هوش مصنوعی چه تاثیری بر امنیت سایبری خواهد داشت؟

  یک هوش خستگی‌ناپذیر

اگر کمی به عقب بازگردیم و تاریخچه جنگ‌ها را بررسی کنیم، مشاهده می‌کنیم که متخصصان نظامی از تکنیک‌های مختلفی برای جمع‌آوری و رمزنگاری اطلاعات استفاده می‌کردند تا دشمنان در صورت شنود موفق نشوند به اطلاعات حساس دست پیدا کنند. از رمزگشایی پیچیده کدهای انیگما گرفته تا عملیات جاسوسی، در همه موارد از تکنیک‌های پیچیده‌ای برای جمع‌آوری اطلاعات، رمزنگاری و رمزگشایی اطلاعات استفاده شده است، با این‌حال، تمامی این روش‌ها در گذر زمان تغییر پیدا کرده‌اند. به‌طوری که فناوری‌ها، ابزارهای ردیابی، تحلیل و مقابله با تهدیدات نیز تکامل پیدا کرده‌اند. فایل‌های رمزگذاری پیچیده، جایگزین پیام‌های رادیویی رمزگذاری شدند، به‌طوری که امروزه شکستن پیام‌های رمزنگاری شده یا گذر از لایه‌های امنیتی سخت‌تر از هر زمان دیگری شده است. با این حال، هنوز هم نقطه ضعف مکانیزم‌های امنیتی خطای انسانی است. برای بسیاری، عدم درک مقیاس و تعیین میزان خطرناک بودن یک تهدید بالقوه، عدم درک یا تفسیری از جرایم سایبری و نحوه عملکرد آن‌ها و به دنبال آن عدم اطمینان از امنیت داده‌ها و اطلاعات اولین اشتباهی است که مرتکب می‌شوند و راه را برای نفوذ هکرها به زیرساخت‌ها هموار می‌کنند. اگر تصور می‌کنید همه نقاط ضعف احتمالی که باعث آسیب‌پذیری زیرساخت می‌شوند را ترمیم کرده‌اید، باید بدانید که این دیدگاه اشتباه است و ممکن است حفره‌های امنیتی زیادی مستتر در زیرساخت ارتباطی باشند که از دید شما پنهان باقی مانده‌اند. به همین دلیل است که شرکت‌ها تصمیم گرفتند برای کاهش مخاطرات پیرامون زیرساخت‌های ارتباطی به سراغ هوش سایبری بروند. 

 هوش سایبری چیست؟

قبل از پرداختن به مقوله فوق باید با دو اصطلاح مهم فضای سایبری و امنیت سایبری آشنا شویم. فضای مجازی یک دامنه‌ جهانی در یک محیط اطلاعاتی متشکل از شبکه‌ها و زیرساخت‌های فناوری اطلاعات مثل اینترنت، شبکه‌های ارتباطی راه دور، سیستم‌های رایانه‌ای، پردازنده‌ها و کنترل‌کننده‌ها است. فضای مجازی را می‌توان در قالب سه لایه (فیزیکی، منطقی و اجتماعی) و متشکل از پنج مولفه (جغرافیایی، شبکه فیزیکی، شبکه منطقی، پرسونای سایبری و پرسونای کلی) توصیف کرد. امنیت سایبری یعنی محافظت از سیستم‌ها، شبکه‌ها و برنامه‌ها در برابر حملات دیجیتالی. دسترسی، تغییر و نابودی اطلاعات مهم، دریافت پول از کاربران و ایجاد وقفه در روال کسب‌وکارها از اهداف حملات سایبری است. پیاده‌سازی امنیت سایبری به شکل موثر و درست، از چالش‌های دنیای امروز است، زیرا هم تعداد دستگاه‌ها بیشتر شده و هم هکرها خلاق‌تر شده‌اند. امنیت سایبری از کامپیوترها، سرورها، موبایل‌ها و سیستم‌های الکترونیکی در برابر تهدیدات سایبری محافظت کرده و حول سه محور زیر قرار دارد: 

1.  حفاظت از دستگاه‌هایی که افراد استفاده می‌کنند.
2.  حفاظت از اطلاعاتی که روی این دستگاه‌ها قرار دارند.
3. حفاظت از هویت افرادی که از این اطلاعات استفاده می‌کنند.

هوش سایبری را می‌توان به عنوان ابزار یا روشی برای ردیابی، تجزیه و تحلیل و مقابله با تهدیدات دیجیتالی و امنیتی تعریف کرد. بنابراین مدیریت امنیت سایبری بخشی مهم در دفاع و پیاده‌سازی سیستم‌های بزرگ فناوری اطلاعات است. آمارها نشان می‌دهند تشخیص زودهنگام تهدیدها و واکنش سریع به حوادث سایبری نیاز به آگاهی کامل از حملات سایبری دارد و هوش مصنوعی با ردیابی نشانه‌های یک حمله نه تنها قادر به شناسایی حمله‌های مشابه است، بلکه با استناد به تجربیات گذشته قادر به شناسایی حمله‌هایی است که ممکن است در آینده پدید آیند. به همین دلیل است که امروزه بیشتر محصولات بزرگ امنیتی مبتنی بر هوش مصنوعی و رایانش ابری هستند. علاوه بر این، شرکت‌های بزرگی مثل مایکروسافت، گوگل و آمازون برای حفاظت از داده‌های حساس، ماشین‌های مجازی و اطلاعات مشتریان خود از ابزارهای مبتنی بر هوش مصنوعی برای شناسایی تهدیدها، کاهش زمان پاسخگویی و بهبود تکنیک‌ها استفاده می‌کند. 

ابزارهای مبتنی بر هوش مصنوعی 

امروزه، پنج ابزار مهم مبتنی بر هوش مصنوعی توسط شرکت‌های فعال در زمینه ارایه محصولات امنیتی به بازار عرضه شده‌اند که برای شناسایی و پیشگیری از حمله‌های سایبری در دسترس شرکت‌ها قرار دارند. 

ابزار تجزیه و تحلیل هدفمند سیمانتک: ابزار TAA سرنام Symantec’s Targeted attack analytics با استفاده از هوش مصنوعی و یادگیری‌ ماشین می‌تواند به‌طورخودکار تهدیدات را شناسایی و به مقابله با آن‌ها بپردازند. TAA اتفاقات درون شبکه را بر مبنای الگوریتم‌های یادگیری ماشین و ارزیابی داده‌ها تحلیل کرده و فعالیت‌های مشکوک را شناسایی می‌کند. 

ابزار مبتنی بر شبکه عصبی سوفوس: سوفوس از شرکت‌های معروف دنیای امنیت در زمینه ساخت نرم‌افزارها و سخت‌افزارهای امنیتی است. این شرکت ابزاری به‌نام Intercept X طراحی کرده که از یک شبکه عصبی یادگیری عمیق برای شبیه‌سازی عملکرد مغز انسان استفاده می‌کند که قبل از اجرای یک فایل، میلیون‌ها ویژگی مرتبط با فایل را استخراج و ارزیابی می‌کند و با تحلیل عمیق آن‌ها در مدت زمان 22 ثانیه مخرب بودن با نبودن فایل را تشخیص می‌دهد. به‌علاوه، این ابزار به میزان قابل توجهی قادر به مقابله با حمله‌های باج‌افزاری و بدافزارهای سکتور راه‌انداز سیستم از طریق تحلیل الگوی رفتاری است. 

ابزار مبتنی بر یادگیری عمیق Darktrace: Darktrace یک شرکت فناوری‌اطلاعات بریتانیایی امریکایی فعال در زمینه ساخت محصولات دفاع امنیتی است. این شرکت ابزاری به‌نام Darktrace Antigena برای دفاع از زیرساخت‌ها در برابر حمله‌های سایبری طراحی کرده است که می‌تواند در کنار راه‌حل‌های امنیتی برای شناسایی و مقابله با تهدیدات سایبری استفاده شود. به بیان دقیق‌تر، ابزار مذکور برای شناسایی فعالیت‌های مشکوک از سیستم Darktrace’s Enterprise Immune استفاده می‌کند و بر مبنای ارزیابی که از شدت تهدیدات به‌دست می‌آورد، واکنش مناسبی از خود نشان می‌دهد. این ابزار با استفاده از یادگیری ماشین قادر به شناسایی تهدیدهای ناشناخته و محافظت از زیرساخت‌ها بدون نیاز به دخالت کارشناسان امنیتی یا داشتن پیش‌زمینه‌ای از نمونه داده‌ها است. به بیان دقیق‌تر، این ابزار از الگوریتم یادگیری ماشین بدون ناظر و بر مبنای یکسری خط‌مشی‌های از قبل تعریف شده تهدیدات را شناسایی می‌کند و به سازمان‌ها اجازه می‌دهد در کوتاه‌ترین زمان به تهدیدها واکنش نشان دهند، بدون این‌که فعالیت‌های تجاری آن‌ها مختل شود. 

راه‌حل امنیتی مبتنی بر محاسبات شناختی آی‌بی‌ام: ابزار IBM QRadar Advisor  از ماشین شناختی آی‌بی‌ام به‌نام واتسون برای مقابله با حمله‌های سایبری استفاده می‌کند. ابزار فوق از هوش مصنوعی برای بررسی خودکار هرگونه تهدید یا نشانه مشکوکی مبنی بر یک حمله سایبری استفاده می‌کند.QRadar  از استدلال شناختی برای تسریع در چرخه پاسخ‌گویی به تهدیدات استفاده می‌کند. از ویژگی‌های شاخص ابزار مذکور به موارد زیر باید اشاره کرد:

بررسی خودکار حمله‌ها و حوادث: ‌بر اساس مستندات مبتنی بر حوادث اتفاق افتاده و استخراج داده‌های محلی از سامانه‌ها و زیرساخت‌ها به بررسی تهدیدات می‌پردازد و به کارشناسان امنیتی اعلام می‌دارند که هکرها لایه‌های دفاعی یک سیستم را دور زده‌اند یا عملکرد ابزارهای امنیتی را مختل کرده‌اند. 

ارائه استدلال هوشمندانه: با استفاده از استدلال شناختی، تهدید احتمالی را شناسایی می‌کند. به این معنا که چه عواملی مثل فایل‌های مخرب، آدرس‌های آی‌پی مشکوک و موارد این چنین باعث پدید آمدن تهدیدها شده‌اند. 

شناسایی مخاطرات با اولویت بالا: ابزار فوق به کسب‌وکارها اجازه می‌دهد به اطلاعات مهمی درباره یک حادثه، مانند این‌که بدافزاری اجرا شده یا خیر با استناد به شواهد موجود دست پیدا کنند. این اطلاعات ارزشمند به کسب‌وکارها کمک می‌کند در کوتاه‌ترین زمان و بر مبنای بهترین الگوهای امنیتی به مقابله با تهدیدات بپردازند. 

کسب اطلاعات مهم در مورد نحوه عملکرد کاربران: از طریق ادغام با برنامه تحلیل رفتار کاربر (User Behavior Analytics) قادر به شناسایی هر رفتار مشکوکی است و در ادامه به سرپرستان شبکه اعلام می‌دهد که این فعالیت‌ها چه تاثیری بر عملکرد سامانه‌ها می‌گذارند. 

زیرساخت شناختی وکترا: زیرساخت Vectra’s Cognito  از هوش مصنوعی برای شناسایی بلادرنگ تهدیدات سایبری و حمله‌های هکری استفاده می‌کند.Cognito  به‌طورخودکار تهدیدها را تشخیص و هکرهایی که سعی می‌کنند از ابزارهای مختلفی برای پنهان‌سازی ردپای خود استفاده کنند را شناسایی می‌کند. به‌علاوه، از الگوریتم‌های تشخیص رفتار برای جمع‌آوری فراداده‌های شبکه، گزارش‌ها و رخدادها استفاده می‌کند. ‌ابزار فوق گزارش‌ها را تجزیه و تحلیل و آن‌ها را ذخیره‌سازی می‌کند تا هکرها و دستگاه‌هایی که از آن‌ها استفاده می‌کنند را شناسایی کند. به بیان دقیق‌تر، قادر است حمله‌هایی که از طریق دستگاه‌های توکار یا اینترنت اشیا انجام می‌شوند را نیز شناسایی کند. زیرساخت مذکور از دو بخش اصلی

Cognito Detect (با استفاده از یادگیری ماشین، علم داده‌ها و تجزیه و تحلیل رفتاری، حمله‌های هکری را به شکل بلادرنگ بر مبنای خط‌مشی‌های از پیش تعریف شده شناسایی می‌کند) و Cognito Recall (از داده‌های موجود برای تعیین تهدیدها و حمله‌ها استفاده می‌کند تا سرعت تشخیص و شناسایی تهدیدها را افزایش داده و بخش‌هایی که تحت تاثیر حمله‌های سایبری قرار گرفته‌اند را به سرعت شناسایی کنند) تشکیل شده است. 

 هوش تهدیدات سایبری 

هوش تهدید اطلاعاتی است که از جمع‌آوری، پردازش و تحلیل داده‌ها به‌دست می‌آید و می‌توان برای مقابله با تهدیدهای سایبری از آن استفاده کرد. به بیان دقیق‌تر، هوش تهدید یا هوش تهدید سایبری به اطلاعاتی اشاره دارد که سازمان‌ها می‌توانند از آن برای مقابله با تهدیدهای سایبری استفاده کنند. برعکس داده‌های خام، هوش تهدید برای دستیابی به بینش عملیاتی نیازی به  تجزیه و تحلیل اولیه ندارد. بنابراین، هوش تهدید پس از جمع‌آوری داده‌ها، اقدام به پردازش و تجزیه و تحلیل آن‌ها می‌کنند تا کارشناسان بتوانند از این اطلاعات برای اخذ تصمیمات درست استفاده کنند. هوش تهدید به جای این‌که یک فرایند end-to-end باشد، مبتنی بر یک فرایند چرخشی به‌نام چرخه هوش تهدید است. این فرایند از این جهت یک چرخه است که ممکن است در جریان پیاده‌سازی آن پرسش‌ها و شکاف‌های اطلاعاتی جدیدی ایجاد شده یا نیازمندی‌های جدیدی در مجموعه تعریف شود که بازگشت به مرحله اول را اجتناب‌ناپذیر می‌کنند. به‌طور معمول، چرخه هوش تهدید سایبری از چند مرحله زیر ساخته شده است:

• برنامه‌ریزی و جهت‌دهی: ملزومات جمع‌آوری داده‌ها مشخص می‌شوند. در این مرحله پرسش‌هایی که قابلیت تبدیل شدن به اطلاعات عملیاتی دارند، مطرح می‌شوند.
• جمع‌‌آوری: پس از تعریف الزامات جمع‌آوری، داده‌های خام مربوط به تهدیدهای فعلی و آتی جمع‌آوری می‌شود. در این زمینه، می‌توان از منابع متنوع هوش تهدید مانند گزارش‌ها و مستندات داخلی، اینترنت و منابع دیگر که اطلاعات قابل استنادی دارند استفاده کرد.
• پردازش: در این مرحله، داده‌های جمع‌آوری شده با برچسب‌های فراداده سازماندهی شده و اطلاعات اضافه، درست یا اشتباه بودن و هشدارهای مثبت کاذب حذف می‌شوند. به‌علاوه از راه‌حل‌هایی مثل SIEM و SOAPA برای تسهیل در سازمان‌دهی داده‌های جمع‌آوری شده استفاده می‌شود. 
• تجزیه و تحلیل: این مرحله وجه تمایز هوش تهدید از جمع‌آوری و انتشار ساده اطلاعات است. در این مرحله، با استفاده از روش‌های تحلیل ساختاری، داده‌های پردازش شده‌ مرحله قبل تحلیل می‌شوند تا فیدهای هوش تهدید سایبری ایجاد و تحلیل‌گران به کمک آن‌ها بتوانند به شناسایی شاخصه‌های تهدید IOCها سرنام (Indicators of Compromise) بپردازند. از جمله شاخصه‌های تهدید باید به لینک‌ها، وب‌سایت‌ها، ایمیل‌ها، ضمائم ایمیل و کلیدهای رجیستری مشکوک اشاره داشت.
• انتشار: در این مرحله، خروجی تحلیل شده در اختیار افراد مناسب قرار می‌گیرد. قابلیت ردیابی در این مرحله به‌شکلی است که باعث ایجاد تداوم بین چرخه‌ها می‌شود.
• بازخورد: متخصصان اطلاعات خروجی را دریافت کرده و بررسی می‌کنند که آیا راه‌حل‌های ارایه شده به درستی به پرسش‌های تعیین شده پاسخ داده‌اند خیر. اگر پاسخ‌دهی مطابق انتظار باشد، چرخه به پایان می‌رسد، در غیر این صورت نیازمندی جدید تعریف شده و مرحله اول از ابتدا آغاز می‌شود. 

همان‌گونه که مشاهده می‌کنید، هوش تهدیدات سایبری اطلاعاتی در مورد تهدیدها و عامل‌های تهدیدات که به کاهش وقوع حوادث در فضای سایبری کمک می‌کنند، جمع‌آوری می‌کند. در این روش، توسعه و پیشرفت هوش مصنوعی به جای این‌که در یک فرایند انتها به انتها توسعه یابد مبتنی بر یک حرکت دوار است که از آن به عنوان چرخه هوش یاد می‌شود. در این چرخه که شامل جمع‌آوری داده‌ها، برنامه‌ریزی، اجرا و ارزیابی است، الزامات امنیتی تعیین می‌شوند و از این اطلاعات برای ساخت هوش تحلیل‌کننده استفاده می‌شود. نکته مهمی که باید به آن دقت کنید این است که بخش تجزیه و تحلیل چرخه هوش از بخشی که اطلاعات در آن جمع‌آوری و انتشار پیدا کرده متمایز می‌شوند. بنابراین، ‌اگر سازمانی بخواهد به سطح بلوغ در زمین هوش تهدید برسد، باید این چرخه را پیاده‌سازی کند. 

تجزیه و تحلیل هوش امنیتی، متکی به یک رویکرد دقیق فکری است که از تکنیک‌های تحلیلی ساختاریافته برای اطمینان در مورد قطعیت‌ها و عدم قطعیت‌ها برای شناسایی و مدیریت تهدیدات استفاده می‌کند، به‌طوری که تحلیل‌گران از هوش تهدید تنها برای حل مسائل دشوار استفاده نمی‌کنند، بلکه در زمینه انتخاب بهترین راه‌حل نیز بهره می‌برند.

انواع هوش تهدیدات سایبری 

محصول نهایی هوش تهدید به تناسب نیازهای اولیه، منابع هوش تهدید و ذی‌نفعان متفاوت است. به‌طور کلی سه نوع هوش تهدید به شرح زیر وجود دارد:

• هوش تهدید راهبردی: این نوع هوش تهدید روندهای وسیع یا مشکلات بلندمدت را پوشش می‌دهد. هوش تهدید راهبردی می‌تواند تصویری کلی از هدف و توانایی‌های تهدیدهای سایبری ایجاد و به تصمیم‌گیری‌های آگاهانه و هشدارهای فوری کمک کند. هوش‌ مذکور، اطلاعاتی در مورد مخاطرات مهم که می‌توانند برای پیشبرد استراتژی‌های طراز اول سازمانی استفاده شوند ارایه می‌کند. این هوش با هدف منسجم کردن دیدگاه‌ها و یکسان‌سازی اطلاعات متفاوت استفاده می‌شود و به کارشناسان در مورد مخاطرات بلندمدت و مقابله به‌هنگام با تهدیدها اطلاعات لازم را می‌دهد. هوش راهبردی با شناسایی روندها، الگوها و تهدیدها و خطرات در حال ظهور، تصویری کلی از اهداف و توانایی‌های تهدیدات سایبری مخرب ارایه می‌کند. 
• هوش تهدید فنی: این نوع از هوش تهدید از عملیات‌ها و رویدادهای روزانه پشتیبانی می‌کند و الگویی ساختاری از تاکتیک‌ها، تکنیک‌ها و رویه‌های مورد استفاده تهدیدگران در اختیار کارشناسان فنی قرار می‌دهد. هوش فنی به معیارهایی مثل آدرس‌های آی‌پی، نام فایل‌ها و هش‌ها که برای شناسایی عوامل تهدید استفاده شوند، اشاره دارد. هوش فنی قادر به شناسایی بلادرنگ اتفاقات و فعالیت‌های مشکوک است و به عنوان بازوی کمکی در اختیار کارشناسان امنیتی قرار می‌گیرد. 
• هوش تهدید عملیاتی: به‌طور کامل تخصصی است و پیرامون حمله‌ها، کمپین‌ها، بدافزارها یا ابزارهای مشخص قرار دارد. هوش تهدید عملیاتی می‌تواند به صورت یک گزارش بازرسی امنیتی باشد. به‌طور کلی، هوش عملیاتی جزئیاتی در مورد انگیزه یا توانایی تهدیدکنندگان (ابزارها، تکنیک‌ها و روش‌های آن‌ها)، اطلاعاتی در ارتباط با حوادث خاص مربوط به وقایع ارایه کرده و بینش‌هایی را ارائه می‌دهد که می‌توانند عملیات پاسخ‌گویی را خط‌دهی کنند. اطلاعات تهدیدات سایبری عملیاتی به‌طور کامل تخصصی هستند و برای تیم‌های پاسخ‌گویی به واکنش‌ها طراحی شده‌اند. این اطلاعات اغلب مربوط به کمپین‌ها، بدافزارها یا ابزارهایی است که هکرها از آن‌ها استفاده کرده‌اند و در جرم‌شناسی دیجیتال قابل استفاده هستند. 

مزایای مهم هوش تهدیدات سایبری 

• به سازمان‌ها اجازه می‌دهد تا خط‌مشی‌های امنیتی واحدی در برابر تهدیدات اتخاذ کنند و خط‌مشی‌های سایبری مدیریت مخاطره را بهبود بخشند. 
•  به کارشناسان در واکنش زودهنگام به تهدیدات کمک می‌کند. 
•  تشخیص بهتر تهدیدات را امکان‌پذیر می‌کند. 
•  در زمان تشخیص و شناسایی نفوذ سایبری به تصمیم‌گیری آگاهانه و منطقی کمک می‌کند. 
•  سرعت ردیابی تهدیدات را بیشتر می‌کند. الگوریتم‌های انطباقی یا یادگیری ماشین که در یک سیستم امنیتی هوشمند طراحی شده‌اند، می‌توانند به تهدیدات بلادرنگ و پویا نیز پاسخ دهند. 

 کاربردهای مهم هوش مصنوعی در دنیای واقعی

سازمان‌ها می‌توانند برای تقویت زیرساخت‌های امنیتی از هوش مصنوعی استفاده کنند. مثال‌های زیادی در این زمینه وجود دارند. به‌طور مثال، جیمیل از یادگیری ماشین برای مسدود کردن هرزنامه‌ها استفاده می‌کند. گوگل می‌گوید، الگوریتم این شرکت روزانه 122 میلیون اسپم را مسدود می‌کند. آی‌بی‌ام با سامانه شناختی واتسون که مبتنی بر یادگیری ماشین است برای شناسایی تهدیدات سایبری و ارایه راه‌حل‌های امنیت سایبری استفاده می‌کند. به‌علاوه، گوگل از یادگیری ماشین عمیق برای سازمان‌دهی ویدیوهای ذخیره شده در فضای ابری این شرکت (یوتیوب) استفاده می‌کند. در این بستر، ویدیوهای ذخیره شده در سرور بر اساس محتوا و زمینه آن تحلیل می‌شوند و اگر مورد مشکوکی شناسایی شود، یک هشدار امنیتی برای متخصصان ارسال می‌کنند. به همین دلیل است که فیلم‌های دارای کپی‌رایتی که روی این بستر آپلود می‌شوند به سرعت شناسایی و حذف می‌شوند. Balbix برای محافظت از زیرساخت فناوری اطلاعات در برابر نقض داده‌ای و پیش‌بینی فعالیت‌های خطرپذیر از یادگیری ماشین استفاده می‌کند. 

کلام آخر

آمارها به وضوح نشان می‌دهند که به زودی، سامانه‌های مجهز به هوش مصنوعی به بخش ‌جدایی‌ناپذیر راه‌حل‌های صنعت امنیت سایبری تبدیل می‌شوند. به‌علاوه، هکرها نیز از هوش مصنوعی برای آسیب‌زدن به سازمان‌ها استفاده می‌کنند که عملا این فناوری خود در برابر تهدیدات سایبری به یک سوژه تبدیل می‌شود که باید راهکاری برای محافظت از آن پیدا شود.