3 کاربرد برتر هوش مصنوعی در امنیت سایبری

کارشناسان امنیت سایبری با محیط تهدید بی‌سابقه‌ای روبرو هستند؛ تعداد بی‌نظیر حملات، کمبود کادر مجرب و افزایش تهاجم و پیچیدگی از جانب عوامل کشورهای دیگر. برای بسیاری از مدیران امنیت مراکز داده، حلقه‌ی طلایی برای حل این مشکلات همان هوش مصنوعی است. این تکنولوژی قدرتمند کمک می کند تا تیم‌های امنیتی بتوانند بیشترین تعداد تهدیدات با پیچیدگی بیشتر را که هرگز تاکنون وجود نداشته‌اند، با تعداد کمتر نیروی انسانی مدیریت کنند.

در واقع، طبق یک نظرسنجی جهانی انجام شده توسط شرکت حقوقی بین‌المللی Pillsbury در سپتامبر گذشته، 49% از مدیران ارشد فکر می‌کنند که هوش مصنوعی بهترین ابزار برای مقابله با حملات سایبری است و بر روی این تکنولوژی سرمایه‌گذاری می‌کنند. Pillsbury پیش‌بینی می‌کند که هزینه‌های مرتبط با هوش مصنوعی در حوزه امنیت سایبری با نرخ رشد ترکیبی سالانه 24% تا سال 2027 افزایش خواهد یافت و به ارزش 46 میلیارد دلار خواهد رسید.

استفاده از یادگیری ماشین در امنیت سایبری، در سطح گسترده‌ای انجام می‌شود. موارد استفاده‌ این تکنولوژی شامل: الگوریتم‌های طبقه‌بندی برای تشخیص بدافزار و اسپم، الگوریتم‌های تشخیص ناهنجاری برای تشخیص ترافیک یا رفتارهای مخرب کاربران و الگوریتم‌های ارتباطی برای اتصال سیگنال‌ها از سیستم‌های متفاوت است.

به‌طور خاص‌تر، متخصصان می‌گویند که هوش مصنوعی و یادگیری ماشین در حال حاضر ارزش خود را در شناسایی بدافزار‌های روز صفر، شناسایی و اولویت‌بندی تهدیدات و در برخی موارد اتخاذ اقدامات خودکار برای رفع سریع مشکلات امنیتی اثبات کرده‌اند.

1- نرم‌افزارهای مخرب Zero-Day

اهمیت نرم‌افزارهای مخرب zero-day در دنیای امنیت سایبری به دلیل قابلیت‌های بسیار پیشرفته آنها افزایش یافته است. حمله‌کنندگان در ایجاد نسخه‌های به‌روز شده نرم‌افزارهای مخرب بسیار ماهر شده‌اند بطوریکه می‌توانند از تشخیص بر اساس امضاء (signature-based detection) فرار کنند. سال گذشته، موسسه AV-Test بیش از 1.3 میلیارد نمونه جدید از نرم‌افزارهای مخرب و برنامه‌های مورد نظر ناخواسته را ثبت کرد.

نظام‌های مبتنی بر هوش مصنوعی و یادگیری ماشینی می‌توانند به‌جای تشخیص بر اساس امضاء، نرم‌افزارهای مخرب را بر اساس ویژگی‌های ذاتی آنها تجزیه و تحلیل کنند. به عنوان مثال، اگر یک نرم‌افزار طراحی شده باشد تا به سرعت فایل‌های زیادی را همزمان رمزگذاری کند، این رفتار مشکوک است همچنین اگر یک نرم‌افزار تلاشی برای پنهان ‌شدن از مشاهدات داشته باشد، این نیز می تواند نشانه عدم اعتبار آن باشد.

ابزار مبتنی بر هوش مصنوعی می‌تواند این ویژگی‌ها و بسیاری ویژگی‌های دیگر را مورد بررسی قرار داده و ریسک یک نمونه نرم‌افزار جدید را محاسبه کند. نتیجه این فرآیند می‌تواند بهبود چشمگیری در امنیت نقاط پایانی داشته باشد.

کین مک‌گلیدری، عضو سابق IEEE و استراتژیست سایبری در Ascent Solutions می گوید:”هوش مصنوعی می‌تواند چیزهایی را به عنوان بدافزار شناسایی کند که مانند نمونه‌های قبلی بدافزار به نظر نمی‌آیند.”

چاک اورت، مدیر دفتر ارتقاء امنیت سایبری در Deep Instinct می‌گوید: “فناوری‌های قدیمی مبتنی بر امضاء در متوقف کردن 30% تا 60% از تهدیدها موفق هستند، اما یادگیری ماشینی باعث افزایش اثربخشی به 80% تا 92% می‌شود.”

با افزایش تعداد کارمندانی که از زمان آغاز شیوع ویروس کرونا از خانه کار می‌کنند، امنیت نقاط پایانی به مراتب مهم‌تر شده است. گزارشی که توسط Expel منتشر شد نشان می‌دهد که رمزگذاری در پایان سال رکورد شکسته است. کاربران به طور ناخواسته شبکه‌های خود را با باز کردن یک فایل مخرب آلوده می‌کنند و هشت تا از هر ده حمله رمزگذاری خودکار بوده‌اند.

2- شناسایی و اولویت‌بندی تهدیدات

تحلیلگران مراکز عملیات امنیتی مورد فشار هستند، زیرا هر روزه تعداد زیادی هشدار امنیتی به آن‌ها می‌رسد و بسیاری از آنها نتایج نادرست هستند (false positives). آنها وقت زیادی را برای انجام کارهای روتین صرف می‌کنند و وقت کافی برای کار بر روی مسائل بزرگ‌تر را ندارند یا اصلاً حملات پیشرفته را از دست می‌دهند.

ایتای مائور، استاد سایبری در دانشگاه بوستون و مدیر ارشد استراتژی امنیتی در Cato، می‌گوید: “امروزه تمام فروشندگان باید از هوش مصنوعی و یادگیری ماشینی استفاده کنند، تا توانایی مقابله با حجم و پیچیدگی تهدیدها را داشته باشند”.

طبق نتایج یک نظرسنجی توسط Trend Micro در ماه می سال گذشته که برای تصمیم‌گیری‌کنندگان امنیت اطلاعات و مراکز عملیات امنیتی (SOC) صورت گرفته است، 51٪ از مشارکت‌کنندگان گفته‌اند که از حجم هشدارها خسته شده‌اند و 55٪ از آنها اعتماد به توانایی اولویت‌بندی و پاسخ به این هشدارها را ندارند. علاوه بر این، بر اساس نتایج نظرسنجی، مشارکت‌کنندگان تا 27٪ از وقت خود را صرف مقابله با نتایج نادرست می‌کنند.

در همین حال، اتفاقات واقعی به‌راحتی می‌توانند نادیده گرفته شوند. طبق یک نظرسنجی از کارشناسان مراکز عملیات امنیتی (SOC) که توسط Critical Start در ماه مارس منتشر شد، تقریباً نیمی از مشارکت‌کنندگان هنگامی که تعداد زیادی هشدار برای پردازش وجود دارد، ویژگی‌ هشدارهای high-volume را، غیرفعال می‌کنند.

در گزارشی که در ماه گذشته توسط Check Point منتشر شد، تعداد حملات به هر سازمان در هفته در سه ماه پایانی سال گذشته به بیش از ۹۰۰ حمله رسید که رکورد بیشترین تعداد حملات در یک دوره زمانی مشخص را به خود اختصاص داد. به گزارش ارزیابی نقض داده‌ها از سوی Verizon، در 20٪ از نقض‌ها ماه‌ها یا بیشتر طول می‌کشد تا سازمان‌ها متوجه چیزی نادرست شوند.

ترکیب وقایع متفاوت در یک محیط شرکتی و تشخیص آن‌ها که کدام یک‌ نشانه یک تهدید واقعی هستند، چیزی است که هوش مصنوعی به خوبی می‌تواند انجام دهد. هوش مصنوعی در تجزیه و تحلیل الگوها بسیار خوب عمل می‌کند و این کار را با مقیاس و سرعتی انجام می‌دهد که مدافعان انسانی نمی‌توانند با آن رقابت کنند.

3- اقدامات خودکار

همچنین، هوش مصنوعی و یادگیری ماشینی می‌توانند برای اتوماسیون وظایف تکراری، مانند پاسخ به حجم بالای هشدارهای باخطر پایین، استفاده شوند. این هشدارها جایی است که پاسخ سریع لازم است اما خطرات اشتباه کردن کم هستند و سیستم در مورد تهدید اطمینان بالایی دارد.

به عنوان مثال، اگر یک نمونه شناخته‌شده از نرم‌افزار رمزگذاری مخصوص باج افزار در دستگاه کاربر نهایی ظاهر شود، قطع ارتباط شبکه‌ای آن می‌تواند سایر بخش‌های شرکت را از یک عفونت خطرناک نجات دهد.

در این مسائل اتوماسیون هوشمند می‌تواند در زمان مناسب دخالت کند و به شرکت‌ها کمک کند تا از مشکل نبود کارشناسان متخصص امنیت سایبری عبور کنند.

به همین ترتیب، اتوماسیون هوشمند می‌تواند برای جمع‌آوری تحقیقات درباره حوادث امنیتی استفاده شود و اطلاعات را از چندین سیستم گردآوری کند و آنها را در یک گزارش آماده برای بررسی توسط تحلیل‌گران ارائه دهد.

محدودیت‌های هوش مصنوعی

هوش مصنوعی و یادگیری ماشینی از همه نظرها موفقیت‌آمیز به نظر می‌رسند با اینحال  راه‌حل‌های عمومی و جامع نیستند.

جو مک‌من، مسئول پورتفویو سایبری جهانی در Capgemini می‎ گوید: “هرچند فناوری هوش مصنوعی و یادگیری ماشینی در برخی موارد برای بهبود تشخیص و پاسخ به استفاده می‌شوند، سازمان‌ها باید بدانند که هوش مصنوعی و یادگیری ماشینی تنها پاسخ‌های به موضوع نیستند.”

با وجود مزایا، هوش مصنوعی کاملا برای تشخیص تهدیدات سایبری مناسب نیست. یکی از دلایل این مساله، ناتوانی آن در مواجهه با تغییرات است. همانند هر ابزار یا پلتفرم دیگری، برای بهره‌برداری بیشتر باید آن را با اکوسیستم کلی یکپارچه کرد، به‌طور مداوم تنظیم کرد و اثربخشی آن را اندازه‌گیری کرد. در بسیاری از موارد، شبکه‌های سازمانی به سرعت تغییر می‌کنند و الگوریتم‌های تشخیص ناهنجاری (anomaly detection) می‌توانند مفید نباشند.

یکی دیگر از مشکلات استفاده از هوش مصنوعی برای حوادث امنیتی، عدم تعادل داده‌ها در این حوزه نسبت به بسیاری از زمینه‌های دیگر است. یک شرکت ممکن است روزانه 300 میلیارد رویداد را ببیند که از این تعداد کمتر از دوازده رویداد واقعاً بدخواهانه و حاوی عواقب شدید باشند.

بنابراین، حتی اگر یک شناسه خوب و قابل اعتماد که دقت 99.999٪ دارد داشته باشید، شما هر روز در بین 3 میلیون هشدار غلط برای جستجوی آن دوازده هشدار مثبت واقعی خواهید بود.

هر چند بسیاری از فروشندگان ادعا می‌کنند که دارای راه‌حل‌های مبتنی بر هوش مصنوعی هستند، اما به علت این محدودیت‌ها و دیگر مشکلات این فناوری شاید هنوز آمادگی لازم را نداشته باشد و بهتر است شرکت‌ها منابع خود را برای بهبود اصول اساسی امنیتی صرف کنند.