هزینهی جرائم سایبری به سرعت رو به افزایش است و به سختی میتوان آن را کنترل نمود. در حالی که Gartner پیشبینی کرده هزینههایی که صرف امنیت اطلاعات میشوند، امسال به 124 میلیارد دلار میرسد، محققین امنیتی نیز تخمین زدهاند که هزینهی جرائم سایبری زمانی به بیش از دو تریلیون دلار خواهد رسید و مخارج امنیتی را 16 برابر خواهد کرد.
اکثر بدافزارها صرفا آسیبپذیریهای شناختهشده را مورد حمله قرار میدهند، در حالی که Botnetها به طور میانگین تقریبا 12 روز به صورت شناسایینشده در سازمانهای هدف باقی میمانند و در بسیاری از موارد، مشکل یکی از منابع است. گسترش سریع سطح حمله (Attack Surface) از طریق تبدیل دیجیتال (Digital Transformation) و بهکارگیری بیسابقهی BYOD و دستگاههای IoT، به علاوهی پیچیدگی رو به رشد حملات و شکاف رو به گسترش در مهارتهای امنیتی، بسیاری از تیمهای امنیتی را از پای درآورده است.
به منظور برطرف ساختن این چالش، سازمانها به چیزهایی مانند یادگیری ماشین روی میآورند تا شکافهای امنیتی خود را پر کنند. در واکنش به این امر بسیاری از شرکتهای ارائهدهنده جدید در حال پیادهسازی و اجرای نوعی یادگیری ماشین در آخرین راهکارهای خود هستند. در حالی که این مهم مسالهی کنونی مدیران ارشد امنیت اطلاعاتی (CISOs) است که به دنبال راهکاری ساده و جادویی هستند تا در محافظت در برابر مجرمین سایبری به آنها کمک کند، سوال این است که آیا یادگیری ماشین میتواند به حوزهی امنیت سایبری بهای بیشتری بخشد؟
راهکارهای شناسایی و پیشگیری امنیت سایبری
بسیاری از سازمانها در حال حاضر با کیت امنیت سایبری استاندارد کار میکنند. کمدهای سیمکشی آنها نیز پر از دستگاههایی با پالیسیهای امنیتی است که بنابه ادعای شرکتهای ارائهدهنده میتوانند آخرین تهدیدات را از طریق شناسایی مبتنی بر Signature، پالیسیهای پیشساخته و آماده (Canned Policies) یا حتی پیکربندیهای مبتنی بر کاربر، شناسایی و از آنها پیشگیری نماید. حسگرهای این دسته عبارتند از فایروالها، سیستمهای پیشگیری از فقدان داده (DLP)، سیستمهای پیشگیری از نفوذ (IPS) و فیلترهای محتوای وب (WCF) و متخصصین نیز تخمین زدهاند که شاید سازمانها در شبکهی خود از راهکارهای حدود 70 شرکت ارائهدهنده امنیت برخوردار باشند. مورد بدتر این است که از آنجایی که این حسگرها به تعدد خود ادامه میدهند، بسیاری از آنها ممکن است حتی به درستی پیکربندی نشوند. بنابه گزارشی از Gartner، مسبب 99% از نقضهای امنیتی فایروالها پیکربندی اشتباه آنها بوده است.
به علاوه، بسیاری از این دستگاهها به طور کاملا جداگانه عمل میکنند و نمیتوانند هوش تهدیدات را به اشتراک گذاشته یا همبسته کنند، یا با هر شکلی از استراتژی جامع یا هماهنگ به تهدیدات پاسخ دهند. در نتیجه، حتی مانیتور نمودن این تجهیزات مستلزم یک لایهی اضافی از حسگرها، همراه با اعضای اضافی تیم امنیتی به منظور مدیریت و همبسته ساختن دستی (Hand-Correlate) رویدادهای Syslog آنها است. بدیهی است که حسگرهای بیشتر و دادههای بیشتر به افراد بیشتری نیاز دارد و با توجه به کمبود کنونی مهارتهای امنیتی، این استراتژی ماندگار نیست.
راهکارهای AI/ML سیسکو برای شناسایی رویدادها
ویدیوهای بیشتر درباره یادگیری ماشین
مفهوم یادگیری ماشین
یادگیری ماشینی (ML) زیرمجموعهای از AI است و هردوی آنها میتوانند قابلیتهای انسانی ما را با میسر ساختن کندوکاو در خلال Datasetهای بزرگ و الگوهای موضعی (Spot Pattern) رفتار یا سیگنالهای نویز، افزایش دهند، که انجام آنها برای انسان غیر ممکن است. این امر یک افزایشدهندهی توان (Force Multiplier) ارائه میکند که استعدادهای انسانی موجود ما را قادر میسازد تا ابزار UEBA (آنالیز رفتار موجودیت کاربر) و آنالیزهای رفتاری خودکار رفتار غیر معمول را بیابیم. امور روزمره را نیز میتوان با ML خودکارسازی کرد، که به منابع نادر پرسنلی امنیت سایبری، این امکان را میدهد که تمرکز خود را روی امور با ارزشتری بگذارند.
آنالیز رفتار موجودیت کاربر (UEBA)
ML و AI بر مبنای Big Data هستند و هرچه دادهی بیشتری دریافت کنند، کارآمدی و دقت آنها بهتر میشود. اما چیزی که مهم است این است که شخص دادههای درست را جمعآوری کند و در اینجاست که سیستمهای UEBA یا آنالیز رفتار موجودیت کاربر وارد کار میشوند. ترکیب دادههای رفتاری ضروری و دقیق کاربر با یادگیری ماشین این اجازه را به ما میدهد تا به طور دقیقتری کاربران را بر یک مبنای Endpoint-by-Endpoint مانیتور کنیم که قابلیت دید گستردهای نسبت به آنچه که به طور منظم بر خلاف میل ما انجام میدهند، ارائه میکند.
زمانی که یک Baseline از رفتار نرمال ایجاد میشود، هرگاه کاربر کاری انجام دهد که سیستم UEBA (آنالیز رفتار موجودیت کاربر) آن را غیر عادی در نظر بگیرد، به تیم عملیات امنیت سایبری هشدار داده میشود. اگر فعالیت مجاز کاربر به عنوان مختل علامتگذاری شود، که غالبا در طی مراحل آغازین یادگیری ممکن است رخ دهد، تحلیلگرها میتوانند آن را به عنوان فعالیت روزمره و معمول Tag نموده و یادگیری ماشین سیستم UEBA آن دادهها را یکپارچه سازد و به روال عادی کار خود برگردد. از آنجایی که یادگیری ماشین چنین خطاهایی را در اعلام هشدار کاهش میدهد، هرگاه کاربر از رفتار نرمال خارج شود این هشدارها جدیتر میشوند.
مزایای ادغام یادگیری ماشین با UEBA (آنالیز رفتار موجودیت کاربر)
استفاده از یادگیری ماشین همراه با دادههای رفتاری کاربر، سطحی از آیندهنگری امنیتی را به همراه دارد که با اتکا بر سیستمهای شناسایی و پیشگیری قدیمی و مبتنی بر Signature امکانپذیر نیست، بدین دلیل که افراد میتوانند تغییرات ریز را هم شناسایی کنند و انجام این کار با Signatureها دشوار است. به علاوه، نمیتوان به راحتی سیستمی را با هر تغییر اساسی قواعد پیکربندی نمود تا تمام حملات را شناسایی کند.
تشخیص فعالیت شناسایی سطح پایین یا Low-Level Reconnaissance Activity با استفاده از UEBA و یادگیری ماشین، پیشبینی بسیار بهتری را نسبت به ادغام یادگیری ماشین با اقدامات شناسایی قدیمی و مبتنی بر Signature، به افراد ارائه میکند. این امر مزیت بزرگ دیگری نیز دارد، بدین صورت که با قرار دادن مهاجمین در رادار مبتنی بر قواعد، کنترل شرایط را برای آنها بسیار سخت میکند.
مزایای استفاده از راهکار امنیتی UEBA (آنالیز رفتار موجودیت کاربر) بر مبنای پلتفرم یادگیری ماشین، بسیار زیاد است. از آنجایی که توانایی آنها در ایجاد یک Baseline در فعالیت شبکه، اصلاح شده است، نه تنها قادر هستند تا تغییرات مخرب در رفتار را شناسایی کنند، بلکه آن اطلاعات میتوانند با شناسایی و پیشگیری از رفتارهای مشخصی، پیش از آن که رخ دهند، آیندهنگری را نیز مقدر سازند. همچنین از آنجایی که راهکارهای یادگیری ماشین به طور کلی موارد مورد نیاز خاص خود را ارائه میکنند، به غیر از چند تغییر جزئی و کوچک در اینجا و آنجا، سربار مدیریت آنها به حداقل میرسد.
اما شاید از همه مهمتر این نکته باشد که یادگیری ماشین در زمان بسیار مناسبی وارد صحنه شده است، چراکه تعداد تحلیلگران لازم برای جستوجوی دستی در میان دادهها برای شناسایی تهدیدات، به سرعت در حال سبقت از تعداد متخصصین در دسترس است. با حذف انسان از وظیفهای که مشخصا برای آن مناسب نیست، افراد میتوانند تمرکز خود را بر حوزههایی مانند توسعه بیشتر راهکار امنیت سایبری بگذارند که باعث افزایش ارزش آن خواهد شد.
