الأمن السيبراني ينتقل من الكشف إلى الصمود المدعوم بالذكاء الاصطناعي

مع تسجيل جميع الأصول والأنشطة التجارية أو البيانات القيمة رقميًا تقريبًا، يصبح الوصول المستمر إلى هذه البيانات وأنظمة تكنولوجيا المعلومات أمرًا أساسيًا.

هذا هو ما تستهدفه طريقة الابتزاز المعروفة ببرمجيات الفدية. فهي تتسلل إلى جهاز إلكتروني أو شبكة، وتقفل المستخدمين عن بياناتهم (عادةً عبر التشفير)، ثم تطلب فدية لتوفير مفتاح فك التشفير لاستعادة الوصول.

برمجيات الفدية هي نشاط إجرامي سريع النمو، حيث من المتوقع أن تتجاوز الأضرار العالمية 265 مليار دولار أمريكي سنويًا بحلول عام 2031.

تصبح المشكلة حرجة، حيث تستهدف حملات الفدية الحديثة الآن ليس فقط الأفراد بل أيضًا الشبكات المؤسسية، والأنظمة البلدية، وقطاعات البنية التحتية الحيوية مثل الرعاية الصحية والمالية والطاقة.

“في عام 2024 سجل قطاع الرعاية الصحية أعلى تكاليف اختراق بين جميع الصناعات، بمتوسط 10.93 مليون دولار أمريكي لكل حادث، نتيجة للوقت المتوقف الطويل، والعقوبات المتعلقة بـ HIPAA، وإصلاح المعلومات الصحية المحمية.”

هذه الحوادث أكثر خطورة وتتضمن مبالغ أكبر تُبتز، على الرغم من أن 88٪ من جميع حوادث الفدية تستهدف الشركات الصغيرة والمتوسطة (SMEs).

“أفادت المنظمات التي دفعت فدية بمتوسط دفعة قدره 2 مليون دولار أمريكي، مرتفعةً من 400,000 دولار في عام 2023. بالإضافة إلى التكاليف الفورية، يتجاوز متوسط وقت التوقف التنظيمي بعد هجوم الفدية الآن ثلاثة أسابيع، مما يؤدي إلى خسائر تشغيلية وإنتاجية متراكمة عبر وحدات الأعمال.”

أصبحت أساليب الفدية أكثر تعقيدًا تدريجيًا، مما يجعل الأساليب التقليدية القائمة على التوقيع والكشف التمييزي غير كافية. كما أصبح تتبع الأموال أصعب، حيث يُطلب عادةً دفع الفدية بالعملات المشفرة.

عمومًا، يُعد الذكاء الاصطناعي مشكلة وفرصة في آن واحد للأمن السيبراني. يمكنه المساعدة في إنشاء تزوير أفضل لعمليات التصيد، تحسين كفاءة الهندسة الاجتماعية، وإحداث نقاط فشل جديدة في بنية النظام.

المصدر: Crowdstrike

تشير منشورة جديدة أيضًا إلى أن الذكاء الاصطناعي التوليدي قد يساعد في تخفيف تهديدات الأمن السيبراني. وهذا صحيح بشكل خاص في حالة هجمات الفدية.

كتبها باحث في جامعة سينسيناتي في مجلة Journal of Information Security and Applications¹، تحت عنوان “Rethinking ransomware defense in the age of generative AI”.

كيف تعمل برمجيات الفدية؟

برمجيات الفدية 101

تقوم معظم برمجيات الفدية بقفل البيانات عبر التشفير بعد اختراق أمني، مما يسمح للهاكر بالوصول إلى جهاز أو شبكة. في بعض الحالات، يمكنها حتى قفل واجهة المستخدم للجهاز بالكامل، بدلاً من تشفير الملفات الفردية.

عادةً ما يتم طلب الفدية مع مطالبة بالدفع بالعملة المشفرة، مع حد زمني صارم لفك تشفير البيانات، وبعد ذلك سيظل الضحية عالقًا في تلك الحالة إلى الأبد.

في بعض الحالات التي تُصنّف كابتزاز مزدوج أو ثلاثي، يُدمج تشفير البيانات مع تهديدات بنشر البيانات المسروقة علنًا، أو حتى مهاجمة عملائك وشركائك إذا لم تُدفع الفدية.

يمكن أن يكون هذا مشكلة خاصة للبيانات السرية مثل معلومات الأعمال، والملكية الفكرية القيمة، ومعلومات المرضى الطبية، إلخ. ولا يزيل دفع الفدية أو فك التشفير بوسائل أخرى البيانات المسروقة من حواسيب الهاكر، مما يعني استمرار التهديد حتى بعد فك التشفير.

عمومًا، ينصح خبراء الأمن السيبراني والوكالات الأمنية بعدم دفع الفدية، حيث لا يضمن ذلك استعادة البيانات، وغالبًا ما يصنف الضحية كهدف “جيد” لهجمات لاحقة.

الخسائر الناجمة عن الفدية لا تقتصر على الفدية نفسها، بل تشمل أيضًا وقت التوقف وتعطيل الأعمال، وتضرر السمعة، وإجراءات الاسترداد المكلفة، والاحتياجات الأمنية الإضافية، إلخ.

“غالبًا ما تواجه المنظمات التي تعاني من حوادث الفدية فقدان ثقة أصحاب المصلحة من العملاء والمستثمرين والجهات التنظيمية. يرى العملاء أن الاختراقات فشل في العناية الواجبة، مما يؤدي إلى انخفاض الولاء وزيادة معدل ترك العملاء. قد يتساءل المستثمرون عن نضج حوكمة الشركة وموقفها من إدارة المخاطر، مما يساهم في انخفاض تقييمها في السوق.”

كيفية الوقاية من الفدية

إلى جانب طرق الذكاء الاصطناعي التوليدي المقترحة في هذه المقالة، هناك بعض الممارسات التي يجب تنفيذها لتقليل مخاطر هجمات الفدية وشدتها.

الأول هو اعتماد ممارسات الأمن السيبراني الجيدة بشكل عام وتوفير تمويل كافٍ لفرق تكنولوجيا المعلومات وتدريب مهارات الأمن السيبراني.

الثاني هو الحفاظ على تحديث جميع البرمجيات وتطبيق التصحيحات، حيث يمكن أن يؤدي أي نقطة فشل إلى زيادة ضعف النظام بأكمله.

الثالث هو الانتباه إلى الوصول الآمن والأخطاء البشرية، وتوفير التدريب لتجنبها، حيث تبدأ العديد من هجمات الفدية بالهندسة الاجتماعية وإقناع مستخدم واحد على الأقل بفتح ثغرة للهاكر.

أخيرًا، يمكن لسياسة جدية للنسخ الاحتياطي وأرشفة البيانات أن تقلل بشكل كبير من تأثير هجوم الفدية من خلال توفر بيانات محدثة تقريبًا لاستخدامها في الاستعادة.

استخدام الذكاء الاصطناعي التوليدي لمكافحة الفدية

تركز النهج الحالي لمكافحة الفدية على أدوات مكافحة الفيروسات القائمة على التوقيع، ومحركات القواعد الثابتة، أو يدمج جزئيًا نماذج التعلم الآلي التقليدية والتعلم العميق.

“تعتمد هذه الأساليب بشكل كبير على مجموعات البيانات الموسومة وتوقيعات الهجمات المحددة مسبقًا، مما يترك المؤسسات معرضة لاستغلال الثغرات الصفرية والبرمجيات الخبيثة المتعددة الأشكال التي تُعدّل شفرتها باستمرار لتجاوز أنظمة الكشف المتعددة الطبقات.”

يمكن للذكاء الاصطناعي التوليدي، وهو نفس النوع المستخدم في أنظمة مثل ChatGPT، أن يساعد في تخفيف هذه القيود. على وجه الخصوص، يمكن استخدام عدة أنواع من الذكاء الاصطناعي التوليدي:

• نماذج اللغة الكبيرة (LLMs).
• شبكات الخصومة التوليدية (GANs).
• المشفّرات التلقائية المتغيرة (VAEs).
• نماذج الانتشار.

ماذا يمكن لكل نظام GenAI أن يفعله؟

يمكن لنماذج اللغة الكبيرة مساعدة متخصصي تكنولوجيا المعلومات والمستخدمين العاديين في تحليل كميات كبيرة من سجلات النظام، وتقارير الحوادث، وتدفقات معلومات التهديد لتحديد السرديات الهجومية الناشئة أو توليد توصيات استجابة تلقائية.

تُنشئ شبكات GANs هجمات فدية “زائفة” يمكن استخدامها للتحضير للسيناريو الحقيقي. وبالتالي يمكنها توليف نماذج فدية واقعية لاختبار الضغط وإعادة تدريب خوارزميات الكشف.

يمكن للمشفّرات التلقائية المتغيرة (VAEs) تعلم تمثيلات سلوكية كامنة تساعد في تمييز النشاط الضار عن النشاط السليم.

معًا، يمكن لشبكات GANs وVAEs توليد عينات فدية اصطناعية وبيانات عمليات benign، مما يعالج التحدي المستمر لنقص البيانات وعدم توازن الفئات في مجموعات بيانات الأمن السيبراني.

في الممارسة العملية، الثقة وقابلية التفسير أمران حاسمان لتبنيها في مراكز عمليات الأمن الواقعية. لذا سيتعين على الأنظمة القائمة على GenAI ليس فقط تحديد التهديدات بل أيضًا تبرير مخرجاتها بطرق مفهومة للمحللين البشريين.

التنفيذ والمخاطر الإضافية

يتطلب تنفيذ هذه الأنظمة خبرة مؤهلة، حيث إنها حساسة لجودة البيانات، والكمون الحاسوبي، وتكلفة إعادة التدريب.

كما يجب الإشارة إلى أن هذه الأنظمة تحتاج إلى تنفيذ بحذر وضمانات حوكمة مناسبة.

تشمل المخاطر الإضافية هجمات استخراج النماذج، وتلاعب المطالبات في أدوات الأمن المدعومة بـ LLM، وتسميم عدائي للبيانات المستخدمة أثناء دورات إعادة التدريب، وكل ذلك يمكن أن يقوض موثوقية الدفاع السيبراني المدعوم بالذكاء الاصطناعي.

يمكن أن تُسخّر نفس التقنية التي تساعد في مكافحة هجمات الفدية لأتمتة حملات التصيد، وإنشاء برمجيات خبيثة متعددة الأشكال، أو تقليد سلوك النظام الشرعي لتفادي الكشف.

توصيات السياسة

يجب دمج استخدام الذكاء الاصطناعي التوليدي للأمن السيبراني في إطار أوسع لسياسات الذكاء الاصطناعي، سواء على مستوى الشركة/المؤسسة أو على المستوى الوطني.

يشمل ذلك الرقابة الأخلاقية وتوافق السياسات، وضمان أن استخدام الذكاء الاصطناعي يتماشى مع معايير الخصوصية والأمن والمسؤولية.

يجب أيضًا إيلاء اهتمام تقني لتخطيط الصمود، بما في ذلك اختبار الاستعادة، سياسات النسخ الاحتياطي، وتكرار الأنظمة.

يجب أن تساعد الأطر القائمة في توجيه تنفيذ GenAI في جهود الفدية والأمن السيبراني الأوسع، مثل ISO/IEC 42001، وإطار إدارة مخاطر الذكاء الاصطناعي من NIST، وإرشادات الامتثال لقانون الاتحاد الأوروبي للذكاء الاصطناعي.

يجب أيضًا أخذ قدرة المنظمة في الاعتبار، مع دمج تدريجي للذكاء الاصطناعي التوليدي على مستوى الخبرة الأمنية السيبرانية المتوفرة في المنظمة كعامل مقيد رئيسي.

بشكل عام، الاستراتيجية المثالية هي استراتيجية التعلم المستمر، حيث يتم دمج المعرفة التنظيمية من الحوادث في خطوط إعادة تدريب الذكاء الاصطناعي.

المصدر: Journal of Information Security and Applications

ملخص المستثمرين

مع تقدم تقنية الذكاء الاصطناعي جنبًا إلى جنب مع الانتشار المتزايد للرقمنة، تتطور التهديدات والأدوات لمواجهتها.

بشكل عام، ينتقل حماية الفدية من الكشف عند النقاط الطرفية إلى منصات صمود أوسع مدعومة بالذكاء الاصطناعي تجمع بين الكشف، والمحاكاة، والحوكمة، والاستجابة بمشاركة الإنسان.

يجب أن يفضّل ذلك نظام أمان سيبراني متكامل وشامل يمكنه دمج هذه الأدوات الذكائية بسلاسة، وتزويد نماذج الذكاء الاصطناعي بالبيانات والبيئة التي يمكن استخدامها بأقصى إمكاناتها.

الاستثمار في الأمن السيبراني القائم على الذكاء الاصطناعي

Crowdstrike

تأسست CrowdStrike في عام 2012 بنهج سحابي أول للأمن السيبراني، مع تركيز قوي على أسواق B2B (من شركة إلى شركة).

سمح التحول المبكر لـ CrowdStrike إلى السحابة بأن تكون رائدة في حماية هذا النوع من البيانات، وأثبت ذلك ميزة تنافسية كبيرة لدعم نموها مع انتقال المزيد والمزيد من الشركات من الخوادم المحلية المؤمنة ذاتيًا إلى الخوادم السحابية.

نقطة رئيسية في عرض CrowdStrike هي أنها تجمع في بيئة سحابية ما كان سابقًا مشهدًا مجزأً للغاية من حلول الأمن التي كانت تحتاج إلى التكامل مع بعضها البعض. يمكن للشركة توفير الأمن لجميع مستويات المؤسسة، من الأجهزة الفردية إلى البنية التحتية الكاملة لتكنولوجيا المعلومات في الشركة.

المصدر: CrowdStrike

نظرًا لأن الأمن السيبراني يحتاج إلى دمج عميق في عمليات الشركة، فإن اختيار مزود الأمن السيبراني هو قرار طويل الأمد.

يؤدي ذلك إلى أن إيرادات CrowdStrike تكون ذات توقع عالي، مع احتفاظ إجمالي بنسبة 98٪ من حسابات المستخدمين. في النصف الثاني من عام 2026، تتوقع الشركة نموًا بنسبة 40٪ في صافي الإيرادات المتكررة السنوية (ARR).

تُعد الشركة الآن رائدة مبكرة في الأمن السيبراني المدفوع بالوكيل الذكي، كما كانت رائدة في الأمن السحابي في الماضي، حيث تدمج بالفعل دفاعًا قائمًا على الوكلاء في جميع مستويات أنظمتها.

المصدر: CrowdStrike

سيكون عنصرًا أساسيًا أيضًا توفير الأمن للوكلاء الذكيين الذين يستخدمهم المستخدمون للمهام الشخصية والتجارية. بينما تزيد هذه الوكلاء من الإنتاجية، فإنها تشكل أيضًا ناقلًا جديدًا للهجمات للهاكرز والبرمجيات الخبيثة، وستصبح الأنظمة مثل CrowdStrike ضرورة متزايدة لتأمين استخدام الوكلاء الذكيين.

بشكل عام، يمنح هذا الشركة فرصة نمو هائلة، خاصةً لأنها تحتل موقعًا مهيمنًا في قطاع الأمن السحابي، وهو الأكثر احتمالًا لتوفير النطاق وجودة البيانات اللازمة لنشر الذكاء الاصطناعي التوليدي وغيرها من تقنيات الذكاء الاصطناعي لتطبيقات الأمان الرقمي المفيدة.

المصدر: CrowdStrike

أحدث أخبار وتطورات سهم CrowdStrike (CRWD)

الدراسة المشار إليها

^{1. Nelly Elsayed. Rethinking ransomware defense in the age of generative AI. Journal of Information Security and Applications. المجلد 101, سبتمبر 2026, 104547. https://doi.org/10.1016/j.jisa.2026.104547}