گوگل با ابزارهای هوش مصنوعی خودکار به جنگ اضافهبار مراکز عملیات امنیتی میرود
مراکز عملیات امنیتی (SOC) امروزه با حجم بیسابقهای از هشدارها و تهدیدات سایبری مواجهند. بر اساس گزارش SecurityWeek، هر SOC به طور متوسط روزانه با ۱۰,۰۰۰ هشدار امنیتی دست و پنجه نرم میکند که تنها ۴ درصد از آنها واقعاً بحرانی هستند. این وضعیت منجر به خستگی تحلیلگران، تأخیر در پاسخگویی و افزایش ریسک نقض داده شده است. گوگل با درک این چالش، در کنفرانس Google Cloud Next 2025 از راهحلهای مبتنی بر هوش مصنوعی رونمایی کرد که هدف اصلی آنها کاهش بار کاری SOCها از طریق اتوماسیون پیشرفته و تحلیل هوشمند تهدیدات است.
سیستم پیشنهادی گوگل بر دو محور اصلی استوار است:
-
عامل اولویتبندی هشدارها (Alert Triage Agent): این ابزار که در Google Security Operations ادغام شده، با استفاده از الگوریتمهای یادگیری ماشین، هشدارهای ورودی را به صورت بلادرنگ تحلیل میکند. این عامل قادر است با بررسی زمینه تاریخی حملات، الگوهای رفتاری کاربران و تهدیدات شناختهشده، هشدارها را به سه دسته بحرانی، نیازمند بررسی و بیخطر طبقهبندی کند. دقت این سیستم در نسخه آزمایشی به ۹۲ درصد رسیده است.
-
عامل تحلیل بدافزار (Malware Analysis Agent): این ابزار بخشی از Google Threat Intelligence است و با اجرای کدهای مشکوک در محیط ایزوله، رفتار آنها را زیر نظر میگیرد. این عامل میتواند کدهای ابهامآلود (Obfuscated) را رمزگشایی کرده و ارتباطات پنهانی با سرورهای C2 را شناسایی کند. در تستهای داخلی، این سیستم توانسته ۸۷ درصد از بدافزارهای zero-day را پیش از فعال شدن تشخیص دهد.
عامل اولویتبندی هشدارها (Alert Triage Agent): این ابزار که در Google Security Operations ادغام شده، با استفاده از الگوریتمهای یادگیری ماشین، هشدارهای ورودی را به صورت بلادرنگ تحلیل میکند. این عامل قادر است با بررسی زمینه تاریخی حملات، الگوهای رفتاری کاربران و تهدیدات شناختهشده، هشدارها را به سه دسته بحرانی، نیازمند بررسی و بیخطر طبقهبندی کند. دقت این سیستم در نسخه آزمایشی به ۹۲ درصد رسیده است.
عامل تحلیل بدافزار (Malware Analysis Agent): این ابزار بخشی از Google Threat Intelligence است و با اجرای کدهای مشکوک در محیط ایزوله، رفتار آنها را زیر نظر میگیرد. این عامل میتواند کدهای ابهامآلود (Obfuscated) را رمزگشایی کرده و ارتباطات پنهانی با سرورهای C2 را شناسایی کند. در تستهای داخلی، این سیستم توانسته ۸۷ درصد از بدافزارهای zero-day را پیش از فعال شدن تشخیص دهد.
هر دو ابزار از معماری XAI (هوش مصنوعی توضیحپذیر) بهره میبرند که مسیر تصمیمگیری هوش مصنوعی را به صورت شفاف نمایش میدهد. این ویژگی به تحلیلگران کمک میکند بدون نیاز به بررسی دستی، منطق پشت هر تصمیم را درک کنند.
استقرار این سیستمها سه تحول کلیدی ایجاد میکند:
-
کاهش ۷۰ درصدی حجم هشدارهای دستی: بر اساس دادههای آزمایشی، عامل اولویتبندی گوگل میتواند ۶,۳۰۰ هشدار روزانه را به صورت خودکار پردازش کند.
-
سرعت بخشیدن به پاسخگویی: زمان پاسخگویی به حوادث امنیتی از ۴ ساعت به ۲۲ دقیقه کاهش یافته است.
-
بهینهسازی منابع انسانی: تحلیلگران Tier 1 و Tier 2 میتوانند تا ۴۰ ساعت در ماه بر روی مسائل استراتژیک تمرکز کنند.
کاهش ۷۰ درصدی حجم هشدارهای دستی: بر اساس دادههای آزمایشی، عامل اولویتبندی گوگل میتواند ۶,۳۰۰ هشدار روزانه را به صورت خودکار پردازش کند.
سرعت بخشیدن به پاسخگویی: زمان پاسخگویی به حوادث امنیتی از ۴ ساعت به ۲۲ دقیقه کاهش یافته است.
بهینهسازی منابع انسانی: تحلیلگران Tier 1 و Tier 2 میتوانند تا ۴۰ ساعت در ماه بر روی مسائل استراتژیک تمرکز کنند.
این تحولات در کنار ادغام با پلتفرم Google Unified Security، که دادههای ابری، شبکه و endpoint را یکپارچه میکند، SOCها را به سمت پیشگیری فعالانه سوق میدهد.
اگرچه این فناوری نویدبخش است، اما چالشهایی نیز وجود دارد:
-
سوءاستفاده هکرها از خودِ هوش مصنوعی: مهاجمان ممکن است با تولید هشدارهای جعلی، سیستم را فریب دهند. گوگل برای مقابله، از مکانیسمهای اعتبارسنجی چندلایه استفاده میکند که هر هشدار را بر اساس ۱۰۲۴ معیار امنیتی تأیید میکند.
-
مقاومت سازمانها در برابر اتوماسیون: برخی تیمهای امنیتی نگران کاهش کنترل انسان بر فرایندها هستند. گوگل با ارائه داشبوردهای قابل تنظیم، امکان نظارت و تعدیل تصمیمات هوش مصنوعی را فراهم کرده است.
-
مسائل حریم خصوصی: پردازش دادههای حساس توسط AI ممکن است نگرانیهایی ایجاد کند. گوگل تأکید میکند تمام تحلیلها به صورت محلی (On-Premise) و با رمزنگاری AES-256 انجام میشود.
پیشبینی میشود تا سال ۲۰۳۰، ۸۵ درصد از وظایف تکراری SOCها مانند مانیتورینگ لاگها و اولویتبندی هشدارها کاملاً خودکار شوند. این تحول فضایی ایجاد میکند که در آن تحلیلگران انسانی به معماران امنیتی تبدیل میشوند و بر طراحی استراتژیهای بلندمدت و آموزش هوش مصنوعی متمرکز خواهند بود. گوگل نیز قصد دارد با توسعه Sec-Gemini v2، که نسخه ارتقایافته مدل زبانی امنیتی خود است، درک مفهومی هوش مصنوعی از حملات سایبری را عمیقتر کند.
برای کسب اطلاعات و اخبار روز با ما در بیسلند همراه باشید.
سوءاستفاده هکرها از خودِ هوش مصنوعی: مهاجمان ممکن است با تولید هشدارهای جعلی، سیستم را فریب دهند. گوگل برای مقابله، از مکانیسمهای اعتبارسنجی چندلایه استفاده میکند که هر هشدار را بر اساس ۱۰۲۴ معیار امنیتی تأیید میکند.
مقاومت سازمانها در برابر اتوماسیون: برخی تیمهای امنیتی نگران کاهش کنترل انسان بر فرایندها هستند. گوگل با ارائه داشبوردهای قابل تنظیم، امکان نظارت و تعدیل تصمیمات هوش مصنوعی را فراهم کرده است.
مسائل حریم خصوصی: پردازش دادههای حساس توسط AI ممکن است نگرانیهایی ایجاد کند. گوگل تأکید میکند تمام تحلیلها به صورت محلی (On-Premise) و با رمزنگاری AES-256 انجام میشود.
