من الرصد إلى الدفاع الذاتي: لماذا يجب أن تتطور العمليات الأمنية في المملكة العربية السعودية الآن(Autonomous SecOps)

إليفثيريوس أنطونيادس، المؤسس والمدير التنفيذي للتكنولوجيا ClearSkies

على مدار العقدين الماضيين، ظلّت مقاربة الأمن السيبراني في معظم المؤسسات ردّ فعل في جوهرها، قائمة على افتراض بسيط: إذا استطعنا رؤية التهديد، يمكننا إيقافه.

لكن اليوم، ومع تسارع التحول الرقمي واتساع البيئات المتصلة، أصبحت حدود هذا النموذج أكثر وضوحًا. فالمجال السيبراني الحديث يعمل بسرعة تفوق قدرة أي فريق بشري – مهما بلغت خبرته – على المتابعة اللحظية. ومعظم الهجمات باتت مؤتمتة بشكل كبير، مدفوعة بالذكاء الاصطناعي، ومتغيرة، ومتواصلة دون انقطاع.

لم يعد السؤال: هل سيحدث الهجوم؟ بل أصبح: متى سيحدث؟ وفي مفارقة لافتة، ما زالت الكثير من المؤسسات عالقة في نموذج دفاع تفاعلي يضمن – بحكم تعريفه – أن تبقى دائمًا خطوة واحدة خلف المهاجم.

في هذا السياق، لم يعد مركز عمليات الأمن (SecOps) أصلًا استراتيجيًا كما كان يُنظر إليه سابقًا، بل تحوّل في كثير من البيئات إلى مركز تكلفة وضغط تشغيلي، وعنق زجاجة يصعب عليه التوسع لمواكبة الحجم والسرعة غير المسبوقين للهجمات المؤتمتة. نحن نغرق في البيانات، ونستنزف أفضل المواهب لدينا، ونقيس النجاح بسرعة التعامل مع التنبيهات والحوادث – لا بعدد الاختراقات التي تم منعها فعليًا.

وفي المملكة العربية السعودية، تزداد أهمية هذا التحدي في القطاعات عالية الأثر والقطاعات المنظمة – مثل الخدمات المالية والرعاية الصحية والجهات الحكومية والبنية التحتية الحيوية والمؤسسات الكبرى – حيث ترتبط المرونة التشغيلية والحوكمة وسرعة الاستجابة مباشرةً باستمرارية الأعمال والثقة.

توضح هذه المقالة التطور الاستراتيجي لمراكز العمليات الأمنية من واقعها الحالي إلى دفاع مستقبلي أكثر استقلالًا. ليست المسألة مجرد ترقية تقنية؛ بل تحول في نموذج التشغيل. ننتقل من:

• SIEM (الرؤية): ” ساعدني في العثور على الإبرة في كومة القش.”
• TDIR (سير العمل): ” ساعدني في العثور على الإبرة بسرعة أكبر”.
• Autonomous SecOps (الفعل): ” الآلة تعثر على الإبرة، تحللها، ثم تحيّد التهديد قبل أن يظهر أثره.”

وهذا التحول – الذي تدعمه الذكاء الاصطناعي التوليدي بوصفه ” العقل”، والذكاء الاصطناعي الوكيلي/العميل (Agentic AI) بوصفه ” الأيدي” – سيحوّل مركز العمليات من عبء تشغيلي يستنزف الموارد إلى وكيل دفاعي قادر على التوسع بفعالية، يقدّم قيمة مستمرة. ويصبح الدافع الأساسي هنا ليس فقط خفض المخاطر، بل المرونة التشغيلية والميزة التنافسية في بيئة تتغير بسرعة الضوء.

” المرصد المركزي غير الفعال”: عصر SIEM وإرهاق التنبيهات

بُني الجيل الأول من مراكز العمليات الأمنية الحديثة على أنظمة إدارة معلومات وأحداث الأمن (SIEM). وكان المنطق بسيطًا: لا يمكن إيقاف ما لا نستطيع رؤيته. لذلك استثمرت المؤسسات ميزانيات كبيرة لتجميع السجلات من أنظمة تقنية المعلومات والأمن والشبكات وإنترنت الأشياء (IoT) والتقنيات التشغيلية (OT) في ” برج مراقبة ” رقمي مركزي.

حقّق هذا النهج هدفه الأساسي: الرؤية. فبات لدينا ” لوحة واحدة”  للرصد الأساسي والامتثال. لكن المشكلة الجوهرية ظهرت سريعًا:

لقد نجحنا في إنشاء مرصد مركزي ينتج آلاف التنبيهات مقابل كل تهديد حقيقي واحد، فتغرق الإشارات المهمة في فوضى الإيجابيات الكاذبة. وما بدأ كـ”نافذة للرؤية” تحوّل إلى “مرصد مركزي للضجيج”.

وأفرز هذا النموذج التزامات غير مستدامة:

• ارتفاع التكاليف التشغيلية (OpEx): الحاجة لتوظيف أعداد كبيرة من محللي المستوى الأول والثاني لأعمال متكررة منخفضة القيمة.
• الاحتراق الوظيفي: تحويل مهندسين ذوي مهارات عالية إلى ” مراقبي تنبيهات”، ما يؤدي إلى الإرهاق والاستنزاف في واحدة من أكثر فئات المواهب ندرة.
• بطء الاستجابة: غالبًا ما تُقاس مدة الاستجابة بالأيام وربما الأسابيع؛ وبحلول وقت اكتمال التحقيق اليدوي تكون معظم الأضرار قد حدثت.

وصل نموذج SIEM وحده إلى حدوده: نظام مكلف واحتكاكي ومنخفض الكفاءة، ويتوسع بطريقة هي الأغلى – خطيًا – فكل زيادة في البيانات تعني المزيد من الموارد والأفراد والأدوات، دون زيادة مقابلة في الفعالية. والنتيجة: نظام يعمل أكثر لكنه يحمي أقل.

“خط الإنتاج المحسّن”: صعود منصات TDIR

المرحلة التالية تمثلت في منصات الكشف والتحقيق والاستجابة للتهديدات (TDIR). اعترفت هذه المنصات بحدود SIEM وأضافت أدوات مثل: الأتمتة (SOAR) عبر سيناريوهات عمل، وحماية الهوية، ومحركات تحليل السبب الجذري، ومفاهيم الثقة الصفرية وسيادة البيانات.

إذا كان SIEM ” مرصدًا”، فـ TDIR أصبح ” خط إنتاج”. لم نعد نكتفي بالمراقبة؛ بل بنينا عملية لمعالجة التنبيهات. على سبيل المثال، عند الإبلاغ عن رسالة تصيّد، يمكن لتشغيل آلي أن يفحص الروابط ويحذف الرسائل المشابهة من صناديق بريد أخرى.

كان هذا تطورًا مهمًا وخفّض العبء وقلّص زمن الكشف والاستجابة للتهديدات المتكررة. لكن المشكلة الأساسية بقيت:

لا يزال ” خط الإنتاج” بحاجة إلى مُشغّل بشري في كل قرار حاسم.

فالمحلل ما زال مطلوبًا للتحقيق في التهديدات الجديدة، وربط الأحداث المعقدة، واتخاذ قرار ” نعم/لا”  النهائي للاستجابة الحرجة. جعلنا الخط أسرع، لكن عنق الزجاجة البشري بقي. وفي مواجهة هجمات تعمل بسرعة الآلة، فإن الاعتماد على الإنسان في كل خطوة – مهما تحسّن – يظل محدودًا.

“المؤسسة التي تدافع عن نفسها” : Autonomous SecOps

نحن عند نقطة التحول الثالثة والأكثر حسماً: مراكز العمليات الأمنية المستقلة (Autonomous SecOps).

يغيّر هذا النموذج الافتراض الأساسي: بدلًا من أن تساعد التقنية الإنسان على مجاراة السرعة، تُستخدم التقنية لاستبدال الأعمال ذات النطاق الآلي، ما يحرّر البشر للتركيز على الصيد الاستراتيجي والاستثناءات عالية التعقيد. ويجب أن يتم ذلك بشكل مسؤول عبر حوكمة واضحة وشفافية وإشراف بشري مدمج في نموذج التشغيل.

يعتمد Autonomous SecOps على ” قوة عاملة جديدة” تتكون من نوعين من الذكاء الاصطناعي يعملان بالتوازي:

 الذكاء الاصطناعي التوليدي”عقل المحلل“

الذكاء الاصطناعي التوليدي هو المحرك المعرفي الذي يقرأ ويفهم ويُركّب كميات من البيانات لا يستطيع أي فريق بشري معالجتها في وقت عملي.

وظيفته: التحقيق وإعداد التقارير.

قيمته: استبدال مرحلة الفرز والتحقيق الأولي. بدلًا من 50,000 تنبيه، يتلقى المحلل البشري ملخصًا واحدًا منظّمًا:

” حللتُ 47,522 تنبيهًا خلال ساعة… ربطتها بحادث واحد عالي الأولوية… أوصي بالاحتواء الفوري.”

بهذا، يُعالج ” مشكلة الضجيج” ويحد من الاحتراق الوظيفي بتحويل فيضان البيانات إلى رؤى واضحة.

الذكاء الاصطناعي الوكيلي (Agentic AI): ” أيدي التشغيل”

لكن الفهم وحده لا يوقف الهجوم. عقل يقترح دون تنفيذ يبقى بطيئًا. هنا يأتي Agentic AI: طبقة التنفيذ التي تتصرف ضمن أهداف محددة وأدوات وصلاحيات وحدود واضحة.

وظيفته: الاستشعار والتقييم والتنفيذ.

قيمته: تنفيذ كامل مسار الاستجابة في ثوانٍ.

عندما يحدد الذكاء التوليدي تهديدًا، يمنح الوكلاء هدفًا مثل “احتواء هذا التهديد”، فينسقون فورًا لإجراءات مثل: عزل الجهاز المصاب، تحديث قواعد الجدار الناري، تعطيل بيانات اعتماد المستخدم، وإنشاء تذكرة حادث وتوثيق ما تم تنفيذه وإبلاغ الفريق.

النتيجة: تقليص زمن الاستجابة من أيام إلى ثوانٍ، وتحقيق تحييد للتهديد قبل أن يتسبب بأثر تشغيلي.

جدوى التحول: لماذا أصبحت الاستقلالية ضرورة للقيادات التنفيذية

هذه ليست خريطة تقنية؛ بل خطة مرونة تشغيلية تؤثر مباشرة على مؤشرات مالية وتشغيلية أساسية:

كسر المعادلة الخطية للتكلفة (OpEx): في النموذج التقليدي، زيادة التهديدات تعني زيادة موازية في الأشخاص والأدوات والتعقيد. في النموذج المستقل، يمكن فصل حجم التهديدات عن الميزانية عبر التوسع الآلي، وتحويل الأمن السيبراني من تكلفة متغيرة يصعب التحكم بها إلى استثمار أكثر قابلية للتنبؤ.

تعظيم الاستفادة من المواهب: في ظل فجوة المواهب عالميًا، لا يمكن أن يقوم النموذج على “إضافة مزيد من الأشخاص”. الاستقلالية تعيد توجيه المحللين من إدارة التنبيهات إلى صيد تهديدات استراتيجي وحل حالات معقدة.

تحييد المخاطر بالسرعة (المرونة): تكلفة الاختراق تتحدد غالبًا بمدة بقاء المهاجم داخل الشبكة. تقليص زمن الاستجابة من أيام إلى ثوانٍ لا يُحسن الأداء فقط؛ بل يغيّر النتيجة من إدارة الأزمة إلى منع أثرها التشغيلي قبل أن يتجسد.

الدفاع بسرعة الآلة: خصوم اليوم يستخدمون الأتمتة والذكاء الاصطناعي. الاعتماد على سرعة الإنسان وحدها لم يعد كافيًا لمعادلة هذا الواقع.

كما يتطلب هذا التحول معيارًا جديدًا لقياس الأداء. لم يعد السؤال: “كم ألف تنبيه أغلقنا؟”

بل يصبح المؤشر الاستراتيجي الذي يقيس التقدم نحو المرونة الفعلية:

“ما نسبة استجابتنا للتهديدات التي أصبحت مؤتمتة/مستقلة بالكامل ضمن إطار حوكمة وإشراف واضح؟”

وفي بيئات تتسارع فيها الرقمنة وتزداد فيها متطلبات الثقة والاستمرارية، يصبح التحدي الحقيقي هو مدى قدرتنا على تحييد التهديدات بسرعة وأمان، مع الحفاظ على استمرارية التشغيل والثقة.