المعلوماتية > اتصالات وشبكات

الإنسان والآلة على جبهة واحدة في مواجهة الهجمات السيبرانية

الهجوم هو محاولة ضارة ومتعمّدة من قبل فرد أو منظمة لاختراق نظام المعلومات لفرد أو منظمة أخرى، ويسعى المهاجم عادةً إلى نوع من الاستفادة من تعطيل شبكة الضحية (4).

في كل يوم يُولّد الموظفون والعملاء ضمن أي نظام حاسوبي كمياتٍ من البيانات التي تحدد مجموعة طبيعية من السلوكيات، ويولّد المهاجم البيانات أيضًا في أثناء استخدام أي عدد من التقنيات لاختراق النظام.

ويهدف محلل الأمن السيبراني في أية شركة إلى إيجاد أي نشاط غير عادي ضمن الشبكة وإيقافه قبل أن يسبب أي ضرر، ولمّا كان كشف النشاط غير العادي ضمن شبكة يشبه البحث عن إبرة في كومة قش؛ فقد اتجهت الجهود نحو تعليم الآلة للمساعدة في هذا المجال.

تستخدم منصة التحليل الافتراضية الخاصة بشركة PatternEx نماذج تعلم الآلة للكشف عن الأنشطة المشبوهة على أية شبكة، ثم تُعرَض النتيجة على المحلل البشري للحصول على تعليقات (feedback) من شأنها أن تحسّن من قدرة الأنظمة على الإشارة إلى الأنشطة التي تهم المُحللين (1).

وبحسب كاليان فيرماشانيني (Kalyan Veeramachaneni) -مؤسس مشارك لـ PatternEx وعالم أبحاث رئيسي في معهد ماساتشوستس للتكنولوجيا MIT- فإن استخدام تعلم الآلة لكشف الهجمات السيبرانية ليس بالأمر الجديد تمامًا؛ إذ تكتشف معظم هذه الأنظمة الشذوذ في النشاط ضمن الشبكة، ولكن تكمن المشكلة في ذلك في نقطتين:

  1. عدم تحديد أساس للنشاط الطبيعي (العادي) ضمن الشبكة، ومن ثم عدم الدقة في تحديد ما هو النشاط غير العادي؛ مما يؤدي إلى ظهور الكثير من التنبيهات (Alarms).
  2. أنموذج تعلم الآلة غير خاضع للإشراف (Unsupervised) من قبل محلل بشري خبير، وهذا يساهم في زيادة عدد التنبيهات أيضًا، وينتهي الأمر بالاستغناء عن الأنموذج بالكامل.

أما PatternEx فيسمح للمحلل بالإشراف على النظام وإعطاء ملاحظات يستخدمها النظام بدوره لتصفية النتائج الإيجابية الخاطئة (false positive)، والنتيجة هي زيادة في إنتاجية المحلل البشري. 

وعند مقارنته ببرنامج الكشف العام عن الشذوذ، نجحت منصة التحليل الافتراضية (Virtual Analyst Platform) في PatternEx في تحديد التهديدات أكثر بعشر مرات بواسطة عدد التنبيهات اليومية نفسه، وقد استمرّت هذه الميزة حتى عندما أعطى النظامُ العام المحللين تنبيهاتٍ أكثر بخمس مرات في اليوم.

كيفية عمل المنصة

كانت الشراكة الأولى للشركة مع بائع تجزئة كبير عبر الإنترنت؛ مما سمح للمؤسسين بتدريب نماذجهم لتحديد السلوك الضار المحتمل باستخدام بيانات واقعية، وقد درّبوا خوارزمياتهم واحدة تلو الأُخرى لوضع علامة على أنواع مختلفة من الهجمات باستخدام مصادر؛ مثل سجلات الوصول إلى Wi-Fi، وسجلات المصادقة، وسلوك المستخدم الآخر في الشبكة.

يمكن للمحللين اليوم بناء نماذج تعلُّم الآلة من خلال منصة PatternEx دون كتابة سطر من التعليمات البرمجية؛ مما يجعل استخدام الأشخاص لتعلم الآلة متاحًا أكثر، ويقول Veeramachaneni: "ليس هناك ما يكفي من الوقت في الأمن السيبراني، فلا يمكن أن يستغرق الأمر ساعاتٍ أو أيامًا لفهم سبب وقوع الهجوم، ولهذا السبب فإن إعطاء المحلل القدرة على بناء نماذج تعلم الآلة وتعديلها هو أكثر الجوانب أهمية في نظامنا".

صُمِّمَ  برنامج Virtual Analyst Platform الخاص بـ PatternEx لجعل المحللين الأمنيين يشعرون بأنّ لديهم جيشًا من المساعدين الذين يُصَفّون سجلات البيانات ويقدمون إليهم السلوك المشبوه على الشبكة.

تستخدم المنصة نماذج تعلُّم الآلة لإجراء أكثر من 50 دفقًا من البيانات وتحديد السلوك المشبوه، ثم تُقدَّم تلك المعلومات إلى المحلل للتعليق عليها، جنبًا إلى جنب مع الرسوم البيانية والطرائق الأخرى لتمثيل البيانات التي تساعد المحلل على تحديد كيفية التصرف. وبعد أن يحدد المحلل ما إذا كان السلوك هجومًا أم لا، تُدرَج التعليقات مرة أخرى في النماذج، والتي تُحدَّث عبر قاعدة عملاء PatternEx بأكملها.

أما قبل تعلم الآلة؛ عندما قد يُصاب أحد ما بهجوم، فبعد تأخير زمني قليل قد يُسمَّى الهجوم ويُعلَن عنه، وستتصل به الشركات الأخرى جميعها وسيعرفون ذلك ليدخلوا ويتحققوا من بياناتهم.

يقول Veeramachaneni: "بالنسبة إلينا، إذا كان هناك هجوم فإننا نأخذ هذه البيانات، ولأن لدينا عملاء متعددين؛ فيجب علينا نقل ذلك في الوقت نفسه إلى بيانات العملاء الآخرين لمعرفة ما إذا كان يحدث معهم أيضًا، نحن ننجز ذلك بكفاءة عالية يوميًّا".

في اللحظة التي يعمل فيها النظام مع العملاء الجدد، فإنه يكون قادرًا على تحديد 40 نوعًا مختلفًا من الهجمات الإلكترونية باستخدام 170 أنموذجًا مختلفًا لتعلم الآلة الموجودة مسبقًا. وفي حين تعمل الشركة على زيادة هذه الأرقام، فإن العملاء يضيفون أيضًا إلى قاعدة نماذج PatternEx من خلال بناء حلول على النظام الأساسي تعالج التهديدات المحددة التي يواجهونها (1).

وحتى إذا كان العملاء لا يبنون نماذجهم الخاصة على النظام الأساسي، فيمكنهم نشر نظام PatternEx بطريقة إبداعية دون أية خبرة في تعلم الآلة، ويمكن متابعة النظام وهو يصبح أكثر ذكاءً تلقائيًّا؛ إذ إن المستخدمين المستهدفين للنظام ليسوا علماء بيانات ماهرين أو خبراء في مجال تعلم الآلة، بل خبراء في الأمن السيبراني.

من خلال توفير هذه المرونة؛ تقدم PatternEx أحدث الأدوات في الذكاء الصنعي للأشخاص الذين يفهمون صناعاتهم على نحو ممتاز، ويعود ذلك كلُّه إلى مبدأ الشركة التأسيسي المتمثل في تمكين البشر بالذكاء الصنعي بدلًا من استبدالهم (1).

وقد واجه الباحثون عديدًا من التحديات في أثناء تصميم المنصة، وهي (2):

  1. اقتناء البطاقات التعريفية (Label Acquisition)، ويشمل عدة مراحل:
    1. في البداية يجب تحديد ما إذا كانت البيانات تنشأ في نظام في العالم الحقيقي أم هي خرج عملية محاكاة في مختبر.
    2. تأتي بعد ذلك مرحلة "المراقبة المستمرة"، وهي تشير إلى الحالات التي رُوقِبَت بها البيانات وحُلِّلت وتُؤكِّد منها، وتكون في المؤسسات المتوسطة الحجم إلى الكبيرة والتي تكون فيها سلسلة من الحلول الأمنية التي تراقب حركة البيانات ونشاطها في المؤسسة. وعند اكتشاف نشاطات مشبوهة؛ تُمنَع النشاطات المستقبلية أو تُولَّد تنبيهات يتابعها الفريق المُختَص بالأمن.
    3. تليها مرحلة "تأكيد المحلل"، وهي مرحلة التدخل البشري الذي يؤكد إحدى الحالات الآتية: إما أنّ الكشف معتمد على كيانات مشبوهة معروفة مسبقًا، وإما أن يكون نماذج أنشطة، وإما أنّ الكشف معتمد على الكشف الشاذ.
    4. المرحلة الأخيرة هي مرحلة "التحليل الخلفي" التي يُلجَأ إليها في حال لم تكن النشاطات قد خضعت لمراقبة مستمرة، وتكون نهاية هذه العملية في تحديد بطاقة تعريفية لكل نشاط، وتوضّح هذه البطاقة هل هو هجوم أم لا؛ إذ تشير البطاقة الإيجابية إلى نشاط الهجوم، وتشير البطاقة السلبية إلى عكس ذلك.

      ومن أهم سلبيات اقتناء البطاقات التعريفية هي الزمن الطويل الذي تحتاجه العملية، ولا سيما في حال كون المؤسسة كبيرةَ الحجم وتحتوي على كثير من البيانات.

  2. الانتقال إلى الانتشار المتنوع: تُعتمَد مجموعة كبيرة من مصادر البيانات، ثم تُستخرَج الميزات لوصف نشاط الكيانات التي رُوقِبَت في البيانات؛ مثل عناوين IP المصدر، وعناوين IP الوجهة، والمجالات، وغيرها.

    وفي النهاية، تسجّل مجموعة من نماذج تعلم الآلة نشاطَ كل أنموذج الكيان (entity instance) وتعبّئ لوحة معلومات التنبيه (alert dashboard)، ويكمن التحدي هنا في التنوع الهائل لمصادر البيانات، وهذا يقابله تنوعٌ كبير في التقنيات التي يستخدمها المهاجمون؛ مما يعني تهديدات كثيرة.

  3. شرح التنبيهات في الزمن الحقيقي: يتعامل محللو الأمن مع ثلاث واجهات: 
    1. الواجهة الأولى: هي ملخص التنبيه، وتعرض التنبيهات جميعها.
    2. الواجهة الثانية: تعرض مجموعة الأحداث التي جُمِّعت في التنبيه نفسه.
    3. الواجهة الأخيرة: تحوي البيانات الخام -التي تُظهِر السجلات والحزم والملفات ومعلومات العملية وما إلى ذلك- لكل حدث مُضمَّن في التنبيه.

      إنّ أحد أوجه القصور في هذه الأساليب عند تطبيقها هو أنهم يستخدمون الخصائص المرتبطة بتحليل تعلم الآلة أساسًا لشرح الأنموذج أو نتائج الأنموذج، وعلى الرغم من ذلك؛ فإن الميزات التي أُنشِئت بواسطة علماء البيانات لا يمكن بالضرورة أن يفهمها محللو الأمن، ولذلك؛ يجب التأكيد على استخدام الخصائص المناسبة لتوليد الشروحات، وهي أساسية لربط كل تنبيه مع البيانات الخام المناسبة له.

  4. يرتبط التحدي الأخير بالأدوار والمَهمات، فالأدوار الأساسية هي: محلل الأمن، ومطوّر النماذج، ومهندس تعلّم الآلة.

    تتطلب هذه الأدوار جميعها معرفةً شاملة في مجال الأمن السيبراني من أجل فهم أعمق للهجمات وكيفية ظهورها في البيانات، ولذلك؛ يحتاج كلٌّ من هؤلاء إلى تطوير دائم لمعلوماتهم من أجل الحفاظ على الإنتاجية القصوى لإستراتيجية الكشف القائم على تعلم الآلة.

وأنت أيها القارئ؛ هل ترى أنّ التعاون بين الإنسان والآلة في مواجهة الهجمات السيبرانية يزيد من احتمالية الكشف المبكر عن أي هجوم قبل أن يتمكن منفّذوه من تحقيق غاياتهم؟

المصادر:

1- A human-machine collaboration to defend against cyberattacks [Internet]. MIT News. 2020 [cited 19 April 2020]. Available from: هنا;

2-  [Internet]. 2020 [cited 19 April 2020]. Available from: هنا;

3- PatternEx I. Artificial Intelligence for InfoSec | PatternEx [Internet]. Patternex.com. 2020 [cited 19 April 2020]. Available from: هنا

4- Services P. Cyber Attack - What Are Common Cyberthreats? [Internet]. Cisco. 2020 [cited 29 May 2020]. Available from: هنا;