أجرت إحدى وسائل الإعلام مؤخرًا مقابلة افتراضية مع نير زوك، المؤسس ورئيس التكنولوجيا في Palo Alto Networks، الرائد في تشكيل مستقبل الأمن السيبراني. كانت المناقشة تتمحور حول الدور الحيوي لتعلم الآلة في تعزيز أداء مراكز عمليات الأمن (SOC) ودمجه ضمن بنية Cortex XSIAM.
قبل تأسيس Palo Alto Networks في عام 2005، شغل زوك منصب CTO في NetScreen Technologies، التي استحوذت عليها Juniper Networks في عام 2004. قام بتأسيس OneSecure، وهو مبتكر مبكر في أنظمة منع التسلل، وكان مهندسًا رئيسيًا في Check Point Software Technologies، حيث ساهم في تطوير تقنية الفحص المستند للحالة.
في الربع المالي الثاني من عام 2024، الذي انتهى في 31 يناير، أفادت Palo Alto Networks بزيادة بنسبة 19% في الإيرادات، لتصل إلى 2 مليار دولار مقارنة بـ 1.7 مليار دولار في نفس الربع من العام السابق. قفز صافي دخل الشركة وفقًا لمبادئ المحاسبة المقبولة عمومًا (GAAP) إلى 1.7 مليار دولار، مقابل 0.1 مليار دولار في الربع الثاني من 2023. حاليًا، تخدم Palo Alto Networks أكثر من 85,000 عميل على مستوى العالم، بما في ذلك غالبية الشركات المدرجة في قائمة Global 2000.
أ: لماذا تعتبر تعلم الآلة ضروريًا لتحسين أداء مراكز عمليات الأمن؟
زوك: يعد تعلم الآلة أساسيًا لأنه ينقل نهجنا من التحقيق في الهجمات المعروفة، التي تحدث بشكل غير متكرر، إلى تقييم كل حدث عبر البنية التحتية باعتباره تهديدًا محتملاً. يتيح لنا هذا الانتقال تقييم ملايين الهجمات المحتملة كل ثانية — وهو ما يُعد أمرًا صعبًا على البشر إدارته بمفردهم.
VB: كيف يُحول تعلم الآلة العمليات الأمنية ويُحسّن مؤشرات الأداء الرئيسية لمراكز عمليات الأمن؟
زوك: نتناول الأمن السيبراني بطريقتين. الأولى وقائية، تركز على منع التهديدات — كالتحكم في الشبكات والأمان الطرفي وإدارة الوصول. لكن يجب علينا أيضًا معالجة واقع حدوث الاختراقات. لذلك، إذا دخل المهاجم، يصبح دور SOC هو البحث عنه بنشاط، وهنا تلعب تعلم الآلة دورًا محوريًا — تمكين الكشف والاستجابة سواء كانت التهديدات خارجية أو داخلية بالفعل.
VB: هل تلاحظ زيادة في عدد المنصات السحابية التي يستخدمها عملاؤك؟ هل يسعون للتعامل مع تعقيدات الكشف والاستجابة السحابية؟
زوك: بالتأكيد. غالبًا ما تشعر فرق العمليات الأمنية بالإرهاق بسبب تعقيد بيئات السحاب مقارنةً بمراكز البيانات التقليدية. تتطلب هذه التعقيدات أدوات فعّالة لمراكز عمليات الأمن لإدارة أمان السحاب. لم يثبت مفهوم دمج العمليات الأمنية في DevOps فعالية، حيث تواجه كلتا العمليتين تحديات مشابهة. يتناول XSIAM هذه التعقيدات، موفرًا حلاً لمراكز عمليات الأمن — سواء أكانت مركزة على السحاب أو عامة.
VB: ما هو دور تعلم الآلة في بنية Cortex XSIAM؟
زوك: تعتبر Cortex XSIAM نظامًا يعتمد بشكل جوهري على تعلم الآلة، حيث تستخدم نماذج مخصصة للكشف عن أنواع مختلفة من الهجمات. لدينا حاليًا حوالي 1400 نموذج متخصص تم تطويره من قبل خبراء الأمن السيبراني، بما في ذلك ضباط السيبرانية السابقين في الجيش والمخابرات، الذين ينقلون خبراتهم إلى نماذج فعالة للكشف عن التهديدات.
VB: هل تقوم بتجهيل بيانات الهجمات لتدريب نماذجك من تفاعلات العملاء المختلفة؟
زوك: نهجنا في تعلم الآلة يختلف عن الاتجاهات السائدة في السوق. لا نقوم بتدريب نماذجنا على بيانات العملاء، بل على بيانات الهجمات المجمعة من مصادر متعددة. يتيح لنا ذلك تحديد ما هو عادي للبنية التحتية للعميل واكتشاف الشذوذ دون المساس بخصوصية البيانات.
VB: كيف يتناول عملاؤك مؤشرات أداء مراكز عمليات الأمن؟
زوك: نشجع العملاء بنشاط على قياس مؤشرات الأداء الرئيسية مثل متوسط الوقت للكشف (MTTD) ومتوسط الوقت للاستجابة (MTTR). تشير الأبحاث الحالية إلى أن متوسط MTTD يصل إلى أشهر، لكنني أعتقد أنه يمكننا تحسين ذلك إلى أسابيع وحتى أيام. وينطبق نفس الأمر على MTTR، الذي غالبًا ما يتم قياسه بالساعات. معظم عملائنا المحتملين لا يقيسون حاليًا هذه المؤشرات المهمة.
VB: كيف تتعامل مع التسعير والترقيات؟
زوك: يعتمد تسعير XSIAM على حجم البيانات التي يتم تحليلها. نسعى لمواءمة تسعيرنا مع حلول مراكز عمليات الأمن الحالية، على الرغم من أننا نعالج بيانات أكثر بكثير — غالبًا ما تكون 10 إلى 100 مرة أكبر من أنظمة إدارة المعلومات الأمنية والأحداث (SIEM) المعتادة. هدفنا هو منع مراكز عمليات الأمن من مواجهة زيادة كبيرة في ميزانياتها.