بعيداً عن المفاهيم التقليدية في الأمن السيبراني، يناقش روبودين في هذا المقال مستجدات الأمن السيبراني عبر ثلاث مفاهيم : علم المناعة الحاسوبي Computer immunology، الدفاع السيبراني القائم على النتائج، والتعلم الآلي.
تعمل أجهزة المناعة الطبيعية على الحماية من مسببات الأمراض الخطيرة، بما في ذلك البكتيريا والفيروسات والطفيليات. إن دورها في الجسم مشابه لدور أنظمة أمان الكمبيوتر في الحوسبة. على الرغم من وجود العديد من الاختلافات بين الكائنات الحية وأنظمة الكمبيوتر، إلا أن أوجه التشابه مقنعة ويمكن أن تشير إلى طريق لتحسين أمن الكمبيوتر. أما الدفاع السيبراني القائم على النتائج فيركز على نتائج الهجوم بدلاً من الهجمات نفسها. وكذلك، في السنوات الأخيرة، مع زيادة حجم البيانات، يأخذ الذكاء الاصطناعي الخاضع للإشراف البيانات المصنفة ويتعلم منها للحصول على أمثلة لاحقة، بينما سيتعلم المنهج غير الخاضع للإشراف من البيانات غير المصنفة.
مستجدات الأمن السيبراني – علم المناعة الحاسوبي
إن تشبيه علم مناعة الكمبيوتر مع علم المناعة البشرية يساهم في تقديم وجهة نظر مهمة حول كيفية تحقيق أمن الكمبيوتر، وهي وجهة نظر يمكن أن تؤدي إلى أنظمة مبنية بمجموعات مختلفة تماماً من الافتراضات والتحيزات والمبادئ المنظمة عما كانت عليه في الماضي. لقد وصف علماء المناعة تقليدياً المشكلة التي يحلها الجهاز المناعي بأنها مشكلة التمييز بين “الذات” و”الآخر” الخطير ، والقضاء على ذلك الآخر.
يمكن أيضاً النظر إلى مسألة حماية أنظمة الكمبيوتر من التطفلات الخبيثة على أنها مشكلة التمييز بين الذات وغير الذات (الآخر)، والذي قد يكون مستخدماً غير مصرح به، أو شيفرة برمجية على شكل فيروس كمبيوتر أو دودة، أو رمزاً غير متوقع على شكل حصان طروادة مثلاً. ما الذي قد يتطلبه الأمر لبناء نظام مناعة حاسوبي يتمتع ببعض أو كل خصائص جهاز المناعة الطبيعي – خاصة تلك التي تركز على النتائج؟ لقد أتاح التقدم في أنظمة الحوسبة متعددة النواة والشبكات والأجهزة المحمولة والذكية والبرمجيات المتطورة والانترنت تطوير القدرات التي خدمت العديد من المجالات الصناعية و البحثية الأكاديمية.
أدت هذه التطورات أيضاً إلى نقاط الضعف الناتجة عن تعقيد المنصات المختلفة والتطبيقات الخاصة بكل منها. تعتمد تقنيات الأمان الحالية بشكل أساسي على أنشطة عملية (على سبيل المثال، التصحيحات الأمنية) كما يعتمد على معرفة ببصمة (توقيع) البرنامج الضار، وليست مرنة بما يكفي للتعامل مع تعقيد الهجمات المستجدة (الغير معروفة مسبقاً). ويرجع ذلك جزئياً إلى أن أساليب الأمن السيبراني تعتمد غالباً على منع الهجمات.
الشفاء الذاتي في الحوسبة
يعد مجال الحوسبة الذي يبحث في مبادئ الشفاء الذاتي، بمثابة خط أساس قابل للتطبيق لاستكشاف مبادئ الجهاز المناعي في بيئة الحوسبة. نحن بحاجة إلى نظام مستقل لاتخاذ القرار قادر على التكيف والتفاعل والتعلم من أنظمة الكمبيوتر في الوقت الحقيقي لمواكبة وتيرة الهجمات السيبرانية، وهو ما يتطلب تحولاً نوعياً في الأمن السيبراني، من التركيز على منع الهجمات إلى التعاطي مع نتائج الهجوم أو آثاره.
سيكون لمثل هذا النظام مفاهيم أكثر تعقيداً للهوية والحماية من تلك التي توفرها أنظمة التشغيل الحالية، وسيوفر نظام حماية لتعزيز أنظمة أمان الكمبيوتر الحالية. يجب أن تحتوي على الأقل على المكونات التالية: تعريف ثابت للذات (النظام المعلوماتي)، والوقاية أو الكشف عن الأنشطة الأجنبية الخطيرة (العدوى) والقضاء عليها لاحقاً، وذاكرة حالات العدوى السابقة، وطريقة للتعرف على حالات العدوى الجديدة، وطريقة لحماية الجهاز المناعي نفسه من الهجوم.
النماذج المناعية هي أنظمة تجريبية تعمل على إعادة إنشاء جوانب من جهاز المناعة البشري لدراسة تطوره ووظيفته في الصحة وكذلك المرض. في عالم الحوسبة، سيكون التحدي الرئيسي هو تكرار عناصر الجهاز المناعي التي يمكن تطبيقها في الفضاء الحاسوبي. وللتخفيف من هذه المخاطر، يمكن تعيين النماذج المناعية الموجودة على وظائف الحوسبة ذات الصلة، وتحديداً في طبقة نظام التشغيل. أمان نظام التشغيل هو عملية ضمان سلامة نظام التشغيل وسريته وتوافره. يشير أمن نظام التشغيل إلى الخطوات أو التدابير المحددة المستخدمة لحمايته من التهديدات أو الفيروسات أو البرامج الضارة أو الأجهزة البعيدة.
الدفاع السيبراني القائم على النتائج
بينما يركز علم المناعة الحاسوبي على الوقاية الاستباقية من الهجمات السيبرانية، فإن الأمن السيبراني القائم على النتائج يفترض أن الهجوم سيحدث حتماً ويركز على منع نتائج الهجوم أو أهدافه. من الأمثلة البسيطة على الدفاع السيبراني القائم على النتائج هو ذلك الصمم للدفاع ضد هجمات حجب الخدمة. غالباً ما تنتج هجمات رفض الخدمة عن استهلاك سعة (موارد) المخدم. سيركز الدفاع السيبراني التقليدي على اكتشاف الهجوم والبدء في إسقاط حركة المرور التي من شأنها أن تستهلك المخدم وذلك لمنع المزيد من الضرر. أما الدفاع السيبراني القائم على النتائج فيعتبر نظام الكشف كمحفز فقط.
سيوجه المشغل نظام النسخ الاحتياطي لتولي المسؤولية في حالة تعطل النظام الأساسي. يمكن أيضاً استخدام الدفاع السيبراني القائم على النتائج للكشف عن البرامج الضارة. تم تصميم منتجات مكافحة البرامج الضارة الحالية للبحث عن توقيعات (أو مؤشرات) البرامج الضارة التي يتم تنزيلها أو تثبيتها على نظام الكمبيوتر. إذا كان التوقيع يطابق ملفاً أو سلوكاً محدداً مسبقاً لملف قابل للتنفيذ، فسيتم حظره أو عزله لإجراء المزيد من التحليل للتأكد من أنه لا يصيب الملفات الأخرى.
إن البديل القائم على النتائج لهذا النهج هو تصنيف البرامج الضارة بناءاً على النتيجة المحددة التي تحاول تحقيقها. واستناداً إلى هذه النتيجة وهدف النظام، فإنه إما يسمح بتشغيل البرامج الضارة أو يرفض تشغيلها. على سبيل المثال، إذا كان هدف النظام هو معالجة كشوف الرواتب، وكانت البرامج الضارة مصممة لتغيير أسماء امتدادات ملفات عدم الدفع، فيمكن السماح بتشغيل هذه البرامج الضارة. يختلف هذا النهج عن الأسلوب القائم على التوقيع الموضح أعلاه وأكثر كفاءة منه. حسب التصميم، سوف يستهلك موارد أقل لأنه لن يستقصي إلا البرامج الضارة التي يمكن أن تؤثر سلباً على هدف النظام.
مستجدات الأمن السيبراني – هجمات تضليل المعلومات
يمكن إسقاط المثال السابق على حالة لسرقة البيانات أو هجوم المعلومات الخاطئة. مع سرقة البيانات، النتيجة التي نحاول منعها هي الإزالة غير المصرح بها للبيانات التي تترك الشبكة أو الجهاز. ولكي يكون ذلك فعالاً، يجب وضع علامات (Tag) على البيانات الحساسة وفحصها كلما جرت محاولة لنقلها من النظام أو الشبكة. إذا تمت المحاولة بواسطة مستخدم مصرح له، فسيتم السماح بذلك. وإلا فيجب رفض المحاولة. ويمكن منع هجمات المعلومات المضللة بالمثل. في حالة وقوع هجوم معلوماتي مضلل، ما هي النتيجة التي نحاول منعها؟ الخداع. لذلك يجب أن يكون المستخدمون قادرين على الثقة في أنظمة المعلومات والبيانات الخاصة بهم داخل بيئة العمل. يمكن أن يكون الجمع بين سلامة النظام وسلامة البيانات والتوقيعات الرقمية (للبيانات المنقولة عبر الشبكة) كافياً لمنح المستخدمين المصرح لهم الثقة في الأنظمة التي يستخدمونها، والبيانات التي يتفاعلون معها، والمعلومات التي يتلقونها. مع ذلك، لا يزال الطريق طويلاً للتغلب كلياً على الخصوم السيبرانيين.
الذكاء الاصطناعي / التعلم الآلي
أحد جوانب الذكاء الاصطناعي الأكثر قابلية للتطبيق في مجال الأمن السيبراني هو التعلم الآلي. يستخدم التعلم الآلي تقنيات إحصائية لمنح أجهزة الكمبيوتر القدرة على التعلم (أي تحسين الأداء تدريجياً في مهمة محددة) باستخدام البيانات، دون برمجة تلك الأجهزة مسبقاً. تخيل أنك مسؤول شبكة بها مائة ألف جهاز يمكن اختراقها. سيكون من المستحيل عليك مراقبة جميع الأجهزة لتحديد ما إذا كانت تتصرف بشكل غريب. يتيح لك التعلم الآلي تكوين خط أساس (Base line) لـ “سلوك” المستخدم ونظام الكمبيوتر المرتبط به. ومن ثم يمكنه تحديد أي انحرافات عن هذا المعيار السلوكي وإصدار تنبيه. الأن، كل ما عليك فعله هو البحث عن السلوكيات الجديدة التي قد تكون مؤشراً على حدوث هجوم.
أحد الأمثلة الجيدة للتعلم الآلي الخاضع للإشراف هو تحديد المدة التي ستستغرقها للتجول في الحي. يمكنك تغذية معلومات الخوارزمية مثل العمر والحالة البدنية ومعلومات الطقس والمسافة والتفاصيل من جولات المشي المماثلة السابقة. سيتم تصنيف البيانات وفقاً لذلك، ويتم تحديد التقدير بواسطة الخوارزمية “الخاضعة للإشراف”. وبدلاً من ذلك، من الأمثلة غير الخاضعة للإشراف والتي يتم استخدامها بشكل شائع هو تحديد حيوان بناءاً على خصائصه الفريدة. إذا تفاعل شخص ما مع ذلك الحيوان وبدأ في ملاحظة أن لديه ريش، ومنقار ، ويمشي على اثنتين، وشكل جسم محدد، ويزقزق- فهذه “ملامح” أو خصائص يمكن استخدامها للتعرف على “طائر”. ولا ينبغي لأحد أن يشرف على تحديد وتوصيف هذه الميزات. سيتم التعرف عليهم تلقائياً من خلال التفاعلات المتكررة مع “الطيور” السابقة.
مستجدات الأمن السيبراني – خوارزميات التعلم الآلي
إن اكتشاف الحالات الشاذة، هو عملية اكتشاف نشاط أو بيانات أو عمليات غير عادية (على سبيل المثال، اكتشاف الاحتيال في الخدمات المصرفية عبر الانترنت). تختلف مبادئ الكشف تلك عن كشف التسلل التقليدي من حيث أنها لا تتطلب توقيعاً للكشف عن السلوك الشاذ أو حركة المرور المثيرة للقلق. بمجرد أن تحدد خوارزمية التعلم الآلي (سواء كانت خاضعة للإشراف أو غير خاضعة للإشراف) خط الأساس للوضع الطبيعي داخل بيئة العمل، يمكن لمحرك الكشف عن الحالات الشاذة أن يبدأ في اكتشاف تلك الحالات. ركزت الأبحاث في هذا المجال في المقام الأول على اكتشاف الهجمات، كما هو الحال مع معظم المنتجات السيبرانية. عند النظر في النهج القائم على النتائج للكشف عن الحالات الشاذة، كيف يمكننا استخدام هذه التقنيات لمنع نتائج الهجوم المتمثلة في الخداع أو سرقة البيانات أو رفض الخدمة؟
على سبيل المثال، في تطبيقات الهاتف المحمول التي تهدف إلى تحسين تجربة المستخدم عند التحقق من رسائل البريد الصوتي. يمكن لتلك التطبيقات تصفية المكالمات الواردة ونسخ الرسائل الواردة إلى نص. يمكنهم أيضاً اكتشاف المكالمات المزيفة (المخادعة)، والتي تظهر كأرقام هواتف تبدو مألوفة. يمكن لهذه التطبيقات تشغيل رسالة خارج الخدمة وإغلاق الهاتف (منع المحتال من ترك رسالة صوتية). يمثل ذلك مثالاً ممتازاً لضرورة التركيز على نتائج الهجوم. تعد تطبيقات البريد الصوتي هذه أحد الأمثلة على معالجة اللغة الطبيعية، والتي تمكن أجهزة الكمبيوتر من فهم الطرق التي يتحدث بها البشر من خلال تحليل بيانات اللغة الطبيعية. يمكن للذكاء الاصطناعي ومنصات معالجة اللغة الطبيعية أن تساعد الشركات على أتمتة مهام الاتصالات الروتينية مثل خدمة العملاء.
معالجة اللغة الطبيعية
يعد Alexa من Amazon مثالاً رائعاً على تقنية معالجة اللغة الطبيعية القادرة على تحقيق نتائج مع القليل من المدخلات الصوتية. تستخدم هذه التقنيات أساليب التعلم الآلي الإحصائية لاستخراج نوايا المحادثة والكيانات من مدخلات اللغة الطبيعية. بالنسبة للأمن السيبراني، ستكون هذه الإمكانية مفيدة للغاية في ملاحقة التهديد المستمر المتقدم، والذي يتضمن وصول مستخدم غير مصرح به إلى نظام أو شبكة، والبقاء هناك لفترة طويلة دون أن يتم اكتشافه. يمكن لمحرك الذكاء الاصطناعي الحفاظ على هذا “السياق”. بمجرد اكتشافه في البداية إما عن طريق الكشف عن الحالة الشاذة أو النظام القائم على التوقيع. والبدء في تدابير التعافي.
كلمة أخيرة
لاحظ الباحثون أن مستخدمي وسائل التواصل الاجتماعي يميلون إلى الإفراط في مشاركة تفاصيل الحياة التي يمكن لمجرمي الانترنت استخدامها بشكل ضار للوصول إلى الحسابات الحساسة وسرقة هوية المستخدم. تؤكد هذه الملاحظة الحاجة إلى النظافة السيبرانية وأن يكون المستخدمون على دراية بأحدث ما توصلت إليه التكنولوجيا في مجتمع الدفاع السيبراني. وبالتالي، فإن الإفراط في مشاركة تفاصيل الحياة على وسائل التواصل الاجتماعي يوفر بيانات المستخدمين للمهندسين الاجتماعيين على طبق من فضة، والتي يمكنهم استخدامها لاحقاً في تنفيذ هجمات ناجحة. لذلك، عندما يتعلق الأمر بمستجدات الأمن السيبراني، من المهم مراقبة الابتكارات التكنولوجية الجديدة مع عدم إهمال الأسس التاريخية للأمن السيبراني، يتم ذلك من خلال منظور أكثر تركيزاً على احتواء نتائج الهجمات من هدر الجهد في منع الهجمات نفسها.
