نظراً لتعقيد التحديات القائمة فإن صناعة الأمن السيبراني تحت ضغط هائل للانتقال من تقنيات كشف التهديدات السيبرانية القائمة على التوقيع إلى بدائل أخرى أكثر كفاءة. لم تستطع الطرق القديمة تقوية البنى التحتية الأمنية بالشكل المطلوب. وعلى الرغم من وجود العديد من طبقات الأمان، إلا أن المنظمات لا تزال تتعرض للاختراق. كانت ثغرات يوم الصفر (zero-day) والهندسة الاجتماعية من مسببات هذه الهجمات.
كشف التهديدات السيبرانية بناءاً على الشذوذ
انتقل الأمن السيبراني من كشف التهديدات السيبرانية بناءاً على التوقيع إلى الكشف القائم على الشذوذ (Anomaly-based). سمح ذلك بإجراء عمليات مسح نشطة لحركة المرور وتنفيذ البرامج، وتحديد أي انحرافات عن الأنماط الطبيعية.على سبيل المثال، تم تصميم جدران الحماية للكشف عن حالات استقبال المخدمات اتصالات خارجية متعددة من عملاء جدد بمعدل أعلى من المعدل الطبيعي. سيكون ذلك بمثابة مؤشر على أن تلك الاتصالات غير آمنة وتأتي من شبكة بوتات Botnet. وبالتالي، سيتم عزل مثل هذه الاتصالات. ابتكر العديد من بائعي الأمن السيبراني أدوات يمكن أن تسمح للمؤسسات بإجراء تحليل للتهديدات في الوقت الفعلي، وبالتالي منع الهجمات التي تستخدم نواقل هجوم غير معروفة.
كما حلت أدوات الأمن القائمة على الشذوذ مشكلة كبيرة كانت تواجهها صناعة الأمن السيبراني وهي الإبلاغ عن النتائج الإيجابية الكاذبة. في البداية، تم تصميم أدوات الأمن السيبراني لفحص البرامج والأنشطة الضارة فقط. لكن تلك الأدوات كانت تعتبر بعض البرامج والأنشطة غير الضارة باعتبارها تهديدات أمنية. كان ذلك أكثر شيوعاً في أدوات أمان الشبكة مما أثر على مصداقيتها في تحديد وفصل التهديدات الفعلية عن الأنشطة التي تشبه التهديدات (false positive) . كان على مسؤولي الشبكة والأمن تجاهل العديد من التهديدات المحتملة، وفي بعض الأحيان، كانوا -يتجاهلون عن طريق الخطأ- التهديدات المشروعة. لكن أدوات الأمن القائمة على الشذوذ ساعدت في تأكيد أن التهديدات المكتشفة كانت حقيقية فعلاً ويجب إيقافها.
زيادة فعالية الأمن السيبراني
كما أدت أنظمة الأمان القائمة على الشذوذ إلى زيادة سهولة الكشف.سابقاً، كان على أدوات الأمن السيبراني التحقق من العديد من التوقيعات، مما أدى إلى إبطاء أداء الشبكات والأنظمة. بينما الأدوات القائمة على الشذوذ ليست بحاجة للرجوع إلى قاعدة بيانات التوقيعات. بدلاً من ذلك، يتم إجراء تحليل في الوقت الفعلي للتحقق مما إذا كانت حركة المرور أو التطبيقات لديها سلوك غير طبيعي. كما تصدت التهديدات القائمة على الشذوذ للعديد من هجمات الهندسة الاجتماعية. على الشبكة، كانت هذه الأدوات تحلل تدفق البيانات على الشبكة لتحدد عناوين IP الأصلية والوجهة وبالتالي تسمح فقط بمرور ما يأتي من مصادر معروفة. لكن حركة المرور من مصادر غير معروفة كانت تخضع لفحوصات شاملة للعثور على مزيد من التفاصيل كالتحقق من إدراج المصدر في القائمة السوداء أو أنه تم الإبلاغ عنه بواسطة أدوات أمان أخرى على أنه ضار.
لكن الجانب السلبي الرئيس لهذا النوع من الكشف هو ضرورة إشراك البشر في اتخاذ القرارات بدل عملها بشكل مستقل، في وقت لم يكن لدى الشركات عدد كافٍ من الموظفين للتعامل مع جميع التنبيهات التي ترسلها هذه الأنظمة والتي تحتاج إلى تدخل بشري. لذلك، قرر منتجو هذه الأدوات تحسين هذه الحلول بشكل أكبر لجعلها أكثر دقة واستقلالية عبر إضافة التعلم الآلي والذكاء الاصطناعي إلى منتجات الأمن السيبراني مما يجعلها مستقبل هذه المنتجات.
التقنيات الحديثة في كشف التهديدات السيبرانية
مثل الذكاء الاصطناعي والتعلم الآلي فجراً جديداً في صناعة الأمن السيبراني. علماً أن حذور الذكاء الاصطناعي تعود إلى ستينات القرن الماضي حيث تم تعريفه على أنه قدرة أجهزة الكمبيوتر على أداء المهام التي يمتاز بها الذكاء البشري. وشملت هذه المهام التعلم واتخاذ القرارات وحل المشكلات وفهم الكلام والتعرف عليه. أما التعلم الآلي فهو مصطلح واسع يشير
إلى قدرة أجهزة الكمبيوتر على اكتساب معرفة جديدة دون تدخل بشري. التعلم الآلي هو جزء من الذكاء الاصطناعي ويمكن أن يأخذ أشكالاً عديدة، مثل التعلم العميق (deep learning) والتعلم التعزيزي (RL) وهو ما تم توظيفه في مجال الأمن السيبراني بعدة طرق مما يساعد في الدفاع ضد مجرمي الانترنت.
يتضمن التعلم الآلي في مجال الأمن السيبراني نشر أدوات يمكنها اكتشاف أو إيقاف أومنع التهديدات دون أي تدخل بشري. يتم كشف التهديدات بناءاً على تدريب الخوارزمية في أداة الأمن بمفردها، إضافة إلى البيانات التي قدمها المطورون. لذلك، فإن أداة الأمان المدعومة بالذكاء الاصطناعي أفضل في كشف التهديدات. حيث توفر مجموعة البيانات الأصلية للتهديدات التي يوفرها المطورون قاعدة مرجعية يمكن استخدامها لمعرفة ما هو طبيعي وما هو ضار. ثم سيتم تعريض أداة الأمان تلك لبيئات غير آمنة قبل نشرها حيث سيتعلم النظام باستمرار بناءاً على التهديدات التي يكتشفها أو يوقفها.
تراجع دور البشر
سيتم توجيه محاولات الاختراق إليه. ستشمل هذه المحاولات الاختراق أو محاولات إغراق قدراته على المعالجة بالكثير من حركة المرور الضارة. ستتعلم الأداة أكثر تقنيات الاختراق المستخدمة لاختراق الأنظمة أو الشبكات مثل أدوات كسر كلمات المرور وهجمات القوة الغاشمة. وبالتالي فإن دور البشر ستركز أكثر في في تحديث خوارزميات أدوات الذكاء الاصطناعي لمنحها المزيد من القدرات. تتضمن أنظمة الأمن السيبراني القائمة على الذكاء الاصطناعي بشكل مسبق جميع التهديدات المعروفة. ومع الذكاء الاصطناعي، لن تتمكن البرامج الضارة من اختراق نظم الذكاء الصنعي حتى بعد تطوير أنماط هجوم جديدة وتكييفها . سيفحص النظام الشيفرة البرمجية (الكود) لفهم نشاطات البرنامج الضار ويتوقع النتيجة. وبالتالي فإن البرامج ذات النتائج التي يُعتقد أنها ضارة سيتم منعها من العمل باستخدام الذكاء الاصطناعي. حتى إذا أخفى البرنامج الضار الكود، فسيراقب نظام الذكاء الاصطناعي نمط التنفيذ بحيث يكون قادراً على إيقاف البرنامج من التنفيذ بمجرد محاولته تنفيذ وظائف ضارة مثل إجراء تعديلات على البيانات الحساسة أو نظام التشغيل.
التفوق على الذكاء البشري
من المتوقع بالفعل أن يتفوق الذكاء الاصطناعي على الذكاء البشري في القدرة على التنبؤ بالمستقبل. كما سنرى أغلب (إن لم نقل جميع) أدوار الأمن السيبراني تنتقل من البشر إلى أنظمة الذكاء الاصطناعي. لكن لهذا الأمر إيجابياته وسلبياته. هذه الأيام، عندما يفشل نظام الذكاء الاصطناعي، تكون النتائج تحت السيطرة غالباً. وذلك لأن نطاق العمليات التي تقوم بها أنظمة الذكاء الاصطناعي لا يزال محدوداً. ومع ذلك، عندما يتفوق الذكاء الاصطناعي أخيرًا على الذكاء البشري، فقد تكون نتائج الفشل في الأنظمة كارثية لأن النظام المعطل قد يستمر في العمل و يرفض أي تدخلات بشرية.
وكما لوحظ على مر السنين، فإن المهاجمين يكتسبون مرونة وقدرة على التكيف. وبالتالي سيحاولون إيجاد طرق للتغلب على نظام الأمن السيبراني. يتم التغلب على أدوات الأمن السيبراني العادية باستخدام أساليب أكثر تعقيداً مما تدركه الأدوات. ومع ذلك، فإن الطريقة الوحيدة للتغلب على الذكاء الاصطناعي هي إرباكه. لذلك، قد تتسلل الجهات الفاعلة في التهديد إلى أنظمة تدريب الذكاء الاصطناعي ويقدمون بيانات سيئة للتأثير سلباً على المعرفة المكتسبة لدى أنظمة الأمن المدعومة بالذكاء الاصطناعي.كما قد تبني تلك الجهات الضارة نظام الذكاء الاصطناعي الخاص بهم، مما يجعل المعركة بين طرفين ليس البشر أحدهما.
كلمة أخيرة
راجع روبودين في هذا المقال تطور كشف التهديدات من الطرق التقليدية إلى التقنيات المستقبلية مثل الذكاء الاصطناعي والتعلم الآلي وأهمية هذه التقنيات و بعض سلبياتها في مواجهة التطور الكبير في الهجمات.
