کارشناسان امنیت سایبری با محیط تهدید بیسابقهای روبرو هستند؛ تعداد بینظیر حملات، کمبود کادر مجرب و افزایش تهاجم و پیچیدگی از جانب عوامل کشورهای دیگر. برای بسیاری از مدیران امنیت مراکز داده، حلقهی طلایی برای حل این مشکلات همان هوش مصنوعی است. این تکنولوژی قدرتمند کمک می کند تا تیمهای امنیتی بتوانند بیشترین تعداد تهدیدات با پیچیدگی بیشتر را که هرگز تاکنون وجود نداشتهاند، با تعداد کمتر نیروی انسانی مدیریت کنند.
در واقع، طبق یک نظرسنجی جهانی انجام شده توسط شرکت حقوقی بینالمللی Pillsbury در سپتامبر گذشته، 49% از مدیران ارشد فکر میکنند که هوش مصنوعی بهترین ابزار برای مقابله با حملات سایبری است و بر روی این تکنولوژی سرمایهگذاری میکنند. Pillsbury پیشبینی میکند که هزینههای مرتبط با هوش مصنوعی در حوزه امنیت سایبری با نرخ رشد ترکیبی سالانه 24% تا سال 2027 افزایش خواهد یافت و به ارزش 46 میلیارد دلار خواهد رسید.
استفاده از یادگیری ماشین در امنیت سایبری، در سطح گستردهای انجام میشود. موارد استفاده این تکنولوژی شامل: الگوریتمهای طبقهبندی برای تشخیص بدافزار و اسپم، الگوریتمهای تشخیص ناهنجاری برای تشخیص ترافیک یا رفتارهای مخرب کاربران و الگوریتمهای ارتباطی برای اتصال سیگنالها از سیستمهای متفاوت است.
بهطور خاصتر، متخصصان میگویند که هوش مصنوعی و یادگیری ماشین در حال حاضر ارزش خود را در شناسایی بدافزارهای روز صفر، شناسایی و اولویتبندی تهدیدات و در برخی موارد اتخاذ اقدامات خودکار برای رفع سریع مشکلات امنیتی اثبات کردهاند.
1- نرمافزارهای مخرب Zero-Day
اهمیت نرمافزارهای مخرب zero-day در دنیای امنیت سایبری به دلیل قابلیتهای بسیار پیشرفته آنها افزایش یافته است. حملهکنندگان در ایجاد نسخههای بهروز شده نرمافزارهای مخرب بسیار ماهر شدهاند بطوریکه میتوانند از تشخیص بر اساس امضاء (signature-based detection) فرار کنند. سال گذشته، موسسه AV-Test بیش از 1.3 میلیارد نمونه جدید از نرمافزارهای مخرب و برنامههای مورد نظر ناخواسته را ثبت کرد.
نظامهای مبتنی بر هوش مصنوعی و یادگیری ماشینی میتوانند بهجای تشخیص بر اساس امضاء، نرمافزارهای مخرب را بر اساس ویژگیهای ذاتی آنها تجزیه و تحلیل کنند. به عنوان مثال، اگر یک نرمافزار طراحی شده باشد تا به سرعت فایلهای زیادی را همزمان رمزگذاری کند، این رفتار مشکوک است همچنین اگر یک نرمافزار تلاشی برای پنهان شدن از مشاهدات داشته باشد، این نیز می تواند نشانه عدم اعتبار آن باشد.
ابزار مبتنی بر هوش مصنوعی میتواند این ویژگیها و بسیاری ویژگیهای دیگر را مورد بررسی قرار داده و ریسک یک نمونه نرمافزار جدید را محاسبه کند. نتیجه این فرآیند میتواند بهبود چشمگیری در امنیت نقاط پایانی داشته باشد.
کین مکگلیدری، عضو سابق IEEE و استراتژیست سایبری در Ascent Solutions می گوید:”هوش مصنوعی میتواند چیزهایی را به عنوان بدافزار شناسایی کند که مانند نمونههای قبلی بدافزار به نظر نمیآیند.”
چاک اورت، مدیر دفتر ارتقاء امنیت سایبری در Deep Instinct میگوید: “فناوریهای قدیمی مبتنی بر امضاء در متوقف کردن 30% تا 60% از تهدیدها موفق هستند، اما یادگیری ماشینی باعث افزایش اثربخشی به 80% تا 92% میشود.”
با افزایش تعداد کارمندانی که از زمان آغاز شیوع ویروس کرونا از خانه کار میکنند، امنیت نقاط پایانی به مراتب مهمتر شده است. گزارشی که توسط Expel منتشر شد نشان میدهد که رمزگذاری در پایان سال رکورد شکسته است. کاربران به طور ناخواسته شبکههای خود را با باز کردن یک فایل مخرب آلوده میکنند و هشت تا از هر ده حمله رمزگذاری خودکار بودهاند.
2- شناسایی و اولویتبندی تهدیدات
تحلیلگران مراکز عملیات امنیتی مورد فشار هستند، زیرا هر روزه تعداد زیادی هشدار امنیتی به آنها میرسد و بسیاری از آنها نتایج نادرست هستند (false positives). آنها وقت زیادی را برای انجام کارهای روتین صرف میکنند و وقت کافی برای کار بر روی مسائل بزرگتر را ندارند یا اصلاً حملات پیشرفته را از دست میدهند.
ایتای مائور، استاد سایبری در دانشگاه بوستون و مدیر ارشد استراتژی امنیتی در Cato، میگوید: “امروزه تمام فروشندگان باید از هوش مصنوعی و یادگیری ماشینی استفاده کنند، تا توانایی مقابله با حجم و پیچیدگی تهدیدها را داشته باشند”.
طبق نتایج یک نظرسنجی توسط Trend Micro در ماه می سال گذشته که برای تصمیمگیریکنندگان امنیت اطلاعات و مراکز عملیات امنیتی (SOC) صورت گرفته است، 51٪ از مشارکتکنندگان گفتهاند که از حجم هشدارها خسته شدهاند و 55٪ از آنها اعتماد به توانایی اولویتبندی و پاسخ به این هشدارها را ندارند. علاوه بر این، بر اساس نتایج نظرسنجی، مشارکتکنندگان تا 27٪ از وقت خود را صرف مقابله با نتایج نادرست میکنند.
در همین حال، اتفاقات واقعی بهراحتی میتوانند نادیده گرفته شوند. طبق یک نظرسنجی از کارشناسان مراکز عملیات امنیتی (SOC) که توسط Critical Start در ماه مارس منتشر شد، تقریباً نیمی از مشارکتکنندگان هنگامی که تعداد زیادی هشدار برای پردازش وجود دارد، ویژگی هشدارهای high-volume را، غیرفعال میکنند.
در گزارشی که در ماه گذشته توسط Check Point منتشر شد، تعداد حملات به هر سازمان در هفته در سه ماه پایانی سال گذشته به بیش از ۹۰۰ حمله رسید که رکورد بیشترین تعداد حملات در یک دوره زمانی مشخص را به خود اختصاص داد. به گزارش ارزیابی نقض دادهها از سوی Verizon، در 20٪ از نقضها ماهها یا بیشتر طول میکشد تا سازمانها متوجه چیزی نادرست شوند.
ترکیب وقایع متفاوت در یک محیط شرکتی و تشخیص آنها که کدام یک نشانه یک تهدید واقعی هستند، چیزی است که هوش مصنوعی به خوبی میتواند انجام دهد. هوش مصنوعی در تجزیه و تحلیل الگوها بسیار خوب عمل میکند و این کار را با مقیاس و سرعتی انجام میدهد که مدافعان انسانی نمیتوانند با آن رقابت کنند.
3- اقدامات خودکار
همچنین، هوش مصنوعی و یادگیری ماشینی میتوانند برای اتوماسیون وظایف تکراری، مانند پاسخ به حجم بالای هشدارهای باخطر پایین، استفاده شوند. این هشدارها جایی است که پاسخ سریع لازم است اما خطرات اشتباه کردن کم هستند و سیستم در مورد تهدید اطمینان بالایی دارد.
به عنوان مثال، اگر یک نمونه شناختهشده از نرمافزار رمزگذاری مخصوص باج افزار در دستگاه کاربر نهایی ظاهر شود، قطع ارتباط شبکهای آن میتواند سایر بخشهای شرکت را از یک عفونت خطرناک نجات دهد.
در این مسائل اتوماسیون هوشمند میتواند در زمان مناسب دخالت کند و به شرکتها کمک کند تا از مشکل نبود کارشناسان متخصص امنیت سایبری عبور کنند.
به همین ترتیب، اتوماسیون هوشمند میتواند برای جمعآوری تحقیقات درباره حوادث امنیتی استفاده شود و اطلاعات را از چندین سیستم گردآوری کند و آنها را در یک گزارش آماده برای بررسی توسط تحلیلگران ارائه دهد.
محدودیتهای هوش مصنوعی
هوش مصنوعی و یادگیری ماشینی از همه نظرها موفقیتآمیز به نظر میرسند با اینحال راهحلهای عمومی و جامع نیستند.
جو مکمن، مسئول پورتفویو سایبری جهانی در Capgemini می گوید: “هرچند فناوری هوش مصنوعی و یادگیری ماشینی در برخی موارد برای بهبود تشخیص و پاسخ به استفاده میشوند، سازمانها باید بدانند که هوش مصنوعی و یادگیری ماشینی تنها پاسخهای به موضوع نیستند.”
با وجود مزایا، هوش مصنوعی کاملا برای تشخیص تهدیدات سایبری مناسب نیست. یکی از دلایل این مساله، ناتوانی آن در مواجهه با تغییرات است. همانند هر ابزار یا پلتفرم دیگری، برای بهرهبرداری بیشتر باید آن را با اکوسیستم کلی یکپارچه کرد، بهطور مداوم تنظیم کرد و اثربخشی آن را اندازهگیری کرد. در بسیاری از موارد، شبکههای سازمانی به سرعت تغییر میکنند و الگوریتمهای تشخیص ناهنجاری (anomaly detection) میتوانند مفید نباشند.
یکی دیگر از مشکلات استفاده از هوش مصنوعی برای حوادث امنیتی، عدم تعادل دادهها در این حوزه نسبت به بسیاری از زمینههای دیگر است. یک شرکت ممکن است روزانه 300 میلیارد رویداد را ببیند که از این تعداد کمتر از دوازده رویداد واقعاً بدخواهانه و حاوی عواقب شدید باشند.
بنابراین، حتی اگر یک شناسه خوب و قابل اعتماد که دقت 99.999٪ دارد داشته باشید، شما هر روز در بین 3 میلیون هشدار غلط برای جستجوی آن دوازده هشدار مثبت واقعی خواهید بود.
هر چند بسیاری از فروشندگان ادعا میکنند که دارای راهحلهای مبتنی بر هوش مصنوعی هستند، اما به علت این محدودیتها و دیگر مشکلات این فناوری شاید هنوز آمادگی لازم را نداشته باشد و بهتر است شرکتها منابع خود را برای بهبود اصول اساسی امنیتی صرف کنند.