من المألوف هذه الأيام أن تلقن فكرة للذكاء الاصطناعي التوليدي وتتركه يقوم بالعمل الشاق نيابة عنك. ولا يبدو أن أمن المعلومات سيكون استثناءاً في هذا السياق. أحد أهم ميزات الذكاء الاصطناعي والتعلم الآلي هو قدرته على سد الفجوة في نقص المواهب البشرية. لم نتمكن من قبل من استخدام الأتمتة وحلول التكنولوجيا الحديثة لتحل محل المهام الروتينية التي تستهلك وقت فرق الأمن على نطاق واسع. عند التفكير في الذكاء الاصطناعي في الأمن السيبراني، من المهم أن نفكر في كيفية الاستفادة من تلك التقنية لتعزيز الموقف الأمني للمؤسسة. وفي الوقت نفسه، من المهم إدراك المزايا التي سيكتسبها خصومهم السيبرانيين من استخدام قوة هذه المنصات ضدهم.
أهمية الذكاء الاصطناعي في الأمن السيبراني
أمكننا تعريف الذكاء الاصطناعي بأنه قدرة الكمبيوتر على أداء عمليات ومهام مماثلة للتعلم واتخاذ القرار لدى البشر، مثل التعرف على الكلام أو الإجابة على الأسئلة. ويتضمن ذلك القدرة على معالجة وتقييم البيانات بما يتجاوز الخوارزميات المبرمجة، وذلك من خلال الاستدلال. غالباً ما يتم استخدام الذكاء الاصطناعي والتعلم الآلي لنفس الغرض وهو لوصف العمليات أو الحلول المتطورة التي يمكنها استيعاب كميات كبيرة من البيانات، وربط سماتها المهمة، وتوفير مخرجات ونتائج سريعة للمحللين من البشر، وكذلك التعلم من هذه التجربة لتكون أفضل وأسرع في المرة القادمة.
إن سرعة الكشف والاستجابة جنباً إلى جنب مع انخفاض التكلفة (تقليل الحاجة إلى أداء المهام يدوياً) هي السبب الرئيسي وراء اعتبار قادة الأمن السيبراني أن الأولوية بالنسبة لهم هي الاستثمار في تقنيات الذكاء الاصطناعي والتعلم الآلي المتقدمة للكشف عن التهديدات بشكل أسرع. يمثل الذكاء الاصطناعي تحولاً استراتيجياً في المعرفة لا يقل عن التحولات الهائلة التي جلبها اختراع الانترنت و الحوسبة السحابية. لكن بغض النظر عن التأثير الذي سيحدثه الذكاء الاصطناعي/التعلم الآلي، سيحتاج الناس دائماً إلى أن يكون لهم دور في إدارة استخدامه، وتدريب نماذجه، وضمان الاستخدام الأخلاقي للبيانات والمخرجات. دعونا نتحدث عن بعض تطبيقات الذكاء الاصطناعي في الأمن السيبراني:
استجابة أسرع للحوادث
غالباً ما تُنجز أنشطة الاستجابة للحوادث بشكل يدوي، وتتضمن التفاعل مع أنظمة متعددة، وتستغرق وقتاً طويلاً. عادة ما يكون هناك تأخير في تلقي المحلل الأمني للمعلومات، وبعد تلقيها يجب أن يقضي وقتاً في تقييم المعلومات وتقرير الإجراءات المطلوبة. يمكن للذكاء الاصطناعي توفير رؤى في الوقت الفعلي، وأتمتة فرز الحوادث، وتوجيه المحللين للحوادث الأكثر أهمية من خلال ترتيب التنبيهات حسب الأولوية وكذلك وفق أنشطة تخفيف المخاطر. في الواقع، يستطيع الذكاء الاصطناعي فك شفرة السلوك الشاذ وتقديم التوصيات للمستجيبين من البشر بشكل أسرع من عمليات إدارة الحوادث التقليدية.
أتمتة عمليات الأمن السيبراني
كلنا يعلم مدى صعوبة وتعقيد العمل في مركز عمليات الأمن (SOC). يضاف إلى ذلك صعوبة توظيف محللي العمليات والحفاظ عليهم. علاوة على ذلك، نحن في مرحلة مهمة في تطور التكنولوجيا. في الوقت الذي لا يمكننا فيه الاستغناء عن البشر فإننا نجد صعوبة في الحفاظ على المهارات السيبرانية في الـ SOC . وحتى إذا نجح مدير عمليات الأمان في إنشاء فريق يعمل على مدار الساعة طوال أيام الأسبوع، فإن العمل يكون مملاً ومتكرراً وغير مُرضٍ في كثير من الأحيان. يمكن لأدوات الذكاء الاصطناعي أتمتة المهام اليدوية المتكررة والمستهلكة للوقت مثل تحليل السجلات، ومطاردة التهديدات، وتفعيل المستخدم/إلغاء تفعليه.
كما تملك تلك الأدوات القدرة على استيعاب كميات كبيرة من البيانات وتطبيق التعلم الآلي لفهم نوع النشاط الذي قد يكون ضاراً. أصبحت هذه الحلول أكثر ذكاءً وأكثر قدرة الأن على اتخاذ إجراءات آمنة وتلقائية لوقف التهديدات الجارية أو منع انتشار المزيد من الأنشطة المشبوهة – دون تدخل بشري. تخيل وجود تهديد نشط يحدث في الساعة الثانية صباحاً يوم الجمعة، وحل الذكاء الاصطناعي الخاص بك يتخذ إجراءات استباقية لمنع حدوث أضرار جسيمة ثم يبلغك عندما تستيقظ أن التهديد قد تم احتواؤه. ربما كان ذلك حلماً تحقق بالنسبة للكثيرين من محترفي الأمن السيبراني.
الذكاء الاصطناعي في الأمن السيبراني – اكتشاف التهديد
اكتشاف الشذوذ (Anomaly detection)
يتفق معظم ممارسي الأمن على أن زيادة البيانات والمصادر التي تأتي منها البيانات تؤدي إلى زيادة احتمالية اكتشاف الحالات الشاذة . يمكن للأنظمة التي تعمل بالذكاء الاصطناعي تحليل كميات هائلة من البيانات، بما في ذلك سلوك المستخدم وحركة المرور على الشبكة وسجلات النظام لتحديد أنماط خط الأساس (Baseline) وتحديد الشذوذ الذي قد يشير إلى هجوم. تمتعت الأنظمة التقليدية ببعض هذه القدرات ولكن مطوروها كانوا يسعون دائماً لربط البيانات بين الأنظمة والحلول المختلفة. كما أن الأنظمة القديمة مقيدة عموماً بحجم البيانات والمصادر التي يمكن استخلاص تلك البيانات منها. يتم تسعير الأنظمة القديمة ومنصات تحليل السجلات عموماً بناءاً على حدود سعتها اليومية القصوى. وغالباً ما يضطر قادة أمن المعلومات إلى اتخاذ خيارات صعبة بشأن نوع وكمية البيانات التي يمكنهم معالجتها بناءاً على الميزانية المخصصة لذلك. تم تصميم هذه الحلول الأحدث التي تعمل بالذكاء الاصطناعي لجمع وتحليل كميات كبيرة من البيانات، بتكاليف أقل.
الكشف المتقدم عن التهديدات
تعاني العديد من منظمات الأعمال من صعوبة الكشف عن التهديدات المستمرة المتقدمة (APT) وهجمات اليوم صفر (Zero day attacks). والسبب هو أن أدوات الأمن التقليدية تعتمد على القواعد المعرفة مسبقاً ويتم تحديثها بناءاً على مؤشرات الشذوذ المعروف الذي توفره مصادر استخبارات التهديدات. واستجابة لهذا التحدي، تم تصميم حلول الذكاء الاصطناعي لتحديد وتوقع التهديدات المتقدمة المستمرة، بما في ذلك الثغرات الأمنية المستجدة والبرامج الضارة غير المعروفة سابقاً. ويمكنهم تحقيق ذلك من خلال تقييم كميات هائلة من البيانات، بما في ذلك من مصادر استخبارات التهديدات، ووضع تنبؤات تستند إلى السلوكيات الطبيعية وغير الطبيعية. لا تنتظر الأدوات المتقدمة وقوع حدث للتعلم منه أو تحديث قاعدة، بل يتعلمون باستمرار تقييم البيانات ومراقبتها والتعامل بشكل استباقي لمنع تلك النواقل الهجومية (Attack Vector) الغير المعروفة من قبل.
ولا بد من ملاحظة أن استخبارات التهديدات أصبحت بمثابة سلعة في مجال أدوات الأمن. تتخصص العديد من المنظمات في توفير موجزات الاستخبارات، بينما يدمج آخرون مصادر مختلفة في أدواتهم الأمنية. قد يكون تحديد موجز أو أداة للاستخدام أمراً مكلفاً للعديد من منظمات الأعمال. يمكن للحلول التي تعمل بالذكاء الاصطناعي تحليل كميات هائلة من معلومات التهديد من مصادر بيانات مختلفة لتحديد الاتجاهات الناشئة والتنبؤ بنواقل التهديد المحتملة دون الحاجة إلى انشغال فريق الأمن بفحص مصادر استخبارات تهديد متعددة.
إدارة الثغرات الأمنية – الذكاء الاصطناعي في الأمن السيبراني
تستهلك إدارة الثغرات الأمنية جهود المؤسسات. تُجري معظم ماسحات الثغرات الأمنية عمليات مسح للبيئات وتنتج عدداً هائلاً من النتائج التي تبدو جميعها “عالية الخطورة”. بالإضافة إلى ذلك، تستغرق طرق المسح ساعات أو أياماً لإكمالها وبحلول الوقت الذي يتم فيه الاتفاق على أنشطة الإصلاح، تصبح البيانات قديمة. يمكن للذكاء الاصطناعي تسريع عملية تحديد نقاط الضعف في البنية التحتية لتكنولوجيا المعلومات وتصنيفها حسب الأولوية. يمكن للخوارزميات تقييم التأثير المحتمل لكل نقطة ضعف وتقديم التوصية المناسبة للتخفيف من المخاطر. تعمل العديد من أنظمة إدارة الثغرات الأمنية المدعومة بالذكاء الاصطناعي بشكل مستمر دون التأثير سلباً على موارد التجهيزات أوسرعة الشبكة. وبالتالي فإن الحلول الحديثة لديها دقة أعلى وتمتاز كذلك بالتركيز على أنشطة المعالجة الأكثر جدوى.
كلمة أخيرة
رأينا فيما سبق كيف يمكن لحلول الذكاء الاصطناعي/التعلم الآلي أن تساعدنا في تحسين برامجنا الأمنية و معرفة
نقاط قوة الخصم السيبراني ونواقل الهجوم المحتملة للدفاع ضدها وحماية المؤسسة.
