فريقك الأرجواني مجرد أحمر وأزرق في غرفة واحدة

في عالم الأمن السيبراني المتسارع، أصبح difesa network at 2 am معقدة للغاية. فبينما يتطلب الأمر من المحللين نسخ ولصق البيانات، وإعادة كتابة الأكواد يدوياً، وانتظار الموافقات طويلة، يعمل المهاجمون بوتيرة أسرع بكثير، حيث يتقلص الوقت بين اكتشاف الثغرة الأمنية واستغلالها من أيام إلى ساعات، بل وثوانٍ. هذا التفاوت الهائل في السرعة يضع المدافعين في موقف غير متكافئ.

تظهر التقارير أن متوسط الوقت اللازم لاستغلال ثغرة أمنية (CVE) بعد نشرها، انخفض بشكل دراماتيكي. ففي عام 2024، كان هذا المتوسط 56 يوماً، وتراجع في عام 2025 إلى 23 يوماً. أما في عام 2026، فقد وصل إلى حوالي 10 ساعات فقط، بناءً على تحليل آلاف الثغرات المعروفة. على الجانب الآخر، رغم تسارع وتيرة الدفاع لتصبح بالساعات، إلا أن الهجوم يعمل الآن بالثواني، مما يجعل المنافسة غير متكافئة.

التحديات في فرق الأمن السيبراني التقليدية

لعقد من الزمان، كان “الفريق البنفسجي” (Purple Teaming) هو الحل المقترح لسد هذه الفجوة، وهو نهج يتضمن تعاون فرق الهجوم (Red Team) والدفاع (Blue Team) لتحديد نقاط الضعف واختبار فعالية الإجراءات الأمنية. الهدف هو أن يقوم فريق الهجوم بتحديد مسارات الهجوم المحتملة، بينما يتحقق فريق الدفاع من فعالية الاكتشافات والوقاية. تتغذى نتائج فريق على مدخلات الفريق الآخر بشكل مستمر، مما يحسن الوضع الأمني للمؤسسة.

ومع ذلك، لطالما واجه هذا المفهوم صعوبة في التطبيق العملي. ويعود ذلك لعدة أسباب رئيسية، أهمها الاحتكاك البشري الزائد الذي يخلق اختناقات. غالبًا ما لا تتواصل الفرق بشكل كافٍ، وعندما يحدث التواصل، فإنه غالباً ما يتضمن اجتماعات طويلة، وتقارير مفصلة، وتحليلات ما بعد الحوادث، مما يؤدي إلى تأخير في معالجة المشكلات.

العوامل المساهمة في تأخير الاستجابة

• التعقيدات البيروقراطية: غالباً ما يكون الوقت المستهلك في الانتقال بين الفرق المختلفة هو السبب الرئيسي للتأخير. رسالة غير مقروءة على منصات التواصل، نسخ ولصق يدوي للبيانات، طلبات موافقة طويلة، وإعادة بناء أكواد الأمان يدوياً، كلها عوامل تساهم في “تضارب” مسارات العمل.
• صعوبة تنسيق الأدوات والفرق: تتحمل كل جهة مسؤولية أداة أو نظام معين. فريق الشبكات مسؤول عن جدران الحماية، وفريق العمليات الأمنية (SOC) يتعامل مع التنبيهات، وفرق الهجوم تنفذ التدريبات، وفرق الدفاع تبني أدوات الاكتشاف، وتقوم فرق تكنولوجيا المعلومات بتطبيق التصحيحات. تنتج كل مجموعة مخرجات يتم تفسيرها وإعادة تمريرها، مما يخلق عملية معقدة وغير فعالة غالباً.
• حداثة الذكاء الاصطناعي لدى المهاجمين: بينما يستمر المدافعون في الاعتماد على الأنظمة اليدوية، أصبح المهاجمون يستفيدون من نماذج اللغة الكبيرة (LLMs) لتسريع هجماتهم. أصبحت شبكات الموافقة على التغييرات في بعض المؤسسات أطول من نافذة استغلال الثغرة الأمنية نفسها.

مفهوم “الفريق البنفسجي المستقل”

في ظل هذه التحديات، يبرز مفهوم “الفريق البنفسجي المستقل” (Autonomous Purple Teaming) كحل واعد. يعتمد هذا النموذج على الأتمتة والذكاء الاصطناعي لسد الفجوة في سرعة الاستجابة. الفكرة الأساسية هي استخدام التكنولوجيا لتقليص دورة العمل بين فرق الهجوم والدفاع إلى سرعات الآلة، مما يزيل الاختناقات البشرية.

في هذا النموذج، تتحول مخرجات فريق الهجوم تلقائياً إلى اختبارات لفريق الدفاع. وبالمثل، فإن الثغرات التي يكتشفها فريق الدفاع تصبح مدخلات لفريق الهجوم في تدريبه التالي. هذه الدورة المستمرة، المدعومة بالذكاء الاصطناعي، تعمل دون توقف، ولا تتأثر بالعوامل البشرية مثل فترات الراحة أو الإجازات.

مكونات الفريق البنفسجي المستقل

لتحقيق الفعالية، يتطلب الفريق البنفسجي المستقل تكامل ثلاثة مكونات رئيسية:

• اختبارات الاختراق المؤتمتة (Automated Penetration Testing): تجيب على سؤال ما إذا كان بإمكان المهاجم الوصول إلى الأصول الحيوية في بيئة المؤسسة بالنظر إلى المكشوفات الحالية والضوابط الأمنية.
• محاكاة الهجوم والاختراق (Breach and Attack Simulation – BAS): يقدم إجابة فريق الدفاع، حيث يتحقق مما إذا كان جدار الحماية قد منع الهجوم، وهل تمكنت برامج كشف التسلل (EDR) من اكتشافه، وهل أطلقت قواعد نظام إدارة معلومات الأمان والبيانات (SIEM) التنبيهات، وهل سارت خطة الاستجابة كما هو مخطط لها.
• التفعيل المدعوم بالذكاء الاصطناعي (AI-powered Mobilization): هذا هو الجزء الذي كان يتطلب في السابق جهداً بشرياً ضخماً. يعتمد على سلسلة من العملاء المتخصصين (agents) لتنفيذ المهام. على سبيل المثال، يمكن لعميل الذكاء الاصطناعي معالجة تنبيهات الجهات الرسمية، وإثراء المعلومات المتعلقة بالتهديدات، وتقييم مدى ملاءمتها للبيئة، وتشغيل عمليات المحاكاة والتحقق، وتطبيق التصحيحات منخفضة المخاطر تلقائياً، وفتح تذاكر للمهام الأكثر تعقيداً.

النتيجة النهائية ليست مجرد قائمة طويلة من الثغرات، بل هي قائمة محدثة ومستمرة بالإجراءات القابلة للتنفيذ، والتي توضح ما هو قابل للاستغلال حالياً في بيئة المؤسسة، وما الذي يجب القيام به قبل أن تنتهي نافذة الاستغلال. هذا هو جوهر الفريق البنفسجي الفعال الذي يعمل بالسرعة التي تتطلبها التهديدات المدعومة بالذكاء الاصطناعي.