The future of cybersecurity will be about ‘fighting fire with fire’
من نواح كثيرة، كان الأمن السيبراني دائمًا منافسة، يتسابق البائعون لتطوير منتجات أمنية يمكنها تحديد أي تهديدات والتخفيف من حدتها، بينما يهدف مجرمو الإنترنت إلى تطوير برامج ضارة واستغلال قادر على تجاوز الحماية.
ومع ظهور الذكاء الاصطناعي (artificial intelligence AI)، فإن هذا التبادل القتالي بين المهاجمين والمدافعين على وشك أن يصبح أكثر تعقيدًا وأكثر شراسة.
وفقًا لـ Max Heinemeyer، مدير Threat Hunting في شركة Darktrace لأمن الذكاء الاصطناعي، فإن الأمر مجرد مسألة وقت قبل أن يتم اختيار الذكاء الاصطناعي من قبل الجهات الفاعلة الخبيثة لأتمتة الهجمات وتسريع اكتشاف الثغرات الأمنية.
قال لـ TechRadar Pro: "لا نعرف بالضبط متى سيبدأ الذكاء الاصطناعي الهجومي في الظهور، ولكن يمكن أن يحدث بالفعل خلف الأبواب المغلقة". "إذا كنا قادرين على [بناء منتجات الذكاء الاصطناعي المعقدة] هنا في مختبراتنا مع عدد قليل من الباحثين، فتخيل ما يمكن للدول القومية التي تستثمر بكثافة في الحرب الإلكترونية أن تكون قادرة على ذلك".
عندما يبدأ هذا الاتجاه في الظهور، كما يبدو أمرًا لا مفر منه، يقول Heinemeyer إن الأمن السيبراني سيصبح "معركة الخوارزميات"، مع الذكاء الاصطناعي في مواجهة الذكاء الاصطناعي.
ومع ظهور الذكاء الاصطناعي (artificial intelligence AI)، فإن هذا التبادل القتالي بين المهاجمين والمدافعين على وشك أن يصبح أكثر تعقيدًا وأكثر شراسة.
وفقًا لـ Max Heinemeyer، مدير Threat Hunting في شركة Darktrace لأمن الذكاء الاصطناعي، فإن الأمر مجرد مسألة وقت قبل أن يتم اختيار الذكاء الاصطناعي من قبل الجهات الفاعلة الخبيثة لأتمتة الهجمات وتسريع اكتشاف الثغرات الأمنية.
قال لـ TechRadar Pro: "لا نعرف بالضبط متى سيبدأ الذكاء الاصطناعي الهجومي في الظهور، ولكن يمكن أن يحدث بالفعل خلف الأبواب المغلقة". "إذا كنا قادرين على [بناء منتجات الذكاء الاصطناعي المعقدة] هنا في مختبراتنا مع عدد قليل من الباحثين، فتخيل ما يمكن للدول القومية التي تستثمر بكثافة في الحرب الإلكترونية أن تكون قادرة على ذلك".
عندما يبدأ هذا الاتجاه في الظهور، كما يبدو أمرًا لا مفر منه، يقول Heinemeyer إن الأمن السيبراني سيصبح "معركة الخوارزميات"، مع الذكاء الاصطناعي في مواجهة الذكاء الاصطناعي.
نهج الإرث The legacy approach
تقليديًا، اعتمدت منتجات مكافحة الفيروسات على نهج قائم على التوقيع للحماية من البرامج الضارة. تستخدم هذه الخدمات قاعدة بيانات للتهديدات المعروفة لتحديد الهجمات الواردة.
ومع ذلك، كان الإجماع في السنوات الأخيرة على أن الأجهزة المستندة إلى الاستخبارات غير مجهزة للتعامل مع وتيرة مشهد التهديد الحديث. بعبارة أخرى، مع ظهور أنواع جديدة من التهديدات ونواقل الهجوم، تصبح هذه الأدوات القديمة عاجزة حتى يتم تحديثها بذكاء جديد، وفي ذلك الوقت يكون الوقت قد فات. لن تتفاقم هذه المشكلة إلا من خلال ظهور الذكاء الاصطناعي الهجومي، والذي سيسمح لمجرمي الإنترنت بأتمتة الهجمات بطريقة لم يسبق لها مثيل، فضلاً عن تحديد عمليات الاستغلال المحتملة بمعدل أسرع.
مثال على حملة البرمجيات الخبيثة المعاصرة القادرة على التملص من الحلول الأمنية القائمة على التوقيع هو Emotet، وهو برنامج روبوت محمل تم إزالته مؤخرًا في عملية لاذعة امتدت إلى العديد من وكالات الاستخبارات الدولية.
"Emotet مثير للاهتمام حقًا لأنه كان مرنًا جدًا وبنيته معيارية للغاية. وأوضح هاينماير أنه استخدم مستويات مختلفة من النسخ الاحتياطية وخوادم القيادة والتحكم ، وبعضها كان من نوع نظير إلى نظير". "كان من الصعب حقًا تتبعها لأنها كانت تتطور باستمرار. حتى إذا تمكنت من العثور على البنية التحتية الضارة وإدراجها في القائمة السوداء، فسيتم تبديل توقيعها".
تنتشر البرامج الضارة أيضًا بسرعة كبيرة بين الأجهزة. عندما تصيب جهازًا ما، ستجمع Emotet تفاصيل الاتصال المخزنة محليًا لاستخدامها في المزيد من هجمات التصيد عبر البريد الإلكتروني. كما أنها تعمل على طبقة الشبكة، محاولًا شق طريقها بقوة إلى أجهزة الكمبيوتر الأخرى ذات الحماية الضعيفة بكلمة مرور.
يستثمر مشغلو Emotet عملياتهم عن طريق بيع الوصول إلى الأجهزة المخترقة، والتي قد يصيبها ممثلو التهديد الآخرون ببرامج ضارة ثانوية أو برامج فدية. تُستخدم أنواع أخرى من شبكات الروبوت لتنفيذ هجمات DDoS الضخمة، بهدف تعطيل عمليات المؤسسات الكبرى.
كلما كبرت شبكة الروبوتات، زادت قوتها. ومع توسع حجم الأجهزة المتصلة المتداولة بسرعة، فإن النطاق المحتمل لشبكات الروبوت المستقبلية لا حدود له عمليًا.
"مع تزايد المشهد الرقمي العالمي، نتوقع زيادة حالات استخدام شبكات الروبوت. قال Heinemeyer: ربما لا تكون شبكات الروبوتات مثل Emotet، التي تلاحق البنية التحتية بخلاف إنترنت الأشياء، ولكن [هذا الاتجاه] يفتح بالتأكيد الباب أمام المتسللين للاستفادة من التعقيد المتزايد.
الحدود التالية The next frontier
لمعالجة البرامج الضارة سريعة الحركة والتهديدات المعقدة بشكل متزايد، تستخدم شركات الأمان مثل Darktrace الذكاء الاصطناعي لأتمتة الاكتشاف والتخفيف.
حيث تختلف Darktrace عن منافسيها، مع ذلك، في استخدامها للتعلم الآلي غير الخاضع للإشراف (على عكس التعلم الآلي الخاضع للإشراف)، والذي لا يتضمن تدريب النظام على مجموعات البيانات الحالية.
بدلاً من ذلك، يتم توصيل النظام الأساسي بالبيئة وإجراء قياسات مختلفة لتحديد تعريف العادي. بتزويده بهذه المعلومات، يستطيع النظام الإبلاغ عن أي نشاط غير طبيعي على جهاز أو شبكة قد يشير إلى هجوم إلكتروني أو اختراق حالي.
وكتعريف للتغييرات العادية داخل أي شبكة، كما حدث عندما اضطرت الشركات إلى الانتقال إلى العمل عن بُعد في ربيع العام الماضي، يتفاعل النظام ويعيد المعايرة.
قال Heinemeyer: "كان التحول إلى العمل عن بعد رائعًا من منظور معماري، لأن الناس يعملون بشكل مختلف وتغير مشهد التهديد". "فجأة، كانت هناك حركة مرور مجردة من الخوادم في المكتب، لكن نشاط VPN ذهب إلى السطح. ولكن بعد الأسبوع الأول، كان لدينا إحساس بما سيبدو عليه الوضع الطبيعي الجديد".
في الوقت الحالي، كما يقول Heinemeyer، فإن صناعة الأمن السيبراني لها اليد العليا، ولكن قد لا يكون هذا هو الحال دائمًا.
"نعتقد اعتقادا راسخا أننا بحاجة إلى النار لمكافحة النيران. الأدوات التي تنظر في هجمات الأمس لا يمكنها حتى أن تحاول محاربة هجمات الغد الآلية ". "قد يبدو الأمر مستقبليًا، لكننا سنحتاج إلى الذكاء الاصطناعي لمحاربة الذكاء الاصطناعي".
