روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  گرچه اتوماسیون و یادگیری ماشین (ML) تقریباً دو دهه است در امنیت اطلاعات استفاده می‌شوند، آزمایش در این حوزه بی‌وقفه ادامه دارد. متخصصین امنیتی نیاز دارند با تهدیدهای سایبری پیچیده که هر بار به طور فزاینده‌ی مانند قارچ پدیدار می‌شوند و نیز حملات بی‌شمار بدون اینکه بودجه یا پرسنل افزایش پیدا کند مبارزه کنند. بخش مثبتش این است که هوش مصنوعی به طور بی‌نظیری حجم کار تحلیلگران امنیتی را کاهش داده و این درحالیست که همچنین فازهای بسیاری از مدیریت رخداد را تسریع کرده- از شناسایی گرفته تا واکنش به رخداد. با این وجود برخی حوزه‌های کاربردی یادگیری ماشین هنوز عملکرد ضعیفی دارند. در ادامه قرار است از تأثیر کاربرد هوش مصنوعی در حوزه امنیت سایبری بگوییم. با ما همراه باشید.

شناساییِ مبتنی بر هوش مصنوعیِ تهدیدهای سایبری

برای ساده‌سازی بیش از حد، دو راه پایه برای کاربرد ML وجود دارد که امتحانشان را پس داده‌اند:

شناسایی حمله: با آموزش هوش مصنوعی روی نمونه‌های ایمیل‌های فیشینگ، فایل‌های مخرب و رفتار خطرناک اپ می‌توانیم به میزان قابل قبولی از شناسایی برسیم. مشکل اصلی این است که این حوزه به شدت پویاست- مهاجمین مدام در حال ساخت متودهای کلاهبردارانه‌ی جدید هستند. از این رو، این مدل نیاز دارد برای حفظ اثرگذاری اش مدام از نو تربیت شود. این نیازمند مجموعه داده برچسب‌گذاری‌شده است- یعنی مجموعه‌ای برگ از نمونه‌های تازه و تأییدشده رفتار مخرب. الگوریتمی که بدین روش تربیت شده نمی‌تواند به طور بنیادی با حملات جدید و هرگز قبلاً دیده‌نشده به صورت مؤثری بجنگد. افزون بر این، دشواری‌های مشخص دیگری هم در شناسایی حملات وجود دارد که تماماً بر ابزارهای قانونی آی‌تی (LotL) متکی هستند. علی‌رغم این محدودیت‌ها، بیشتر فروشندگان امنیت اطلاعات از این متود استفاده می‌کنند که برای تحلیل ایمیل، شناسایی فیشینگ و شناسایی برخی دسته‌بندی‌های بدافزار مؤثر هستند. پس این متود می‌شود گفت نه اتوماسیون کامل را و نه 100% قابلیت اطمینان را وعده می‌دهد.

شناسایی ناهنجاری: با تربیت هوش مصنوعی روی سرور «نرمال» و فعالیت ایستگاه کاری می‌توانیم انحرافات از این نرم و عرف را شناسایی کنیم- مانند وقتی که حسابدار ناگهان شروع می‌کند به اجرای اقدامات مربوط به مدیریت آن هم با میل سرور. عیب متود این است که اولاً نیاز به جمع و ذخیره کلی تله‌متری دارد و دوماً باید برای همگام شدن با تغییرات زیرساخت آی‌تی مدام هوش مصنوعی را از نوع تربیت کند. حتی آن زمان هم کلی مثبت‌هی کاذب وجود خواهد داشت و هیچ تضمینی هم روی شناسایی حمله نیست. شناسایی ناهنجاری باید متناسب با سازمان خاص باشد پس استفاده از چنین ابزاری نیازمند افرادی به شدت ماهر در زمینه امنیت سایبری، تحلیل داده و یادگیری ماشین است. و این کارمندان بی‌قیمت باید پشتیبانی بیست و چهارساعته‌ی سیستم بدهند.

نتیجه فلسفی این است که تا اینجای کار هوش مصنوعی روی تسک‌های روتین خوب عمل کرده؛ جایی که سوژه مربوطه و مشخصه‌های ابژه آرام و به ندرت تغییر می‌کنند: نوشتن متن‌های مسنجم، شناسایی نژاد سگ‌ها و غیره. جایی که ذهن انسان فعالانه در داده آموزشی مقاومت دارد، به طور آماری، هوش مصنوعی تنظیم‌شده به مرور زمان و به تدریج کم و کمتر اثرگذار خواهد بود. تحلیلگران به جای ایجاد قوانین شناسایی تهدید سایبری، هوش مصنوعی را سامان می‌دهد اما خلاف این برداشت رایج، هیچ صرفه‌جویی در نیروی انسانی حاصل نشده. افزون بر این، عطش تقویت شناسایی تهدید هوش مصنوعی و ارتقای تعداد مثبت‌های واقعی ناگزیر به افزایش تعداد مثبت‌های کاذب منجر می‌شود که مستقیم با افزایش حجم کار انسان در رابطه است. بر عکس، سعی بر کاهش مثبت‌های کاذب تا نزدیک به صفر به مثبت واقعی‌های کمتری نیز منجر می‌شود- بموجب ان ریسک از دست دادن حمله سایبری و غافل شدن از آن نیز افزایش می‌یابد. در نتیجه، هوش مصنوعی شاید در کیت ابزار شناسایی جایگاهی داشته باشد اما این درمان همیشگی مشکلات شناسایی در حوزه امنیت سایبری نیست و یا تماماً نمی‌تواند به طور خودکار به عملیات‌های خود ادامه دهد.

هوش مصنوعی به عنوان شریک تحلیلگر SOC

هوش مصنوعی را نمی‌توان تماماً مسئول سرچ تهدیدهای سایبری دانست اما می‌تواند حجم کار انسان را با تحلیل مستقل هشدارهای ساده SIEM و کمک به تحلیلگران در سایر موارد کم کند:

•         فیلتر کردن موارد مثبت کاذب. با آموزش هشدارهای SIEM و احکام تحلیلگران، هوش مصنوعی میتواند FPها را کاملاً قابل اعتماد فیلتر کند: راهکار Kaspersky MDR ما به کاهش حجم کاری SOC حدود 25 درصد دست می‌یابد. در مقالات بعدی خود به جزئیات اجرای «تحلیل خودکار» خواهیم پرداخت.
•         اولویت‌بندی هشدارها. همان موتور ML فقط FPها را فیلتر نمی‌کند بلکه احتمال اینکه یک رویداد شناسایی‌شده نشان‌دهنده فعالیت مخرب جدی باشد را نیز ارزیابی می‌نماید. سپس چنین هشدارهای حیاتی برای تجزیه و تحلیل اولویت‌بندی شده به کارشناسان ارسال می‌شود. از طرف دیگر، "احتمال تهدید" را می‌توان به عنوان یک شاخص بصری نشان داد - به تحلیلگر کمک می کند تا مهمترین هشدارها را اولویت بندی کند.
•         شناسایی ناهنجاری. هوش مصنوعی می‌تواند به سرعت در خصوص ناهنجاری‌های زیرساخت محافظت‌شده با ردیابی پدیده‌هایی چون تورم هشدارها، کاهش یا افزایش شدید جریان تله‌متری از حسگرهای تعیین‌شده یا تغییراتی در ساختار آن هشدار دهد.
•         شناسایی رفتار مشکوک. گرچه سرچ ناهنجاری‌های دلخواه در شبکه مشکلات قابل‌توجهی دارد اما برخی سناریوها به اتوماسیون کمک می‌کنند و در این نمونه‌ها یادگیری ماشین از قوانین ایستا بهتر عمل می‌نماید. نمونه‌ها شامل شناسایی استفاده غیرقانونی حساب از زیرمجموعه‌های غیرمعمول، شناسایی دسترسی ناهنجار به فایل سرورها و اسکن آن‌ها و نیز سرچ برای حملات «بلیت رو رد کن[1]» می‌شود.

مدل‌های زبانی بزرگ در امنیت سایبری

LLMها (همان مدل‌های زبانی بزرگ) ترند حوزه هوش مصنوعی هستند و همچنین توسط سازمان‌های امنیت اطلاعات نیز به طورگسترده تست شده‌اند. جدا از تلاش‌های مجرمانه مانند تولید ایمیل‌های فیشینگ و بدافزار با استفاده از جی‌پی‌تی، ما به این آزمایش‌های جالب (و فراوان) در استفاده از LLM برای کارهای معمول توجه می‌کنیم:

•         ایجاد توضیحات دقیق درباره تهدیدهای سایبری
•         تهیه پیش نویس گزارش های بررسی رخداد
•         جستجوی فازی در آرشیو داده‌ها و سیاهه‌های مربوط از طریق چت
•         تولید تست‌ها، موارد تست و کد برای fuzzing
•         تحلیل اولیه کد منبع دیکامپایل شده در مهندسی معکوس
•         رفع ابهام و توضیح خطوط فرمان طولانی (سرویس MDR ما در حال حاضر از این فناوری استفاده می‌کند)
•         ایجاد نکات و هشدارهایی برای نوشتن قوانین تشخیص و اسکریپت

بیشتر مقالات از پیاده‌سازی تخصصی و نوین تست‌ها می‌گویند پس آنقدری روی عملکرد ارزیابی و مانور نداشته‌اند. علاوه بر اینها، پژوهش موجود روی عملکرد کارمندان ماهر که LLMها کمکشان کرده‌اند نتایج درهمی را ارائه م‌دهد. پس چنین راهکارهایی اید به تدریج و در مراحل مختلف پیاده‌سازی آن هم با ارزیابی مقدماتی پتانسیل پس‌اندازها و ارزیابی پرجزیئات سرمایه‌گذاری در زمان و کیفیت نتیجه شوند.

[1]Pass the Ticket، یک تکنیک سرقت اعتبار که به دشمنان امکان می‌دهد از بلیط های Kerberos سرقت شده برای احراز هویت به منابع استفاده کنند.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.