روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  هوش مصنوعی به طرق مختلف می‌تواند در حوزه امنیت سایبری استفاده شود- از شناسایی تهدید گرفته تا ساده‌سازی گزارش‌دهیِ رخدادهای سایبری. با این وجود، مؤثرترین موارد استفاده، آن‌هایی هستند که به طور قابل‌ملاحظه‌ای حجم کار انسان را بدون اینکه برای آپدیت مدل‌های یادگیری ماشین و اجرای خوبشان  نیاز به سرمایه بزرگی یاشد کاهش می‌دهند. در مقاله قبلی توضیح دادیمچقدر حفظ تعادل بین شناسایی قابل‌اطمینان تهدید سایبری و نرخ‌های مثبت کاذب در مدل‌های هوش مصنوعی سخت و دشوار است. از این رو می‌توان پاسخ را راحت داد: هوش مصنوعی نمی‌تواند جایگزین متخصصین شود اما می‌تواند برخی از حجم کار انسان را با مدیریت موارد ساده کاهش دهد. افزون بر این، وقتی مدل به مرور زمان شروع به یادگیری می‌کند، دامنه این موارد ساده توسعه داده خواهد شد. برای صرفه‌جویی واقعی در زمان نیاز داریم حوزه‌های کاری را که در آن‌ها روند تغییر به نسبت شناسایی مستقیم تهدید سایبری کُندتر است شناسایی کنیم. کاندیدای تضمینی ما برای اتوماسیون پردازش رخدادهای مشکوک است (تریاژ).

قیف تشخیص

برای جمع کردن داده‌های کافی جهت شناسایی تهدیدهای پیچیده، SOC سازمانی مدرن باید میلیون‌ها رخداد روزانه را از حسگرهای کل شبکه و دستگاه‌های کانکتد جمع کند. بعد از دسته‌بندی و فیلتر اولیه با الگوریتم‌های SIEM، این رخدادهای به هزاران هشدار در مورد فعالیت بالقوه مخرب تقطیر می‌شوند. این هشدارها باید معمولاً توسط انسان بررسی شوند اما بخش کوچکی از این پیام‌ها حاوی تهدیدهای واقعی هستند. طبق داده‌های Kaspersky MDR درسال 2023، زیرساخت‌های کلاینت‌های ما میلیاردها رخداد روزانه را تولید کرد و نتیجه شد 431,512 هشدار در مورد فعالیت بالقوه مخرب که در طول سال شناسایی شد؛ اما تنها  32,294 هشدار مربوط به رخدادهای واقعی امنیتی می‌شد. این یعنی ماشین‌ها به طور مؤثری میلیاردها رخداد را غربال کردند و این درحالیست که تنها درصد کمی به دست انسان‌ها برای بررسی سپرده شد. با این وجود بین 30 تا 70 درصد این رخدادهای فوراً توسط تحلیلگرها پرچم مثبت کاذب خوردند و حدود 13 درصد بعد از بررسی عمیق‌تر به عنوان رخداد تأیید شدند.

نقش تحلیلگر خودکار در SOC

تیم MDR کسپرسکی برای فیلتر اولیه هشدارها، تحلیلگر خودکار توسعه داده است. این سیسم یادگیری ماشین نظارت‌شده روی هشدارهای سیستم SIEM -ترکیب‌شده با حکم SOC روی هر هشدار- تربیت شده و هدف این آموزش این است که AI بتواند با اطمینان مثبت کاذب‌های تولیدشده توسط فعالیت قانونی شبکه را شناسایی کند. از آنجایی که این حوزه نسبت به شناسایی تهدید از پویایی کمتری برخوردار است راحت‌تر می‌شود یادگیری ماشین را رویش پیاده کرد. یادگیری ماشین در اینجا مبتنی بر CatBoost است - یک کتابخانه محبوبِ تقویت‌کننده گرادیان. تحلیلگر خودکارِآموزش دیده هشدارها را فیلتر می‌کند و فقط آنهایی را که احتمال وقوع یک رخداد واقعی بالاتر از یک آستانه مشخص، تعیین‌شده توسط میزان خطای قابل قبول، برای بررسی انسانی است، ارسال می‌کند. در نتیجه، حدود 30 درصد از هشدارها توسط Auto-Analyst مدیریت شده  و تیم SOC را برای کارهای پیچیده تر آزاد می‌کند.

ریزه‌کاری‌های اجراییِ کار تحلیلگر خودکار

فرآیندها در عملیات SOC از اهمیت بالایی برخوردار هستند و فناوری‌های جدید نیاز به تطبیق یا ایجاد فرآیندهای جدید در اطراف آنها دارند. برای سیستم‌های هوش مصنوعی، این فرآیندها عبارتند از:

•         کنترل داده‌های آموزشی برای اطمینان از اینکه هوش مصنوعی از داده‌های صحیح یاد می‌گیرد، مجموعه آموزشی باید از قبل به طور کامل بررسی شود تا تأیید شود که احکام تحلیلگران در آن صحیح بوده است.
•         اولویت‌بندی داده‌های دریافتی هر هشدار حاوی فیلدهای اطلاعاتی متعددی است، اما اهمیت آنها متفاوت است. بخشی از آموزش شامل تخصیص "وزن" به این زمینه‌های مختلف می‌شود. بردار ویژگی مورد استفاده توسط مدل یادگیری ماشین بر اساس فیلدهایی است که توسط کارشناسان از هشدارهای SIEM انتخاب شده و لیست فیلدها به نوع هشدار خاص بستگی دارد. توجه داشته باشید که مدل می‌تواند چنین اولویت‌بندی را به تنهایی انجام دهد، اما نتایج باید تحت نظارت باشد.
•         بررسی انتخابی نتایج تیم SOC تقریباً 10٪ از احکام تحلیلگر خودکار را دوبار بررسی می‌کند تا مطمئن شود از هوش مصنوعی خطا سر نزده (مخصوصاً منفی کاذب). اگر چنین خطاهایی رخ دهد و از آستانه معینی فراتر رود (مثلاً بیش از 2 درصد احکام)، آموزش مجدد هوش مصنوعی ضروری است. اتفاقاً، بررسی‌های گزینشی نیز برای احکام تحلیل‌گران انسانی در SOC انجام می‌شود - زیرا افراد اغلب اشتباه می‌کنند.
•         تفسیر نتایج. مدل ML باید مجهز به ابزارهای تفسیری باشد تا بتوانیم منطق حکم و عوامل تأثیرگذار آن را درک کنیم. این به تنظیم مجموعه داده آموزشی و وزن ورودی کمک می‌کند. برای مثال، زمانی که هوش مصنوعی بدون در نظر گرفتن فیلد «آدرس IP منبع»، ارتباطات شبکه را به‌عنوان «مشکوک» علامت‌گذاری کرد، یک مورد نیاز به تنظیم داشت. تجزیه و تحلیل کار هوش مصنوعی با استفاده از این ابزار بخشی ضروری از بررسی انتخابی است.
•         خارج کردن تحلیل هوش مصنوعی از برخی هشدارها. برخی قوانین شناسایی آنقدری حیاتی هستند که حتی احتمال پایین فیلتر شدن‌شان توسط هوش مصنوعی غیرقابل‌پذیرش است. در چنین مواردی، باید پرچمی با عنوان «معاف از پردازش هوش مصنوعی» و پروسه‌ای بای اولویت‌بندی این هشدارها در قانون باشد.
•         بهینه‌سازی فیلترینگ. پروسه معمول لازم دیگر برای کار مؤثر تحلیلگر هوش مصنوعی در SOC، شناسایی هشدارهای مشابه است. اگر هوش مصنوعی کلی هشدار مشابه را رد کند، باید پروسه‌ای جهت آپگرید این حکم‌ها برای قوانین فیلتر داخل SIEM باشد. در حالت ایده آل، تحلیلگر هوش مصنوعی خود درخواستی برای ایجاد یک قانون فیلتر ایجاد می‌کند، که سپس توسط یک تحلیلگر مسئول SOC بررسی و تایید می‌شود.

برای مبارزه مؤثر با تهدیدهای سایبری، سازمان‌ها نیاز دارند در حوزه‌های مختلف فناوری از جمله ذخیره و تحلیل حجم بالای داده و حالا یادگیری ماشین به مهارت عمیق تر و بالاتری برسند. برای آن‌هایی که می‌خواهند خیلی سریع جای کمبود پرسنل ماهر یا سایر منابع را پر کنند توصیه می‌کنیم از سرویس واکنش و شناسایی مدیریت‌شده‌ی کسپرسکی این مهارت را در قالبی حاضر و آماده دریافت کنند. این سرویس شکار تهدید دائمی، شناسایی و واکنش به رخداد را به سازمان شما ارائه می‌دهد.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.