقيقي. ووفقًا لاستطلاع SANS، تُعد «النتائج الإيجابية الخاطئة» التحدي الرئيسي في مجال الكشف بالنسبة لـ 73% من فرق الأمن، حيث ارتفعت نسبة الفرق التي تواجهها بمعدلات عالية جدًّا من 13% في العام السابق إلى 20%.

تعمل تقنية «ألين AI» التنبؤية على تقليل حجم التنبيهات من مصدرها من خلال التركيز على الدقة بدلاً من معدل الاسترجاع. فالحكم الذي يمكن لمركز عمليات الأمن (SOC) الوثوق به هو الحكم الذي يمكن للمركز أتمتته، مما يتيح للمحللين التركيز على الملفات التي تتطلب تحقيقاً فعلياً.

تواجه بيئات التصنيع مشكلة محددة تتعلق بالتسلل. فالتحديثات الثابتة، وملفات البناء، وحزم البرامج التي يقدمها موردون خارجيون تصل في شكل ملفات قبل أن تتحول إلى تهديدات. وبحلول الوقت الذي تصل فيه حزمة خبيثة إلى نظام OT، يكون الضرر قد وقع بالفعل داخل نطاق الشبكة. يعمل الذكاء الاصطناعي التنبئي من Alin AI على اعتراض هذه الملفات عند الحدود، وإصدار حكم مسبق قبل تنفيذها قبل إدخالها إلى بيئات الإنتاج. ومن خلال العمل عبر MetaDefender منصة OPSWATالمتطورة للكشف عن التهديدات والوقاية منها، يضيف المحرك طبقة من الذكاء التنبئي إلى سير عمل الاستقبال الحالي دون الحاجة إلى تغييرات في البنية.

تدير شركات الطاقة والمرافق العامة بعضًا من أكثر البيئات تقييدًا للاتصال ضمن البنية التحتية الحيوية. تتدهور فعالية العديد من أساليب الكشف في عمليات النشر المعزولة عن الشبكة، حيث تعتمد على عمليات البحث في السحابة أو القياس عن بُعد الخارجي، وهي خدمات غير متوفرة ببساطة. يعمل نظام الذكاء الاصطناعي التنبئي «ألين» (Alin AI) بشكل كامل دون اتصال بالإنترنت بنفس دقة 99.99% التي تتمتع بها عمليات النشر السحابية، ولا يتطلب أي اتصال خارجي أو عمليات بحث سحابية للحفاظ على هذا الأداء. يمكن فحص حزم التحديثات الميدانية والبرامج التي يوفرها الموردون عند الحدود الخارجية قبل وصولها إلى عمليات الشبكة أو المحطة، مع ظهور النتائج في غضون أجزاء من الألف من الثانية بغض النظر عن عزل الشبكة.

تعمل البيئات الحكومية والدفاعية في ظل قيدين متزامنين: متطلبات الامتثال الصارمة التي تنص على عدم السماح بأي حركة دون فحص مسبق، وبنى الشبكات التي تمنع الاتصال الخارجي. وقد فرضت هذه القيود تاريخياً الاختيار بين الفحص الشامل وسرعة التشغيل. ويحل الذكاء الاصطناعي التنبؤي من Alin هاتين المشكلتين من خلال توفير الكشف عن ثغرات «يوم الصفر» قبل التنفيذ، والذي:

• يعمل بشكل كامل دون اتصال بالإنترنت في البيئات المعزولة عن الشبكة والبيئات عبر المجالات

• يفي بمتطلبات الكشف عالية الموثوقية دون الحاجة إلى التفجير في بيئة الحماية

• يتكامل مع عمليات النشر الحالية لبرامج MetaDefender MetaDefender File Transfer™ MetaDefender

• يتم تحسينه باستمرار من خلال حلقة إعادة تدريب فورية مدعومة بتقنية MetaDefender ، دون الحاجة إلى اتصال مباشر للقيام بذلك

شاهد تقنية «Predictive Alin AI» أثناء العمل

تستعرض الندوة عبر الإنترنت بعنوان «Scan What Matters» كيفية قيام تقنية الذكاء الاصطناعي التنبؤية «Predictive Alin AI» بسد فجوة الكشف عن الثغرات الأمنية من نوع «صفر يوم» وفجوة تأخير مسار المعالجة، مع عرض توضيحي مباشر لحالة استخدام «التحويل» ومقاييس الدقة في بيئة الإنتاج. شاهد التسجيل المتاح عند الطلب بالسرعة التي تناسبك.

قم بتقييم أداء برنامج الكشف الخاص بك

يستعرض استطلاع SANS 2025 حول الكشف والاستجابة، الذي ترعاه OPSWAT، الكيفية التي يعيد بها أكثر من 300 متخصص في مجال الأمن في قطاعات البنوك والحكومة والرعاية الصحية والتصنيع النظر في استراتيجيات الكشف في مواجهة الارتفاع الحاد في حالات الإيجابية الكاذبة، وإرهاق التنبيهات، والتعرض لمخاطر «اليوم صفر». قم بتنزيل التقرير الكامل لمعرفة مستوى أداء برنامجك.