هوش مصنوعی راه حل آینده امنیت سایبری/ چرخه هوش تهدید اطلاعاتی
صدای ایران/ حمید سعادتی- سجاد عابدی رئیس مرکز مطالعات امنیت سایبری کشور طی مقاله ای که در اختیار این پایگاه خبری گذاشته است به تحلیل هوش مصنوعی و چشم انداز آن در امنیت سایبری را مورد تحلیل قرار داده است که در زیر می آید.
درباره هوش مصنوعی شاخه ای از علوم کامپیوتر است که در آن به ساخت ماشین هایی هوشمند پرداخته میشود که مانند انسانها عمل میکنند و واکنش انجام میدهند. یک عامل هوشمند، سیستمی است که با شناخت محیط اطراف خود، شانس موفقیت خود را پس از تحلیل و بررسی افزایش میدهد. هوش مصنوعی در آینده ای نه چندان دور زندگی بیشتر انسانها را تحت تاثیر قرار خواهد داد. استفاده کسب و کارها از سیستم های هوش مصنوعی برای مقابله با تهدیدهای سایبری در حال افزایش است. بر این اساس، دو سوم از سازمانها تایید کرده اند که بدون استفاده از هوش مصنوعی، نمیتوانند در مقابل تهدیدها واکنش درست نشان دهند. به این ترتیب، با افزایش تعداد ابزارها، شبکه ها و رابطه کاربری که نتیجه پیشرفت سیستم های ابری، اینترنت اشیا و فناوری های ارتباطاتی اند، سازمانها باید امنیت سایبری خود را ارتقا دهند. سیستم های دفاع سایبری آینده در کنار امکانات امروزی قطعا باید از امکانات هوشمند درک، پیشبینی و پیشگیری انواع حملات سایبری پیچیده برخوردار باشند. نکته مهمی که وجود دارد این است که بجای اینکه به هوش مصنوعی به عنوان ناجی سایبری خود بنگریم، باید تمرکز را بر روی راه حل های سنتی قرار دهیم: کنترل، نظارت و درک تهدیدات بالقوه. سپس، با علم به اینکه کاربران ما چه کسانی هستند، چه دستگاه هایی را برای چه اهدافی استفاده میکنند، و حصول اطمینان از اینکه این سامانه ها میتوانند توسط هوش مصنوعی محافظت شوند، میتوان بکارگیری و آموزش هوش مصنوعی را آغاز کرد.
اگر کمی به عقب بازگردیم و تاریخچه جنگها را بررسی کنیم، مشاهده میکنیم که متخصصان نظامی از تکنیکهای مختلفی برای جمعآوری و رمزنگاری اطلاعات استفاده میکردند تا دشمنان در صورت شنود موفق نشوند به اطلاعات حساس دست پیدا کنند. از رمزگشایی پیچیده کدهای انیگما گرفته تا عملیات جاسوسی، در همه موارد از تکنیکهای پیچیدهای برای جمعآوری اطلاعات، رمزنگاری و رمزگشایی اطلاعات استفاده شده است، با اینحال، تمامی این روشها در گذر زمان تغییر پیدا کردهاند. بهطوری که فناوریها، ابزارهای ردیابی، تحلیل و مقابله با تهدیدات نیز تکامل پیدا کردهاند. فایلهای رمزگذاری پیچیده، جایگزین پیامهای رادیویی رمزگذاری شدند، بهطوری که امروزه شکستن پیامهای رمزنگاری شده یا گذر از لایههای امنیتی سختتر از هر زمان دیگری شده است. با این حال، هنوز هم نقطه ضعف مکانیزمهای امنیتی خطای انسانی است. برای بسیاری، عدم درک مقیاس و تعیین میزان خطرناک بودن یک تهدید بالقوه، عدم درک یا تفسیری از جرایم سایبری و نحوه عملکرد آنها و به دنبال آن عدم اطمینان از امنیت دادهها و اطلاعات اولین اشتباهی است که مرتکب میشوند و راه را برای نفوذ هکرها به زیرساختها هموار میکنند. اگر تصور میکنید همه نقاط ضعف احتمالی که باعث آسیبپذیری زیرساخت میشوند را ترمیم کردهاید، باید بدانید که این دیدگاه اشتباه است و ممکن است حفرههای امنیتی زیادی مستتر در زیرساخت ارتباطی باشند که از دید شما پنهان باقی ماندهاند. به همین دلیل است که شرکتها تصمیم گرفتند برای کاهش مخاطرات پیرامون زیرساختهای ارتباطی به سراغ هوش سایبری بروند.
هوش تهدید اطلاعاتی است که از جمعآوری، پردازش و تحلیل دادهها بهدست میآید و میتوان برای مقابله با تهدیدهای سایبری از آن استفاده کرد. به بیان دقیقتر، هوش تهدید یا هوش تهدید سایبری به اطلاعاتی اشاره دارد که سازمانها میتوانند از آن برای مقابله با تهدیدهای سایبری استفاده کنند. برعکس دادههای خام، هوش تهدید برای دستیابی به بینش عملیاتی نیازی به تجزیه و تحلیل اولیه ندارد. بنابراین، هوش تهدید پس از جمعآوری دادهها، اقدام به پردازش و تجزیه و تحلیل آنها میکنند تا کارشناسان بتوانند از این اطلاعات برای اخذ تصمیمات درست استفاده کنند. هوش تهدید به جای اینکه یک فرایند end-to-end باشد، مبتنی بر یک فرایند چرخشی بهنام چرخه هوش تهدید است. این فرایند از این جهت یک چرخه است که ممکن است در جریان پیادهسازی آن پرسشها و شکافهای اطلاعاتی جدیدی ایجاد شده یا نیازمندیهای جدیدی در مجموعه تعریف شود که بازگشت به مرحله اول را اجتنابناپذیر میکنند. بهطور معمول، چرخه هوش تهدید سایبری از چند مرحله زیر ساخته شده است:
چرخه هوش تهدید سایبری
- برنامهریزی و جهتدهی: ملزومات جمعآوری دادهها مشخص میشوند. در این مرحله پرسشهایی که قابلیت تبدیل شدن به اطلاعات عملیاتی دارند، مطرح میشوند.
- جمعآوری: پس از تعریف الزامات جمعآوری، دادههای خام مربوط به تهدیدهای فعلی و آتی جمعآوری میشود. در این زمینه، میتوان از منابع متنوع هوش تهدید مانند گزارشها و مستندات داخلی، اینترنت و منابع دیگر که اطلاعات قابل استنادی دارند استفاده کرد.
- پردازش: در این مرحله، دادههای جمعآوری شده با برچسبهای فراداده سازماندهی شده و اطلاعات اضافه، درست یا اشتباه بودن و هشدارهای مثبت کاذب حذف میشوند. بهعلاوه از راهحلهایی مثل SIEM و SOAPA برای تسهیل در سازماندهی دادههای جمعآوری شده استفاده میشود.
- تجزیه و تحلیل: این مرحله وجه تمایز هوش تهدید از جمعآوری و انتشار ساده اطلاعات است. در این مرحله، با استفاده از روشهای تحلیل ساختاری، دادههای پردازش شده مرحله قبل تحلیل میشوند تا فیدهای هوش تهدید سایبری ایجاد و تحلیلگران به کمک آنها بتوانند به شناسایی شاخصههای تهدید IOCها سرنام (Indicators of Compromise) بپردازند. از جمله شاخصههای تهدید باید به لینکها، وبسایتها، ایمیلها، ضمائم ایمیل و کلیدهای رجیستری مشکوک اشاره داشت.
- انتشار: در این مرحله، خروجی تحلیل شده در اختیار افراد مناسب قرار میگیرد. قابلیت ردیابی در این مرحله بهشکلی است که باعث ایجاد تداوم بین چرخهها میشود.
- بازخورد: متخصصان اطلاعات خروجی را دریافت کرده و بررسی میکنند که آیا راهحلهای ارایه شده به درستی به پرسشهای تعیین شده پاسخ دادهاند خیر. اگر پاسخدهی مطابق انتظار باشد، چرخه به پایان میرسد، در غیر این صورت نیازمندی جدید تعریف شده و مرحله اول از ابتدا آغاز میشود.
همانگونه که مشاهده میکنید، هوش تهدیدات سایبری اطلاعاتی در مورد تهدیدها و عاملهای تهدیدات که به کاهش وقوع حوادث در فضای سایبری کمک میکنند، جمعآوری میکند. در این روش، توسعه و پیشرفت هوش مصنوعی به جای اینکه در یک فرایند انتها به انتها توسعه یابد مبتنی بر یک حرکت دوار است که از آن به عنوان چرخه هوش یاد میشود. در این چرخه که شامل جمعآوری دادهها، برنامهریزی، اجرا و ارزیابی است، الزامات امنیتی تعیین میشوند و از این اطلاعات برای ساخت هوش تحلیلکننده استفاده میشود. نکته مهمی که باید به آن دقت کنید این است که بخش تجزیه و تحلیل چرخه هوش از بخشی که اطلاعات در آن جمعآوری و انتشار پیدا کرده متمایز میشوند. بنابراین، اگر سازمانی بخواهد به سطح بلوغ در زمین هوش تهدید برسد، باید این چرخه را پیادهسازی کند.
هوش تهدید برای انتخاب بهترین راه حل
تجزیه و تحلیل هوش امنیتی، متکی به یک رویکرد دقیق فکری است که از تکنیکهای تحلیلی ساختاریافته برای اطمینان در مورد قطعیتها و عدم قطعیتها برای شناسایی و مدیریت تهدیدات استفاده میکند، بهطوری که تحلیلگران از هوش تهدید تنها برای حل مسائل دشوار استفاده نمیکنند، بلکه در زمینه انتخاب بهترین راهحل نیز بهره میبرند.
الگوریتم گوگل برای مقابله با تهدیدات
سازمانها میتوانند برای تقویت زیرساختهای امنیتی از هوش مصنوعی استفاده کنند. مثالهای زیادی در این زمینه وجود دارند. بهطور مثال، جیمیل از یادگیری ماشین برای مسدود کردن هرزنامهها استفاده میکند. گوگل میگوید، الگوریتم این شرکت روزانه ۱۲۲ میلیون اسپم را مسدود میکند. آیبیام با سامانه شناختی واتسون که مبتنی بر یادگیری ماشین است برای شناسایی تهدیدات سایبری و ارایه راهحلهای امنیت سایبری استفاده میکند. بهعلاوه، گوگل از یادگیری ماشین عمیق برای سازماندهی ویدیوهای ذخیره شده در فضای ابری این شرکت (یوتیوب) استفاده میکند. در این بستر، ویدیوهای ذخیره شده در سرور بر اساس محتوا و زمینه آن تحلیل میشوند و اگر مورد مشکوکی شناسایی شود، یک هشدار امنیتی برای متخصصان ارسال میکنند. به همین دلیل است که فیلمهای دارای کپیرایتی که روی این بستر آپلود میشوند به سرعت شناسایی و حذف میشوند. Balbix برای محافظت از زیرساخت فناوری اطلاعات در برابر نقض دادهای و پیشبینی فعالیتهای خطرپذیر از یادگیری ماشین استفاده میکند.
آمارها به وضوح نشان میدهند که به زودی، سامانههای مجهز به هوش مصنوعی به بخش جداییناپذیر راهحلهای صنعت امنیت سایبری تبدیل میشوند. بهعلاوه، هکرها نیز از هوش مصنوعی برای آسیبزدن به سازمانها استفاده میکنند که عملا این فناوری خود در برابر تهدیدات سایبری به یک سوژه تبدیل میشود که باید راهکاری برای محافظت از آن پیدا شود.