یک هوش خستگیناپذیر
اگر کمی به عقب بازگردیم و تاریخچه جنگها را بررسی کنیم، مشاهده میکنیم که متخصصان نظامی از تکنیکهای مختلفی برای جمعآوری و رمزنگاری اطلاعات استفاده میکردند تا دشمنان در صورت شنود موفق نشوند به اطلاعات حساس دست پیدا کنند. از رمزگشایی پیچیده کدهای انیگما گرفته تا عملیات جاسوسی، در همه موارد از تکنیکهای پیچیدهای برای جمعآوری اطلاعات، رمزنگاری و رمزگشایی اطلاعات استفاده شده است، با اینحال، تمامی این روشها در گذر زمان تغییر پیدا کردهاند. بهطوری که فناوریها، ابزارهای ردیابی، تحلیل و مقابله با تهدیدات نیز تکامل پیدا کردهاند. فایلهای رمزگذاری پیچیده، جایگزین پیامهای رادیویی رمزگذاری شدند، بهطوری که امروزه شکستن پیامهای رمزنگاری شده یا گذر از لایههای امنیتی سختتر از هر زمان دیگری شده است. با این حال، هنوز هم نقطه ضعف مکانیزمهای امنیتی خطای انسانی است. برای بسیاری، عدم درک مقیاس و تعیین میزان خطرناک بودن یک تهدید بالقوه، عدم درک یا تفسیری از جرایم سایبری و نحوه عملکرد آنها و به دنبال آن عدم اطمینان از امنیت دادهها و اطلاعات اولین اشتباهی است که مرتکب میشوند و راه را برای نفوذ هکرها به زیرساختها هموار میکنند. اگر تصور میکنید همه نقاط ضعف احتمالی که باعث آسیبپذیری زیرساخت میشوند را ترمیم کردهاید، باید بدانید که این دیدگاه اشتباه است و ممکن است حفرههای امنیتی زیادی مستتر در زیرساخت ارتباطی باشند که از دید شما پنهان باقی ماندهاند. به همین دلیل است که شرکتها تصمیم گرفتند برای کاهش مخاطرات پیرامون زیرساختهای ارتباطی به سراغ هوش سایبری بروند.
هوش سایبری چیست؟
قبل از پرداختن به مقوله فوق باید با دو اصطلاح مهم فضای سایبری و امنیت سایبری آشنا شویم. فضای مجازی یک دامنه جهانی در یک محیط اطلاعاتی متشکل از شبکهها و زیرساختهای فناوری اطلاعات مثل اینترنت، شبکههای ارتباطی راه دور، سیستمهای رایانهای، پردازندهها و کنترلکنندهها است. فضای مجازی را میتوان در قالب سه لایه (فیزیکی، منطقی و اجتماعی) و متشکل از پنج مولفه (جغرافیایی، شبکه فیزیکی، شبکه منطقی، پرسونای سایبری و پرسونای کلی) توصیف کرد. امنیت سایبری یعنی محافظت از سیستمها، شبکهها و برنامهها در برابر حملات دیجیتالی. دسترسی، تغییر و نابودی اطلاعات مهم، دریافت پول از کاربران و ایجاد وقفه در روال کسبوکارها از اهداف حملات سایبری است. پیادهسازی امنیت سایبری به شکل موثر و درست، از چالشهای دنیای امروز است، زیرا هم تعداد دستگاهها بیشتر شده و هم هکرها خلاقتر شدهاند. امنیت سایبری از کامپیوترها، سرورها، موبایلها و سیستمهای الکترونیکی در برابر تهدیدات سایبری محافظت کرده و حول سه محور زیر قرار دارد:
- حفاظت از دستگاههایی که افراد استفاده میکنند.
- حفاظت از اطلاعاتی که روی این دستگاهها قرار دارند.
- حفاظت از هویت افرادی که از این اطلاعات استفاده میکنند.
هوش سایبری را میتوان به عنوان ابزار یا روشی برای ردیابی، تجزیه و تحلیل و مقابله با تهدیدات دیجیتالی و امنیتی تعریف کرد. بنابراین مدیریت امنیت سایبری بخشی مهم در دفاع و پیادهسازی سیستمهای بزرگ فناوری اطلاعات است. آمارها نشان میدهند تشخیص زودهنگام تهدیدها و واکنش سریع به حوادث سایبری نیاز به آگاهی کامل از حملات سایبری دارد و هوش مصنوعی با ردیابی نشانههای یک حمله نه تنها قادر به شناسایی حملههای مشابه است، بلکه با استناد به تجربیات گذشته قادر به شناسایی حملههایی است که ممکن است در آینده پدید آیند. به همین دلیل است که امروزه بیشتر محصولات بزرگ امنیتی مبتنی بر هوش مصنوعی و رایانش ابری هستند. علاوه بر این، شرکتهای بزرگی مثل مایکروسافت، گوگل و آمازون برای حفاظت از دادههای حساس، ماشینهای مجازی و اطلاعات مشتریان خود از ابزارهای مبتنی بر هوش مصنوعی برای شناسایی تهدیدها، کاهش زمان پاسخگویی و بهبود تکنیکها استفاده میکند.
ابزارهای مبتنی بر هوش مصنوعی
امروزه، پنج ابزار مهم مبتنی بر هوش مصنوعی توسط شرکتهای فعال در زمینه ارایه محصولات امنیتی به بازار عرضه شدهاند که برای شناسایی و پیشگیری از حملههای سایبری در دسترس شرکتها قرار دارند.
ابزار تجزیه و تحلیل هدفمند سیمانتک: ابزار TAA سرنام Symantec’s Targeted attack analytics با استفاده از هوش مصنوعی و یادگیری ماشین میتواند بهطورخودکار تهدیدات را شناسایی و به مقابله با آنها بپردازند. TAA اتفاقات درون شبکه را بر مبنای الگوریتمهای یادگیری ماشین و ارزیابی دادهها تحلیل کرده و فعالیتهای مشکوک را شناسایی میکند.
ابزار مبتنی بر شبکه عصبی سوفوس: سوفوس از شرکتهای معروف دنیای امنیت در زمینه ساخت نرمافزارها و سختافزارهای امنیتی است. این شرکت ابزاری بهنام Intercept X طراحی کرده که از یک شبکه عصبی یادگیری عمیق برای شبیهسازی عملکرد مغز انسان استفاده میکند که قبل از اجرای یک فایل، میلیونها ویژگی مرتبط با فایل را استخراج و ارزیابی میکند و با تحلیل عمیق آنها در مدت زمان 22 ثانیه مخرب بودن با نبودن فایل را تشخیص میدهد. بهعلاوه، این ابزار به میزان قابل توجهی قادر به مقابله با حملههای باجافزاری و بدافزارهای سکتور راهانداز سیستم از طریق تحلیل الگوی رفتاری است.
ابزار مبتنی بر یادگیری عمیق Darktrace: Darktrace یک شرکت فناوریاطلاعات بریتانیایی امریکایی فعال در زمینه ساخت محصولات دفاع امنیتی است. این شرکت ابزاری بهنام Darktrace Antigena برای دفاع از زیرساختها در برابر حملههای سایبری طراحی کرده است که میتواند در کنار راهحلهای امنیتی برای شناسایی و مقابله با تهدیدات سایبری استفاده شود. به بیان دقیقتر، ابزار مذکور برای شناسایی فعالیتهای مشکوک از سیستم Darktrace’s Enterprise Immune استفاده میکند و بر مبنای ارزیابی که از شدت تهدیدات بهدست میآورد، واکنش مناسبی از خود نشان میدهد. این ابزار با استفاده از یادگیری ماشین قادر به شناسایی تهدیدهای ناشناخته و محافظت از زیرساختها بدون نیاز به دخالت کارشناسان امنیتی یا داشتن پیشزمینهای از نمونه دادهها است. به بیان دقیقتر، این ابزار از الگوریتم یادگیری ماشین بدون ناظر و بر مبنای یکسری خطمشیهای از قبل تعریف شده تهدیدات را شناسایی میکند و به سازمانها اجازه میدهد در کوتاهترین زمان به تهدیدها واکنش نشان دهند، بدون اینکه فعالیتهای تجاری آنها مختل شود.
راهحل امنیتی مبتنی بر محاسبات شناختی آیبیام: ابزار IBM QRadar Advisor از ماشین شناختی آیبیام بهنام واتسون برای مقابله با حملههای سایبری استفاده میکند. ابزار فوق از هوش مصنوعی برای بررسی خودکار هرگونه تهدید یا نشانه مشکوکی مبنی بر یک حمله سایبری استفاده میکند.QRadar از استدلال شناختی برای تسریع در چرخه پاسخگویی به تهدیدات استفاده میکند. از ویژگیهای شاخص ابزار مذکور به موارد زیر باید اشاره کرد:
بررسی خودکار حملهها و حوادث: بر اساس مستندات مبتنی بر حوادث اتفاق افتاده و استخراج دادههای محلی از سامانهها و زیرساختها به بررسی تهدیدات میپردازد و به کارشناسان امنیتی اعلام میدارند که هکرها لایههای دفاعی یک سیستم را دور زدهاند یا عملکرد ابزارهای امنیتی را مختل کردهاند.
ارائه استدلال هوشمندانه: با استفاده از استدلال شناختی، تهدید احتمالی را شناسایی میکند. به این معنا که چه عواملی مثل فایلهای مخرب، آدرسهای آیپی مشکوک و موارد این چنین باعث پدید آمدن تهدیدها شدهاند.
شناسایی مخاطرات با اولویت بالا: ابزار فوق به کسبوکارها اجازه میدهد به اطلاعات مهمی درباره یک حادثه، مانند اینکه بدافزاری اجرا شده یا خیر با استناد به شواهد موجود دست پیدا کنند. این اطلاعات ارزشمند به کسبوکارها کمک میکند در کوتاهترین زمان و بر مبنای بهترین الگوهای امنیتی به مقابله با تهدیدات بپردازند.
کسب اطلاعات مهم در مورد نحوه عملکرد کاربران: از طریق ادغام با برنامه تحلیل رفتار کاربر (User Behavior Analytics) قادر به شناسایی هر رفتار مشکوکی است و در ادامه به سرپرستان شبکه اعلام میدهد که این فعالیتها چه تاثیری بر عملکرد سامانهها میگذارند.
زیرساخت شناختی وکترا: زیرساخت Vectra’s Cognito از هوش مصنوعی برای شناسایی بلادرنگ تهدیدات سایبری و حملههای هکری استفاده میکند.Cognito بهطورخودکار تهدیدها را تشخیص و هکرهایی که سعی میکنند از ابزارهای مختلفی برای پنهانسازی ردپای خود استفاده کنند را شناسایی میکند. بهعلاوه، از الگوریتمهای تشخیص رفتار برای جمعآوری فرادادههای شبکه، گزارشها و رخدادها استفاده میکند. ابزار فوق گزارشها را تجزیه و تحلیل و آنها را ذخیرهسازی میکند تا هکرها و دستگاههایی که از آنها استفاده میکنند را شناسایی کند. به بیان دقیقتر، قادر است حملههایی که از طریق دستگاههای توکار یا اینترنت اشیا انجام میشوند را نیز شناسایی کند. زیرساخت مذکور از دو بخش اصلی
Cognito Detect (با استفاده از یادگیری ماشین، علم دادهها و تجزیه و تحلیل رفتاری، حملههای هکری را به شکل بلادرنگ بر مبنای خطمشیهای از پیش تعریف شده شناسایی میکند) و Cognito Recall (از دادههای موجود برای تعیین تهدیدها و حملهها استفاده میکند تا سرعت تشخیص و شناسایی تهدیدها را افزایش داده و بخشهایی که تحت تاثیر حملههای سایبری قرار گرفتهاند را به سرعت شناسایی کنند) تشکیل شده است.
هوش تهدیدات سایبری
هوش تهدید اطلاعاتی است که از جمعآوری، پردازش و تحلیل دادهها بهدست میآید و میتوان برای مقابله با تهدیدهای سایبری از آن استفاده کرد. به بیان دقیقتر، هوش تهدید یا هوش تهدید سایبری به اطلاعاتی اشاره دارد که سازمانها میتوانند از آن برای مقابله با تهدیدهای سایبری استفاده کنند. برعکس دادههای خام، هوش تهدید برای دستیابی به بینش عملیاتی نیازی به تجزیه و تحلیل اولیه ندارد. بنابراین، هوش تهدید پس از جمعآوری دادهها، اقدام به پردازش و تجزیه و تحلیل آنها میکنند تا کارشناسان بتوانند از این اطلاعات برای اخذ تصمیمات درست استفاده کنند. هوش تهدید به جای اینکه یک فرایند end-to-end باشد، مبتنی بر یک فرایند چرخشی بهنام چرخه هوش تهدید است. این فرایند از این جهت یک چرخه است که ممکن است در جریان پیادهسازی آن پرسشها و شکافهای اطلاعاتی جدیدی ایجاد شده یا نیازمندیهای جدیدی در مجموعه تعریف شود که بازگشت به مرحله اول را اجتنابناپذیر میکنند. بهطور معمول، چرخه هوش تهدید سایبری از چند مرحله زیر ساخته شده است:
- برنامهریزی و جهتدهی: ملزومات جمعآوری دادهها مشخص میشوند. در این مرحله پرسشهایی که قابلیت تبدیل شدن به اطلاعات عملیاتی دارند، مطرح میشوند.
- جمعآوری: پس از تعریف الزامات جمعآوری، دادههای خام مربوط به تهدیدهای فعلی و آتی جمعآوری میشود. در این زمینه، میتوان از منابع متنوع هوش تهدید مانند گزارشها و مستندات داخلی، اینترنت و منابع دیگر که اطلاعات قابل استنادی دارند استفاده کرد.
- پردازش: در این مرحله، دادههای جمعآوری شده با برچسبهای فراداده سازماندهی شده و اطلاعات اضافه، درست یا اشتباه بودن و هشدارهای مثبت کاذب حذف میشوند. بهعلاوه از راهحلهایی مثل SIEM و SOAPA برای تسهیل در سازماندهی دادههای جمعآوری شده استفاده میشود.
- تجزیه و تحلیل: این مرحله وجه تمایز هوش تهدید از جمعآوری و انتشار ساده اطلاعات است. در این مرحله، با استفاده از روشهای تحلیل ساختاری، دادههای پردازش شده مرحله قبل تحلیل میشوند تا فیدهای هوش تهدید سایبری ایجاد و تحلیلگران به کمک آنها بتوانند به شناسایی شاخصههای تهدید IOCها سرنام (Indicators of Compromise) بپردازند. از جمله شاخصههای تهدید باید به لینکها، وبسایتها، ایمیلها، ضمائم ایمیل و کلیدهای رجیستری مشکوک اشاره داشت.
- انتشار: در این مرحله، خروجی تحلیل شده در اختیار افراد مناسب قرار میگیرد. قابلیت ردیابی در این مرحله بهشکلی است که باعث ایجاد تداوم بین چرخهها میشود.
- بازخورد: متخصصان اطلاعات خروجی را دریافت کرده و بررسی میکنند که آیا راهحلهای ارایه شده به درستی به پرسشهای تعیین شده پاسخ دادهاند خیر. اگر پاسخدهی مطابق انتظار باشد، چرخه به پایان میرسد، در غیر این صورت نیازمندی جدید تعریف شده و مرحله اول از ابتدا آغاز میشود.
همانگونه که مشاهده میکنید، هوش تهدیدات سایبری اطلاعاتی در مورد تهدیدها و عاملهای تهدیدات که به کاهش وقوع حوادث در فضای سایبری کمک میکنند، جمعآوری میکند. در این روش، توسعه و پیشرفت هوش مصنوعی به جای اینکه در یک فرایند انتها به انتها توسعه یابد مبتنی بر یک حرکت دوار است که از آن به عنوان چرخه هوش یاد میشود. در این چرخه که شامل جمعآوری دادهها، برنامهریزی، اجرا و ارزیابی است، الزامات امنیتی تعیین میشوند و از این اطلاعات برای ساخت هوش تحلیلکننده استفاده میشود. نکته مهمی که باید به آن دقت کنید این است که بخش تجزیه و تحلیل چرخه هوش از بخشی که اطلاعات در آن جمعآوری و انتشار پیدا کرده متمایز میشوند. بنابراین، اگر سازمانی بخواهد به سطح بلوغ در زمین هوش تهدید برسد، باید این چرخه را پیادهسازی کند.
تجزیه و تحلیل هوش امنیتی، متکی به یک رویکرد دقیق فکری است که از تکنیکهای تحلیلی ساختاریافته برای اطمینان در مورد قطعیتها و عدم قطعیتها برای شناسایی و مدیریت تهدیدات استفاده میکند، بهطوری که تحلیلگران از هوش تهدید تنها برای حل مسائل دشوار استفاده نمیکنند، بلکه در زمینه انتخاب بهترین راهحل نیز بهره میبرند.
انواع هوش تهدیدات سایبری
محصول نهایی هوش تهدید به تناسب نیازهای اولیه، منابع هوش تهدید و ذینفعان متفاوت است. بهطور کلی سه نوع هوش تهدید به شرح زیر وجود دارد:
- هوش تهدید راهبردی: این نوع هوش تهدید روندهای وسیع یا مشکلات بلندمدت را پوشش میدهد. هوش تهدید راهبردی میتواند تصویری کلی از هدف و تواناییهای تهدیدهای سایبری ایجاد و به تصمیمگیریهای آگاهانه و هشدارهای فوری کمک کند. هوش مذکور، اطلاعاتی در مورد مخاطرات مهم که میتوانند برای پیشبرد استراتژیهای طراز اول سازمانی استفاده شوند ارایه میکند. این هوش با هدف منسجم کردن دیدگاهها و یکسانسازی اطلاعات متفاوت استفاده میشود و به کارشناسان در مورد مخاطرات بلندمدت و مقابله بههنگام با تهدیدها اطلاعات لازم را میدهد. هوش راهبردی با شناسایی روندها، الگوها و تهدیدها و خطرات در حال ظهور، تصویری کلی از اهداف و تواناییهای تهدیدات سایبری مخرب ارایه میکند.
- هوش تهدید فنی: این نوع از هوش تهدید از عملیاتها و رویدادهای روزانه پشتیبانی میکند و الگویی ساختاری از تاکتیکها، تکنیکها و رویههای مورد استفاده تهدیدگران در اختیار کارشناسان فنی قرار میدهد. هوش فنی به معیارهایی مثل آدرسهای آیپی، نام فایلها و هشها که برای شناسایی عوامل تهدید استفاده شوند، اشاره دارد. هوش فنی قادر به شناسایی بلادرنگ اتفاقات و فعالیتهای مشکوک است و به عنوان بازوی کمکی در اختیار کارشناسان امنیتی قرار میگیرد.
- هوش تهدید عملیاتی: بهطور کامل تخصصی است و پیرامون حملهها، کمپینها، بدافزارها یا ابزارهای مشخص قرار دارد. هوش تهدید عملیاتی میتواند به صورت یک گزارش بازرسی امنیتی باشد. بهطور کلی، هوش عملیاتی جزئیاتی در مورد انگیزه یا توانایی تهدیدکنندگان (ابزارها، تکنیکها و روشهای آنها)، اطلاعاتی در ارتباط با حوادث خاص مربوط به وقایع ارایه کرده و بینشهایی را ارائه میدهد که میتوانند عملیات پاسخگویی را خطدهی کنند. اطلاعات تهدیدات سایبری عملیاتی بهطور کامل تخصصی هستند و برای تیمهای پاسخگویی به واکنشها طراحی شدهاند. این اطلاعات اغلب مربوط به کمپینها، بدافزارها یا ابزارهایی است که هکرها از آنها استفاده کردهاند و در جرمشناسی دیجیتال قابل استفاده هستند.
مزایای مهم هوش تهدیدات سایبری
- به سازمانها اجازه میدهد تا خطمشیهای امنیتی واحدی در برابر تهدیدات اتخاذ کنند و خطمشیهای سایبری مدیریت مخاطره را بهبود بخشند.
- به کارشناسان در واکنش زودهنگام به تهدیدات کمک میکند.
- تشخیص بهتر تهدیدات را امکانپذیر میکند.
- در زمان تشخیص و شناسایی نفوذ سایبری به تصمیمگیری آگاهانه و منطقی کمک میکند.
- سرعت ردیابی تهدیدات را بیشتر میکند. الگوریتمهای انطباقی یا یادگیری ماشین که در یک سیستم امنیتی هوشمند طراحی شدهاند، میتوانند به تهدیدات بلادرنگ و پویا نیز پاسخ دهند.
کاربردهای مهم هوش مصنوعی در دنیای واقعی
سازمانها میتوانند برای تقویت زیرساختهای امنیتی از هوش مصنوعی استفاده کنند. مثالهای زیادی در این زمینه وجود دارند. بهطور مثال، جیمیل از یادگیری ماشین برای مسدود کردن هرزنامهها استفاده میکند. گوگل میگوید، الگوریتم این شرکت روزانه 122 میلیون اسپم را مسدود میکند. آیبیام با سامانه شناختی واتسون که مبتنی بر یادگیری ماشین است برای شناسایی تهدیدات سایبری و ارایه راهحلهای امنیت سایبری استفاده میکند. بهعلاوه، گوگل از یادگیری ماشین عمیق برای سازماندهی ویدیوهای ذخیره شده در فضای ابری این شرکت (یوتیوب) استفاده میکند. در این بستر، ویدیوهای ذخیره شده در سرور بر اساس محتوا و زمینه آن تحلیل میشوند و اگر مورد مشکوکی شناسایی شود، یک هشدار امنیتی برای متخصصان ارسال میکنند. به همین دلیل است که فیلمهای دارای کپیرایتی که روی این بستر آپلود میشوند به سرعت شناسایی و حذف میشوند. Balbix برای محافظت از زیرساخت فناوری اطلاعات در برابر نقض دادهای و پیشبینی فعالیتهای خطرپذیر از یادگیری ماشین استفاده میکند.
کلام آخر
آمارها به وضوح نشان میدهند که به زودی، سامانههای مجهز به هوش مصنوعی به بخش جداییناپذیر راهحلهای صنعت امنیت سایبری تبدیل میشوند. بهعلاوه، هکرها نیز از هوش مصنوعی برای آسیبزدن به سازمانها استفاده میکنند که عملا این فناوری خود در برابر تهدیدات سایبری به یک سوژه تبدیل میشود که باید راهکاری برای محافظت از آن پیدا شود.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟