تشهد سوق إدارة معلومات وأحداث الأمن السيبراني (SIEM) مرحلة تحوّل حرجة مع تزايد الاعتماد على تقنيات الكشف والاستجابة الموسعة (XDR) ونماذج الذكاء الاصطناعي التوليدي. ففي استبيان حديث أجرته منصة “دارك ريدينغ”، أبدى ٤٠ في المائة من المشاركين تأييدهم لدمج قدرات SIEM داخل منصات XDR أو أدوات أمنية أخرى. في المقابل، رأى ٣٥ في المائة أن هذه الفئة من المنتجات ما زالت تمتلك مستقبلاً قابلاً للتطور، لا سيّما مع إدماج الذكاء الاصطناعي فيها. في حين أعرب ١٥ في المائة عن اعتقادهم بأن نهاية SIEM باتت وشيكة، وأقرّ ١٠ في المائة بعدم امتلاكهم أساساً لنظام SIEM تقليدي.
وتعكس هذه النسب حالة من التردد والانقسام داخل مجتمع أمن المعلومات حول ما إذا كانت هذه المنصات ستستمر مستقلة أو ستتحوّل إلى مجرد مكوّن ضمن منظومات أكبر. وتبرز هنا الإشكالية الجوهرية: الحجم الهائل والمتزايد للبيانات الأمنية، وضرورة الاستفادة منها في دعم قدرات الذكاء الاصطناعي الوكيلي (Agentic AI)، وهو ما لم تُصمّم منصات SIEM الكلاسيكية للتعامل معه منذ البداية.
وفي هذا السياق، يقول ديف غروبر، وهو محلّل رئيسي في “إنتربرايز ستراتيجي غروب”، إن الحاجة إلى تجميع البيانات وتحليلها لا تزال قائمة، لكنها باتت اليوم تُستخدم أيضاً لتغذية النماذج اللغوية الضخمة، الأمر الذي يزيد من تعقيد المهمة أمام المنصات التقليدية. وتذهب المحلّلة آلي ميلين من مؤسسة “فورستر” إلى أن SIEM تظل أدوات شديدة المرونة، لكنها تحتاج إلى وقت وموارد ضخمة لتخصيصها، وهو ما يُثقل كاهل الفرق الأمنية.
هذه التكاليف المرتفعة، إلى جانب صعوبة إدارة النظام، دفعت كثيراً من المؤسسات إلى مراجعة جدوى استمرار الاعتماد عليه. ويقول فريد كوانغ، نائب الرئيس للأمن السيبراني في جامعة ديفراي الأميركية، إن الوعد الأساسي لـ SIEM، أي القدرة على تجميع السجلات وإنشاء ارتباطات تُفضي إلى إجراءات قابلة للتنفيذ، لم يتحقق في الغالب. ويُرجع السبب إلى التعقيد في إنشاء القواعد، والاضطرار إلى تقليص عدد السجلات المرسلة نتيجة ارتفاع كلفة الاستيعاب.
في مواجهة هذه التحديات، بدأت بعض المؤسسات تتجه نحو نموذجين بديلين. الأول، هو تبني منصات XDR التي تضم قدرات SIEM بداخلها ضمن تصميم أكثر تكاملاً. والثاني، فصل SIEM إلى مكونين: تخزين البيانات في بحيرات بيانات ذات كلفة منخفضة، وتطبيق التحليل عليها بشكل منفصل. ورغم أن النموذج الثاني يبدو واعداً من الناحية التقنية، فإن ميلين لا تتوقع أن تُقبل عليه معظم المؤسسات بسبب تعقيد التنفيذ وكلفته العالية.
وتشير ميلين إلى أن إحدى أكثر الاستخدامات إقناعاً للذكاء الاصطناعي في العمليات الأمنية تتمثل في توظيف “الذكاء الوكيلي” داخل منصات SIEM، ليؤدّي أدواراً مثل التحقيق والتفاعل مع الحوادث. وترى أن هذا النوع من التكامل قد يُنقذ هذه المنصات من التراجع. وفي الوقت ذاته، تحذر من أن منصات XDR، رغم نموّها، لا تُغطي حتى الآن كل إمكانات SIEM الكلاسيكية.
ورغم ما تقدّم، يرى ديف غروبر أن استبدال SIEM بالكامل أمر غير مرجّح في المستقبل القريب. لكنه يتوقع أن تتغير هذه المنصات بشكل جذري لتلبي احتياجات الذكاء الاصطناعي التوليدي، خصوصاً من حيث حجم البيانات وسرعة تحليلها.
