همین موضوع باعث شده است کارشناسان دنیای امنیت همواره شرایط سختی را پشت سر بگذارند. به دلیل اینکه آنها مجبور هستند هر بسته دادهای که مبادله شده و ممکن است پتانسیل یک شرایط بحرانی را بهوجود آورد مورد نظارت و بررسی قرار دهند. از طرفی سازمانها برای پیادهسازی استراتژیهای دفاعی خود مجبور هستند کارشناسان حوزه امنیت را استخدام کنند. اما طبیعی است این رویکرد یک درمان مقطعی به شمار میرود.
دنیای امنیت برای آنکه بتواند مشکل آسیبپذیریهای امنیتی را حل کند، در نهایت تصمیم گرفت دست به دامان استعدادهای برتر این رشته شود. سازمانها و شرکتها تحت فشار زیاد مجبور شدند این پستهای امنیتی خالی را به سرعت پر کنند. اما بهنظر میرسد دنیای فناوری قادر است راهحل کارآمدتری را برای حل مشکلات امنیتی در اختیار سازمانها قرار دهد. کلید حل این مشکلات در دستان یادگیری ماشینی قرار دارد. پدیدهای که بهسرعت جای پای خود را در صنایع مختلف باز کرده و امروزه به شعار اصلی سیلیکون ولی تبدیل شده است. در حالی که روزبهروز مشاغل بیشتر و بیشتری تحت سلطه روباتها و هوش مصنوعی قرار میگیرند، سوال اصلی این است که آیا اساسا این امکان وجود دارد تا حل مشکلات امنیتی را به هوشمصنوعی بسپاریم؟ آنهم در شرایطی که امنیت سایبری مقوله پیچیدهای بهشمار میرود. شغلی که تا پیش از این تنها کارشناسان حرفهای این حوزه مسئولیت رسیدگی بهآنها را بر عهده داشتند و همواره با استدلالهای قوی خود قادر به شناسایی مشکلات بودند. در جواب این پرسش باید بگوییم دنیای امنیت در حال یک دگردیسی است و بهنظر میرسد بهترین راهحلی که پیش روی ما قرار دارد، یک رویکرد هوشمندانه تطبیقی است. شرکتهای فعال در حوزه فناوری و فروشندگان محصولات امنیتی از مدتها پیش بهدنبال روشهایی بودند تا این فناوری داغ را به زرادخانه دفاعی سایبری خود بیافزایند و تا حدودی در انجام اینکار موفق شدهاند.
رویای دور از انتظار یا واقعیتی ملموس
سیمون کرازبی، مدیر ارشد فناوری در شرکت برومیوم، از یادگیری ماشینی بهعنوان یک واقعیت ملموس یاد کرده است. او استدلال خود در رابطه با دنیای امنیت را اینگونه مطرح کرده است: «هیچگونه گلوله نقرهای در دنیای امنیت وجود ندارد. شما همواره در رویارویی با غیرمستقیمترین تهدیدات ذهنی قرار دارید. این ایدههای مخرب از سوی افرادی انتشار مییابند که بهخوبی میدانند ماشینها چگونه کار میکنند و چگونه میتوان قابلیتهای یادگیری ماشینی را دور زد. بیشتر حملات از پس مراحل کوچک و همراه با کمترین جزییات و شواهد ناگهان خود را نشان میدهند و اغلب در پوشش درخواستهای قانونی و دستورات پنهانی عملیاتی میشوند.»
مایک پیکت، معاون محصولات در شرکت پریلرت اینگونه استدلال میکند: «یادگیری ماشین جوابی است که دنیای امنیت به رخنههای پیشرفته شناسایی شده، ارائه میکند. یادگیری ماشینی همانند ستاره پر فروغی است که در دنیای امنیت اطلاعات خود را نشان خواهد داد. محیطهای مرتبط با فناوری اطلاعات نهتنها بهشکل فزایندهای پیچیده شدهاند، بلکه حجم دادههایی که تولید میکنند و این دادهها باید تحلیل شوند چند برابر ظرفیت مغز یک انسان است. به طوری که در عمل مغز انسان توانایی نظارت و ارزیابی فعالیتهای مخرب از غیرمخرب را بر مبنای این حجم از دادهها ندارد.»
استفان جو، مدیر ارشد فناوری در شرکت interest از طرفداران ورود یادگیری ماشینی به دنیای امنیت سایبری است. با اینوجود او به این نکته اشاره دارد که هوش مصنوعی هنوز این آمادگی را ندارد تا جایگزین عامل انسانی شود. اما این توانایی را دارد تا تلاشهای انسانی را با خودکارسازی روند تشخیص الگوها بهبود بخشد.
یادگیری ماشینی و تاثیرگذاری بیبدیل آن بر دنیای امنیت سایبری یک واقعیت غیر قابل انکار است. این فناوری قادر است موقعیتهای متفاوت از یکدیگر را بهخوبی تشخیص داده و حتی اگر این توانایی را نداشته باشد تا راهحل کاملی ارائه کند، این پتانسیل را دارد تا برای بهبود مبارزه با جرایم اینترنتی مورد استفاده قرار گیرد.
یادگیری ماشینی تحت نظارت
هشدارهای مثبت کاذبی که بیش از اندازه از سوی یادگیری ماشینی ارائه میشوند به یکی از چالشیترین بحثها در زمینه ورود یادگیری ماشینی به دنیای امنیت تبدیل شدهاند. این هشدارهای مثبت کاذب نه تنها کارشناسان امنیتی را خسته میکنند، بلکه به مرور زمان باعث میشوند یک حس بیتفاوتی در میان این افراد بهوجود آید. از سوی دیگر، کنار گذاشتن یادگیری ماشینی برای بسیاری از شرکتها به واسطه حجم بالای دادههایی که تولید میکند و حوادثی که ممکن است برای شبکههای ارتباطی آنها بهوجود آید، امکانپذیر نیست. بهسبب آنکه حجم زیاد دادههای تولید شده فراتر از ظرفیت کارشناسان انسانی است. واقعیت این است که هیچ یک از دو عامل هوش مصنوعی و کارشناسان خبره انسانی به تنهایی قادر نیستند با این تهدیدات مبارزه کرده و راهحلهای جامعی را برای دفع این حملات ارائه کنند. در نتیجه این دو عامل بهجای آنکه با یکدیگر به رقابت بپردازند یا سعی کنند یکدیگر را به چالش بکشند باید به یکدیگر محلق شوند تا قادر به ارائه راهحلهای جامعی باشند. آزمایشگاه هوش مصنوعی و علوم کامپیوتری موسسه فناوری ماساچوست (CSAIL) تلاشهای قابل توجهی در این زمینه داشته است که ماحصل این تحقیقات توسعه سامانهای است که AI2 نام دارد. یک پلتفرم امنیت سایبری تطبیقی که از یادگیری ماشینی استفاده کرده و از تحلیلهایی که کارشناسان در اختیارش قرار میدهند بهمنظور انطباق بیشتر و بهبود عملکردهای خود استفاده میکند.
این سامانه همانگونه که از نامش پیدا است هوشمصنوعی و بینش تحلیلگرانه را بهمنظور شناسایی موارد مشکوک با یکدیگر ترکیب کرده و دهها میلیون قطعه دادهای که log lines نامیده شده و هر روزه برای این سامانه ارسال میشوند را آزمایش میکند. دادههای فیلتر شده در نهایت در اختیار عامل انسانی قرار داده میشوند تا مورد تحلیل قرار گیرند. این عامل انسانی بازخوردهایی را در اختیار AI2 قرار داده تا در آینده بتواند تهدیدات واقعی و درست را شناسایی کند. با گذشت زمان، آهنگ یادگیری این سامانه سرعت بیشتری بهخود گرفت و این توانایی را به دست آورد تا از اشتباهات و موفقیتهای خود درس گرفته و سرانجام به مکانیزمی تبدیل شود که بهصورت بلادرنگ رخنههای واقعی را شناسایی کرده و هشدارهای مثبت کاذب کمتری را تولید کند. کیلین ویراماچنینی، رهبر این پروژه تحقیقاتی میگوید: «اساسا، بزرگترین مزیتی که پیرامون سامانه AI2 وجود دارد این است که ما موفق شدیم تنها 100 یا 200 رویداد تحلیلی در روز را نشان دهیم. اگر این رقم را با ده هزار رخداد امنیتی که کارشناسان دنیای امنیت باید هر روزه بهآن رسیدگی کنند مورد مقایسه قرار دهید، مشاهده میکنید که این سامانه در نوع خود یک شاهکار است. این سامانه در بازه زمانی 90 روزهای که مورد آزمایش قرار گرفت، نزدیک به 40 میلیون قطعه دادهای تولید شده از سوی سایتهای تجارت الکترونیک را مورد بررسی قرار داد. بعد از آن که فرآیند آموزش این سامانه به اتمام رسید، نتایج واقعا چشمگیر بودند. به سبب آنکه AI2 موفق شد به میزان 85 درصد حملات را بدون آنکه به مساعدت عامل انسانی نیازی داشته باشد، شناسایی کند.»
بیشتر حملات از پس مراحل کوچک و همراه با کمترین جزییات و شواهد ناگهان خود را نشان میدهند و اغلب در پوشش درخواستهای قانونی و دستورات پنهانی عملیاتی میشوند
شرکت فنلادی F-Secure، شرکت دیگری است که روی تلفیق هوش انسانی و ماشینی سرمایهگذاری قابل توجهی کرده، امیدوار است با کاهش مدت زمان لازم برای شناسایی و پاسخگویی به حملات سایبری، وضعیت امنیت سایبری را بهبود بخشد. بهطور متوسط، سازمانها به چند ماه زمان برای شناسایی یک رخنه نیاز دارند. F-Secure در نظر دارد با استفاده از سامانه Rapid Detection Service این بازه چند ماه را تنها به 30 دقیقه کاهش دهد. شیوه کارکرد سیستم فوق به این شکل است که ترکیبی از دادههای مربوط به نرمافزارهای نصب شده روی ایستگاههای کاری مشتریان و حسگرهایی که در بخشهای مختلف یک شبکه نصب شدهاند را جمعآوری میکند. دادههای جمعآوری شده بهمنظور تغذیه موتور تحلیلگر رفتاری و موتور شناسایی تهدیدات هوشمند مورد استفاده قرار میگیرد. این موتورها از یادگیری ماشینی برای طبقهبندی نمونههای ورودی، مشخص کردن رفتار طبیعی، شناسایی ناهنجاریها و موارد کمتر شناخته شده استفاده میکنند. این سامانه از تحلیلهای بلادرنگ نزدیک به زمان واقعی برای شناسایی تهدیدات امنیتی شناخته شده، از تحلیل دادههای ذخیره شده بهمنظور مقایسه نمونهها با دادههای تاریخی و از تحلیل کلان دادهها بهمنظور شناسایی تهدیداتی که در حال تکامل هستند استفاده میکند.
دادههای موردنیاز این سامانه در قالب مجموعهای از دادههای ناشناس که از تعداد زیادی از مشتریان بهدست میآید، جمعآوری میشود. در قلب این سامانه تیمی از کارشناسان خبره امنیت سایبری قرار دارند. افرادی که از طریق نتایج بهدست آمده از تجزیه و تحلیلهای یادگیری ماشینی در نهایت بهمنظور شناسایی و رسیدگی به حوادث امنیتی آتی استفاده میکنند. بخش عمدهای از اینکار از طریق یادگیری ماشینی انجام میشود، جایی که توسعهدهندگان و مهندسان نرمافزار بر روی بهرهوری بیشتر و قدرت بالاتر این سامانه در ارتباط با مفاهیم پیشرفتهای همچون شناسایی روابط موجود میان تهدیدات، حمله مهندسی معکوس و افزایش کلی راندمان سیستم متمرکز هستند. ارکا ﮐﻮﯾﻮﯾﻮﻧﻦ (Erka Koivunen)، مشاور امنیت سایبری F-Secure در این ارتباط گفته است: «مولفه انسانی یک فاکتور مهم است. هکرها انسان هستند درنتیجه برای شناسایی آنها نمیتوانید تنها به ماشینها متکی باشید. کارشناسان ما میدانند هکرها چگونه فکر میکنند و از تاکتیکهای خیلی زیادی به منظور پنهان نگاه داشتن حضور خود استفاده میکنند. تاکتیکهایی که به آنها کمک میکند از دید استاندارهایی که در زمینه تشخیص آنها مورد استفاده قرار میگیرند، بهدور باشند.»
پالایش دادههای بدون ساختار
در حالی که دادههای جمعآوری شده از نقاط پایانی و ترافیک شبکه بهمنظور شناسایی تهدیدات کمک کننده هستند، اما تنها بخش کوچکی از دنیای لایتناهی امنیت سایبری را شامل میشوند. بخش بزرگی از اطلاعات و هوشمندی که برای شناسایی و دفاع از سازمانها در برابر تهدیدات به آنها نیاز است از دل دادههای بدون ساختاری که درون منابعی همچون پستهای وبلاگی، مقالات پژوهشی، اخبار و پستهای اجتماعی قرار دارند بهدست میآیند. کارشناسان امنیت سایبری به دنبال طراحی سامانههایی هستند که بتوانند این منابع را درک کنند. آیبیام غول بزرگ دنیای فناوری درنظر دارد با استفاده از قابلیتهای پردازش زبان طبیعی این شکاف را پر کند. برای نیل بهاین هدف چه زیرساخت هوشمندی بهتر از واتسون میتواند بهاین مهم دست پیدا کند. آیبیام در نظر دارد از قابلیتها و مزایای منحصر به فرد واتسون در زمینه پالایش دادههای بدون ساختار و خواندن مقالات و یادگیری مفاهیمی که درون هزاران سند امنیتی بوده و این اسناد هر ماه منتشر میشوند استفاده کند. این شرکت درنظر دارد از طریق دانشی که بر مبنای تجزیه و تحلیل در اختیار واتسون قرار میدهد بهمنظور شناسایی تهدیدات و پیشگیری از بروز تهدیدات سایبری استفاده کند.
کالبی بارلو، معاون مدیر بخش امنیت آیبیام در این ارتباط به سایت وایرد گفته است: «تفاوت کاملا محسوسی میان آموزش واتسون و آموزش نیروی انسانی وجود دارد. این تفاوت بهاین واقعیت اشاره دارد که واتسون هیچگاه نکتهای را فراموش نمیکند.» ترکیب این قابلیت با دادههایی که قبلا زیرساخت سامانه شناسایی تهدیدات آیبیام موسوم به X-Force Exchange آنها را جمعآوری کرده به واتسون کمک میکنند تا بینش لازم در این زمینه را بهدست آورد. آیبیام در نظر دارد بهمنظور جبران کمبود استعداد در حوزه امنیت، سطح تواناییهای واتسون و بهرهوری این زیرساخت شناختی را افزایش داده تا واتسون بهعنوان یک دستیار متخصص بهمنظور کاهش نرخ تولید هشدارهای کاذب مورد استفاده سازمانها قرار گیرد. با این حال بارلو تصور نمیکند که واتسون بهعنوان جایگزینی برای انسانها مورد استفاده قرار گیرد. او در این ارتباط به فورچون گفته است: «این پیشرفت بهمنظور جایگزینی نیروی انسانی نیست، بلکه در مورد این است که بتوانیم ابرانسانهایی را آماده کنیم.» اگر آزمایشها موفقیتآمیز باشند، واتسون تا یک سال دیگر بهعنوان یک سرویس ابری و تحت عنوان Watson for Cyber Security برای تامین امنیت سازمانی استقرار خواهد یافت. تا آن زمان واتسون باید نکات بسیاری درباره اینکه امنیت سایبری چگونه کار میکند یاد بگیرد. شاهکار خارقالعادهای که آموختن آن کار سادهای نیست.
اگر آزمایشها موفقیتآمیز باشند، واتسون تا یک سال دیگر بهعنوان یک سرویس ابری و تحت عنوان Watson for Cyber Security برای تامین امنیت سازمانی استقرار خواهد یافت. تا آن زمان واتسون باید نکات بسیاری درباره اینکه امنیت سایبری چگونه کار میکند یاد بگیرد. شاهکار خارقالعادهای که آموختن آن کار سادهای نیست
استارتآپ امنیت سایبری Massice Alliance از یک رویکرد کمی متفاوتتر بهمنظور جمعآوری اطلاعات از درون دادههای بدون ساختار استفاده میکند. پلتفرم امنیت سایبری این استارتآپ موسوم به Strixus از مجموعهای از ابزارهای اختصاصی پیچیده استفاده میکند که قادر هستند اطلاعات مشتریان این استارتآپ را بهطور ناشناس از بستر وب ( موتورهای جستجوی عمومی)، وب عمیق (صفحات غیرنمایه شده) و دارک وب (شبکههای مبتنی بر پروتکل ناشناسکننده) جمعآوری کنند.
دادههای جمعآوری شده توسط یک موتور یادگیری ماشینی مبتنی بر احساسات (sentiment-based) بهمنظور درک احساسات عمومی که درون محتواهای مختلف قرار دارند استفاده میکند. موتورهایی که در پسزمینه این فناوری قرار دارند، موتورهای ریاضی هستند. این موتورها قادر هستند بر مبنای فعالیتهایی که از سوی بازیگران تهدید (افراد مشکوک) انجام میشوند، مدلهای تطبیقی رفتاری ارائه کرده و خطری که از جانب آنها ممکن است مشتریان را تحت الشعاع خود قرار دهد را مشخص کنند. نتایج بهدست آمده در نهایت از سوی تحلیلگران اطلاعات، افرادی که دانش کافی در این زمینه داشته و قادر به درک خطرات بالقوه هستند تایید میشود. این فناوری قادر است تهدیدات را شناسایی کرده و به سازمانها درباره انتشار بالقوه اطلاعاتی که ممکن است موقعیت آنها را در معرض خطر قرار دهد هشدار دهد. بروک زیماتور، مدیرعامل این استارتآپ در این ارتباط گفته است: «تا به امروز هوش انسانی در نوک پیکان هوشمندی در انجام یکسری از عملیات خاص یا در زمان بروز بحرانهای تاثیرگذار قرار داشت، با اینحال تمرکز بر فناوریهایی همچون یادگیری ماشینی در تمامی صنایع بهعنوان عاملی برای غلبه بر محدودیتهای انسانی ضروری است.»
آیا هوش مصنوعی جایگزین کارشناسان امنیت سایبری میشود؟
هنوز خیلی زود است که اعلام کنیم آیا هر کدام از این دستاوردها در نهایت این پتانسیل را خواهند داشت تا راهحلهای مبتنی بر یادگیری ماشینی را جایگزین کارشناسان امنیت سایبری کنند یا خیر. اما این احتمال وجود دارد که در آینده این شرایط تغییر پیدا کنند. در مقطع فعلی انسانها و روباتها ممکن است هیچ گزینه دیگری بهجز اتحاد با یکدیگر نداشته باشند. بهویژه آنکه تهدیدات سایبری بهشکل روزافزونی پیش روی آنها قرار میگیرند. هرچند در خفا ممکن است این دو عامل در تقابل با یکدیگر قرار داشته باشند.
شبکه