مع التطور المستمر للتقنيات الجديدة في مشهد الأمن السيبراني، يستغل الفاعلون الخبثاء والأشرار السيبرانيون طرقًا جديدة للتخطيط لهجمات أكثر ذكاءً ونجاحًا. وفقًا لتقرير صادر عن شركة IBM، يبلغ متوسط التكلفة العالمية لخرق البيانات 4.35 مليون دولار، وتحمل الولايات المتحدة العنوان لأعلى تكلفة لخرق البيانات عند 9.44 مليون دولار، أي أكثر من ضعف المتوسط العالمي.
في نفس الدراسة، وجدت شركة IBM أن المنظمات التي تستخدم الذكاء الاصطناعي (AI) والأتمتة لديها دورة حياة اختراق أقصر لمدة 74 يومًا وتوفر ما متوسطه 3 ملايين دولار أكثر من تلك التي لا تمتلكها. نظرًا لأنه من المتوقع أن ينمو السوق العالمي لتقنيات الأمن السيبراني للذكاء الاصطناعي بمعدل نمو مركب يبلغ 23.6٪ حتى عام 2027، يمكن اعتبار الذكاء الاصطناعي في الأمن السيبراني حليفًا مرحبًا به، مما يساعد المنظمات التي تعتمد على البيانات في فك تشفير سيل التهديدات القادمة.
توفر تقنيات الذكاء الاصطناعي مثل التعلم الآلي (ML) ومعالجة اللغة الطبيعية رؤى سريعة في الوقت الفعلي لتحليل التهديدات السيبرانية المحتملة. علاوة على ذلك، يمكن أن يساعد استخدام الخوارزميات لإنشاء نماذج سلوكية في التنبؤ بالهجمات الإلكترونية حيث يتم جمع بيانات أحدث. تساعد هذه التقنيات معًا الشركات في تحسين دفاعاتها الأمنية من خلال تعزيز سرعة ودقة استجابتها للأمن السيبراني، مما يسمح لها بالامتثال لأفضل الممارسات الأمنية.
هل يمكن أن يسير الذكاء الاصطناعي والأمن السيبراني جنبًا إلى جنب؟
مع احتضان المزيد من الشركات للتحول الرقمي، انتشرت الهجمات الإلكترونية بشكل متساوٍ. نظرًا لأن المتسللين يشنون هجمات معقدة بشكل متزايد على شبكات الأعمال، يمكن للذكاء الاصطناعي والتعلم الآلي الحماية من هذه الهجمات المعقدة. في الواقع، أصبحت هذه التقنيات على نحو متزايد أدوات شائعة لمحترفي الأمن السيبراني في حربهم المستمرة ضد الجهات الخبيثة.
يمكن لخوارزميات الذكاء الاصطناعي أيضًا أتمتة العديد من المهام الشاقة والمستهلكة للوقت في الأمن السيبراني، مما يحرر المحللين البشريين للتركيز على المهام الأكثر تعقيدًا وحيوية. يمكن أن يؤدي ذلك إلى تحسين الكفاءة والفعالية بشكل عام لعمليات الأمن. بالإضافة إلى ذلك، يمكن لخوارزميات ML اكتشاف وتقييم مشكلات الأمان تلقائيًا. يمكن للبعض أن يستجيب للتهديدات تلقائيًا. العديد من أدوات الأمان الحديثة، مثل استخبارات التهديدات واكتشاف الأخطاء والكشف عن الاحتيال، تستخدم بالفعل ML.
قال ديك أوبراين، محلل الاستخبارات الرئيسي في فريق صائد التهديدات في سيمانتيك، إن الذكاء الاصطناعي يلعب اليوم دورًا مهمًا في الأمن السيبراني وهو أساسي في معالجة التحديات الأمنية الرئيسية.
قال أوبراين: "نرى المهاجمين ينشرون برامج مشروعة لأغراض شائنة أو"العيش خارج الأرض"- باستخدام أدوات موجودة بالفعل على شبكة الهدف لأغراضهم الخاصة. "لم يعد تحديد الملفات الضارة كافياً. بدلاً من ذلك، نحتاج الآن إلى أن نكون قادرين على تحديد أنماط السلوك الضارة، وهنا يأتي دور الذكاء الاصطناعي".
وقال إن الفحص اليدوي وتعديل السياسة لكل مؤسسة لا يتسع نطاقها والسياسات التي تتوافق مع القاسم القياسي الأدنى تجعل المؤسسات في خطر.
وقال: "يسمح استخدام الذكاء الاصطناعي للأمن التكيفي للمؤسسات بتكييف وصياغة سياسات الأمن السيبراني الخاصة بكل مؤسسة". "نعتقد أن تقنية اكتشاف السلوك المستندة إلى الذكاء الاصطناعي يجب أن تكون مكونًا رئيسيًا في مجموعة أي مؤسسة ذات وضع أمني ناضج".
وبالمثل، هناك العديد من خوارزميات تعلم الآلة التي يمكن أن تساعد في إنشاء خط أساس لاكتشاف التهديدات وتحليلها في الوقت الفعلي:
"لقد نما سطح هجوم اليوم وتطوره إلى درجة أصبح فيها الذكاء الاصطناعي الآن ضروريًا للتعامل مع الكم الهائل من البيانات وتعقيد تكنولوجيا المعلومات ونقص القوى العاملة الذي يواجه فرق الأمن. ومع ذلك، لكي ينجح الذكاء الاصطناعي في الأمن، يجب أن يكون أيضًا قابلاً للتفسير وغير متحيز وموثوق به في هذا الدفاع - مما يمكّن محللي الأمن من تشغيل SOC بشكل أكثر كفاءة".
قال مبيدي إن غرس الذكاء الاصطناعي يمكن أن يساعد الشركات على اكتشاف ومواجهة مثل هذه الهجمات المعقدة والمستهدفة وعدم الاعتماد فقط على المصادقة التقليدية ذات العامل الواحد أو الثنائي.
"يمكن للقياسات الحيوية السلوكية المستندة إلى الذكاء الاصطناعي أن تساعد في التحقق من صحة المستخدم استنادًا إلى تقنيات مثل ضغطات المفاتيح أو الوقت الذي يقضيه المستخدم على الصفحة أو تنقل المستخدم أو حركة الماوس. يمكن للذكاء الاصطناعي أن يساعد الشركات على التطور من التحقق من صحة المستخدم الثابت إلى آليات المصادقة الأكثر ديناميكية القائمة على المخاطر لمعالجة الاحتيال سريع النمو عبر الإنترنت".
التحديات الأمنية في الأبنية الأمنية التقليدية
تقليديًا، لا تستخدم أدوات الأمان سوى التوقيعات أو مؤشرات الهجوم لتحديد التهديدات. ومع ذلك، في حين أن هذه التقنية يمكن أن تحدد بسرعة التهديدات المكتشفة سابقًا، فإن الأدوات القائمة على التوقيع لا يمكنها اكتشاف التهديدات التي لم يتم العثور عليها بعد. تستجيب تقنيات إدارة الثغرات التقليدية للحوادث فقط بعد أن يستغل المتسللون الثغرة الأمنية بالفعل ؛ تحتاج المنظمات إلى مساعدة في إدارة العدد الكبير من نقاط الضعف الجديدة التي تواجهها يوميًا وتحديد أولوياتها.
نظرًا لأن معظم المؤسسات تحتاج إلى اصطلاح تسمية دقيق للتطبيقات وأعباء العمل، يتعين على فرق الأمان قضاء الكثير من وقتهم في تحديد مجموعة أعباء العمل التي تنتمي إلى تطبيق معين. يمكن للذكاء الاصطناعي تعزيز أمان الشبكة من خلال تعلم أنماط حركة مرور الشبكة والتوصية بسياسات الأمان وتجميع أعباء العمل الوظيفية.
يقول Allie Mellen، كبير المحللين في Forrester، إن التحدي الأكبر الذي يواجه فرق الأمن التي تستخدم تقنيات الأمان الحالية هو أنها تحتاج إلى إعطاء الأولوية لتجربة المحللين.
قال ميلين: "لا تعالج تقنيات الأمان بشكل فعال سير عمل محلل الأمن النموذجي من الاكتشاف إلى التحقيق إلى الاستجابة، مما يجعل من الصعب استخدامها ويضع محللي الأمن في وضع غير موات". "على وجه الخصوص، لم يتم تصميم تقنيات الأمان لتمكين التحقيق - فهي تركز بشدة على الاكتشاف، مما يترك المحللين يقضون وقتًا لا يُصدق في إجراء تحقيق قد يكون أكثر فائدة في مجالات أخرى".
قال Adrien Gendre، كبير مسؤولي التكنولوجيا والمنتج وأحد مؤسسي شركة Vade: "غالبًا ما تعتمد أنظمة الأمن السيبراني التقليدية فقط على الأساليب القائمة على التوقيع والسمعة".
"أصبح المتسللون أكثر تعقيدًا ويمكنهم الالتفاف على المرشحات التقليدية بعدة طرق، مثل انتحال اسم العرض والتشويش على عناوين URL. باستخدام الذكاء الاصطناعي، يمكن الإشارة إلى اتجاه تم رصده في جزء من العالم والتخفيف من حدته قبل أن يشق طريقه إلى جزء آخر من العالم من خلال تحليل الأنماط والاتجاهات والانحرافات".
أمن الذكاء الاصطناعي يُحدث ثورة في اكتشاف التهديدات والاستجابة لها
أحد أكثر تطبيقات ML في الأمن السيبراني فعالية هو اكتشاف الأنماط المعقد. يختبئ المهاجمون الإلكترونيون بشكل متكرر داخل الشبكات ويتجنبون الاكتشاف عن طريق تشفير اتصالاتهم واستخدام كلمات المرور المسروقة وحذف السجلات أو تغييرها. ومع ذلك، يمكن لبرنامج ML الذي يكتشف النشاط الشاذ أن يمسك بهم أثناء الفعل. علاوة على ذلك، نظرًا لأن ML أسرع بكثير من محلل الأمن البشري في اكتشاف أنماط البيانات، فيمكنه اكتشاف الحركات التي تفوتها المنهجيات التقليدية.
على سبيل المثال، من خلال التحليل المستمر لبيانات الشبكة بحثًا عن الاختلافات، يمكن لنموذج ML اكتشاف الاتجاهات الخطيرة في تردد إرسال البريد الإلكتروني التي قد تؤدي إلى استخدام البريد الإلكتروني في هجوم صادر. علاوة على ذلك، يمكن أن يتكيف ML ديناميكيًا مع التغييرات من خلال استهلاك بيانات جديدة والاستجابة للظروف المتغيرة.
يعتقد إد بوين، مدير إدارة المخاطر الإلكترونية والإستراتيجية في شركة Deloitte، أن الذكاء الاصطناعي يعمل جنبًا إلى جنب مع الصحة الإلكترونية الجيدة الأساسية، مثل تجزئة الشبكة، لعزل تفاصيل نقاط البيع ومعلومات تحديد الهوية الشخصية.
قال بوين: "يمكن للذكاء الاصطناعي أن يساعد في زيادة مراقبة الشبكة لكل قطاع بحثًا عن علامات الحركة الجانبية والتهديدات المستمرة المتقدمة". "بالإضافة إلى ذلك، يمكن استخدام التعلم المعزز المدفوع بالذكاء الاصطناعي كـ" فريق أحمر "لاستكشاف الشبكات بحثًا عن نقاط الضعف التي يمكن تعزيزها لتقليل فرص الاختراق".
قال بوين أيضًا إن التحليلات السلوكية التي يحركها الذكاء الاصطناعي يمكن أن تكون مفيدة للغاية في إدارة الهوية.
"يؤدي الاحتفاظ بالبيانات المتعلقة بسلوك المستخدم ثم استخدام التعرف على الأنماط لتحديد الأنشطة عالية الخطورة على الشبكة إلى إنشاء إشارات فعالة في اكتشاف التهديدات. يمكن للمؤسسات أيضًا استخدام التعلم العميق لتحديد النشاط الشاذ حيث يقوم الخصوم بفحص أصول الشبكة بحثًا عن نقاط الضعف ". "ولكن، يجب تصميم بنية (الأنظمة) الإلكترونية بشكل جيد وصيانتها حتى يمكن تطبيق الذكاء الاصطناعي بشكل فعال".
وبالمثل، قالت كاثرين وود، كبيرة علماء البيانات في Signifyd، إن التحليلات السلوكية المستندة إلى الذكاء الاصطناعي وتقنيات الكشف عن الشذوذ يمكن أن تكون حلاً فعالاً لمطابقة السرعة والنطاق اللذين يعمل بهما الاحتيال الآلي.
"عندما يكتسب المحتال حق الوصول إلى حساب أو يحدد بيانات مالية مسروقة قابلة للحياة، يمكن أيضًا استخدام الروبوتات لشراء منتجات قيمة بكميات كبيرة بوتيرة سريعة بشكل لا يصدق. قال وود، باستخدام الاكتشاف المعتمد على الذكاء الاصطناعي والحماية من الاحتيال، يمكن للمؤسسات اليوم التخفيف بسرعة من مثل هذه التهديدات. تعتمد حلول الحماية من الاحتيال الأكثر تقدمًا الآن على ML لمعالجة آلاف الإشارات في معاملة ما للكشف الفوري عن الطلبات الاحتيالية والهجمات الآلية ومنعها. بالإضافة إلى ذلك، تتيح الرؤية الواسعة للذكاء الاصطناعي لنماذج الأمان اكتشاف التغييرات المفاجئة في السلوك التي قد تشير إلى الاستيلاء على الحساب، أو الارتفاع غير المعتاد في محاولات تسجيل الدخول الفاشلة التي تنذر بهجوم آلي لحشو بيانات الاعتماد، أو التصفح والشراء بسرعة مستحيلة مما يشير إلى نشاط الروبوت".
لكن ديفيد موفشوفيتز، الشريك المؤسس والمدير التقني لشركة RevealSecurity، لديه رأي مختلف. ووفقًا له، فشلت التحليلات السلوكية للمستخدم والكيان بسبب الاختلافات الكبيرة بين التطبيقات. لذلك، تم تطوير النماذج فقط لسيناريوهات طبقة التطبيق المحدودة، كما هو الحال في القطاع المالي (بطاقة الائتمان، ومكافحة غسيل الأموال، وما إلى ذلك).
قال موفشوفيتز: "حلول الاكتشاف المستندة إلى القواعد، مثل اكتشاف العيوب، تشتهر بإشكالياتها لأنها تولد العديد من الإيجابيات الزائفة والسلبيات الكاذبة، ولا تتسع عبر العديد من التطبيقات".
وأوضح كذلك أن السوق الأمنية اعتمدت التحليل الإحصائي لزيادة الحلول المستندة إلى القواعد في محاولة لتوفير كشف أكثر دقة للبنية التحتية وطبقات الوصول. ومع ذلك، فقد فشلوا في تقديم دقة متزايدة بشكل كبير وخفض التنبيهات الإيجابية الخاطئة التي تم الوعد بها، بسبب افتراض خاطئ جوهريًا بأن الكميات الإحصائية، مثل متوسط عدد الأنشطة اليومية، يمكن أن تميز سلوك المستخدم.
قال موفشوفيتز: "تم بناء هذا الافتراض الخاطئ في تقنيات التحليلات السلوكية واكتشاف العيوب، والتي تميز المستخدم بمتوسط الأنشطة. ولكن، في الواقع، ليس لدى الأشخاص "سلوكيات متوسطة"، ومن ثم فمن غير المجدي محاولة وصف السلوك البشري بكميات مثل "المتوسط" أو "الانحراف المعياري" أو "الوسيط" لنشاط واحد".
وقال أيضًا إن الكشف عن هذه الخروقات يتكون عادةً من غربلة أطنان من بيانات السجل يدويًا من مصادر متعددة عندما يكون هناك شك. "وهذا يجعل اكتشاف التطبيقات والاستجابة لها نقطة ضعف كبيرة للمؤسسات، لا سيما مع تطبيقات الأعمال الأساسية الخاصة بهم. اليوم، يجب على CISOs التركيز بدلاً من ذلك على تعلم ملفات تعريف الأنشطة النموذجية المتعددة للمستخدمين".
وتعليقًا على ذلك، قال ميلين من شركة Forrester إن التحقق من فعالية الكشف يمكن أن يكون حلاً محتملاً لمعالجة مخاطر الذكاء الاصطناعي هذه وتقليل الإيجابيات الكاذبة.
"إحدى الطرق المثيرة للاهتمام التي يُستخدم بها ML في أدوات الأمان اليوم، والتي لا تتم مناقشتها كثيرًا، هي التحقق من فعالية الكشف. غالبًا ما نربط ML باكتشاف هجوم بدلاً من التحقق مما إذا كان هذا الاكتشاف دقيقًا "، قال ميلين. "لا يمكن أن يساعد التحقق من فعالية الاكتشاف في تقليل الإيجابيات الخاطئة فحسب، بل يمكن استخدامه أيضًا لتقييم أداء المحللين، والذي، عند استخدامه بشكل إجمالي، يمكن أن يساعد فرق الأمان على فهم كيفية عمل مصادر أو عمليات معينة للسجلات بشكل جيد ودعم تجربة المحللين".
في نفس الدراسة، وجدت شركة IBM أن المنظمات التي تستخدم الذكاء الاصطناعي (AI) والأتمتة لديها دورة حياة اختراق أقصر لمدة 74 يومًا وتوفر ما متوسطه 3 ملايين دولار أكثر من تلك التي لا تمتلكها. نظرًا لأنه من المتوقع أن ينمو السوق العالمي لتقنيات الأمن السيبراني للذكاء الاصطناعي بمعدل نمو مركب يبلغ 23.6٪ حتى عام 2027، يمكن اعتبار الذكاء الاصطناعي في الأمن السيبراني حليفًا مرحبًا به، مما يساعد المنظمات التي تعتمد على البيانات في فك تشفير سيل التهديدات القادمة.
توفر تقنيات الذكاء الاصطناعي مثل التعلم الآلي (ML) ومعالجة اللغة الطبيعية رؤى سريعة في الوقت الفعلي لتحليل التهديدات السيبرانية المحتملة. علاوة على ذلك، يمكن أن يساعد استخدام الخوارزميات لإنشاء نماذج سلوكية في التنبؤ بالهجمات الإلكترونية حيث يتم جمع بيانات أحدث. تساعد هذه التقنيات معًا الشركات في تحسين دفاعاتها الأمنية من خلال تعزيز سرعة ودقة استجابتها للأمن السيبراني، مما يسمح لها بالامتثال لأفضل الممارسات الأمنية.
هل يمكن أن يسير الذكاء الاصطناعي والأمن السيبراني جنبًا إلى جنب؟
مع احتضان المزيد من الشركات للتحول الرقمي، انتشرت الهجمات الإلكترونية بشكل متساوٍ. نظرًا لأن المتسللين يشنون هجمات معقدة بشكل متزايد على شبكات الأعمال، يمكن للذكاء الاصطناعي والتعلم الآلي الحماية من هذه الهجمات المعقدة. في الواقع، أصبحت هذه التقنيات على نحو متزايد أدوات شائعة لمحترفي الأمن السيبراني في حربهم المستمرة ضد الجهات الخبيثة.
يمكن لخوارزميات الذكاء الاصطناعي أيضًا أتمتة العديد من المهام الشاقة والمستهلكة للوقت في الأمن السيبراني، مما يحرر المحللين البشريين للتركيز على المهام الأكثر تعقيدًا وحيوية. يمكن أن يؤدي ذلك إلى تحسين الكفاءة والفعالية بشكل عام لعمليات الأمن. بالإضافة إلى ذلك، يمكن لخوارزميات ML اكتشاف وتقييم مشكلات الأمان تلقائيًا. يمكن للبعض أن يستجيب للتهديدات تلقائيًا. العديد من أدوات الأمان الحديثة، مثل استخبارات التهديدات واكتشاف الأخطاء والكشف عن الاحتيال، تستخدم بالفعل ML.
قال ديك أوبراين، محلل الاستخبارات الرئيسي في فريق صائد التهديدات في سيمانتيك، إن الذكاء الاصطناعي يلعب اليوم دورًا مهمًا في الأمن السيبراني وهو أساسي في معالجة التحديات الأمنية الرئيسية.
قال أوبراين: "نرى المهاجمين ينشرون برامج مشروعة لأغراض شائنة أو"العيش خارج الأرض"- باستخدام أدوات موجودة بالفعل على شبكة الهدف لأغراضهم الخاصة. "لم يعد تحديد الملفات الضارة كافياً. بدلاً من ذلك، نحتاج الآن إلى أن نكون قادرين على تحديد أنماط السلوك الضارة، وهنا يأتي دور الذكاء الاصطناعي".
وقال إن الفحص اليدوي وتعديل السياسة لكل مؤسسة لا يتسع نطاقها والسياسات التي تتوافق مع القاسم القياسي الأدنى تجعل المؤسسات في خطر.
وقال: "يسمح استخدام الذكاء الاصطناعي للأمن التكيفي للمؤسسات بتكييف وصياغة سياسات الأمن السيبراني الخاصة بكل مؤسسة". "نعتقد أن تقنية اكتشاف السلوك المستندة إلى الذكاء الاصطناعي يجب أن تكون مكونًا رئيسيًا في مجموعة أي مؤسسة ذات وضع أمني ناضج".
وبالمثل، هناك العديد من خوارزميات تعلم الآلة التي يمكن أن تساعد في إنشاء خط أساس لاكتشاف التهديدات وتحليلها في الوقت الفعلي:
- الانحدار: يكتشف الارتباطات بين مجموعات البيانات المختلفة لفهم علاقتها. يمكن أن يتوقع الانحدار استدعاءات نظام التشغيل والعثور على تشوهات من خلال مقارنة التنبؤ بمكالمة نظام فعلية.
- التجميع: تساعد هذه الطريقة في تحديد أوجه التشابه بين مجموعات البيانات وتجميعها بناءً على ميزاتها القياسية. يعمل التجميع مباشرة على البيانات الجديدة دون النظر في الأمثلة أو البيانات التاريخية.
- التصنيف: تتعلم خوارزميات التصنيف تحديدًا من الملاحظات التاريخية وتحاول تطبيق ما تعلموه على البيانات الجديدة غير المرئية. تتضمن طريقة التصنيف أخذ القطع الأثرية وتصنيفها تحت واحدة من عدة ملصقات. على سبيل المثال، تصنيف ملف ضمن فئات متعددة مثل البرامج المشروعة أو برامج الإعلانات المتسللة أو برامج الفدية أو برامج التجسس.
- التجميع: تساعد هذه الطريقة في تحديد أوجه التشابه بين مجموعات البيانات وتجميعها بناءً على ميزاتها القياسية. يعمل التجميع مباشرة على البيانات الجديدة دون النظر في الأمثلة أو البيانات التاريخية.
- التصنيف: تتعلم خوارزميات التصنيف تحديدًا من الملاحظات التاريخية وتحاول تطبيق ما تعلموه على البيانات الجديدة غير المرئية. تتضمن طريقة التصنيف أخذ القطع الأثرية وتصنيفها تحت واحدة من عدة ملصقات. على سبيل المثال، تصنيف ملف ضمن فئات متعددة مثل البرامج المشروعة أو برامج الإعلانات المتسللة أو برامج الفدية أو برامج التجسس.
"لقد نما سطح هجوم اليوم وتطوره إلى درجة أصبح فيها الذكاء الاصطناعي الآن ضروريًا للتعامل مع الكم الهائل من البيانات وتعقيد تكنولوجيا المعلومات ونقص القوى العاملة الذي يواجه فرق الأمن. ومع ذلك، لكي ينجح الذكاء الاصطناعي في الأمن، يجب أن يكون أيضًا قابلاً للتفسير وغير متحيز وموثوق به في هذا الدفاع - مما يمكّن محللي الأمن من تشغيل SOC بشكل أكثر كفاءة".
قال مبيدي إن غرس الذكاء الاصطناعي يمكن أن يساعد الشركات على اكتشاف ومواجهة مثل هذه الهجمات المعقدة والمستهدفة وعدم الاعتماد فقط على المصادقة التقليدية ذات العامل الواحد أو الثنائي.
"يمكن للقياسات الحيوية السلوكية المستندة إلى الذكاء الاصطناعي أن تساعد في التحقق من صحة المستخدم استنادًا إلى تقنيات مثل ضغطات المفاتيح أو الوقت الذي يقضيه المستخدم على الصفحة أو تنقل المستخدم أو حركة الماوس. يمكن للذكاء الاصطناعي أن يساعد الشركات على التطور من التحقق من صحة المستخدم الثابت إلى آليات المصادقة الأكثر ديناميكية القائمة على المخاطر لمعالجة الاحتيال سريع النمو عبر الإنترنت".
التحديات الأمنية في الأبنية الأمنية التقليدية
تقليديًا، لا تستخدم أدوات الأمان سوى التوقيعات أو مؤشرات الهجوم لتحديد التهديدات. ومع ذلك، في حين أن هذه التقنية يمكن أن تحدد بسرعة التهديدات المكتشفة سابقًا، فإن الأدوات القائمة على التوقيع لا يمكنها اكتشاف التهديدات التي لم يتم العثور عليها بعد. تستجيب تقنيات إدارة الثغرات التقليدية للحوادث فقط بعد أن يستغل المتسللون الثغرة الأمنية بالفعل ؛ تحتاج المنظمات إلى مساعدة في إدارة العدد الكبير من نقاط الضعف الجديدة التي تواجهها يوميًا وتحديد أولوياتها.
نظرًا لأن معظم المؤسسات تحتاج إلى اصطلاح تسمية دقيق للتطبيقات وأعباء العمل، يتعين على فرق الأمان قضاء الكثير من وقتهم في تحديد مجموعة أعباء العمل التي تنتمي إلى تطبيق معين. يمكن للذكاء الاصطناعي تعزيز أمان الشبكة من خلال تعلم أنماط حركة مرور الشبكة والتوصية بسياسات الأمان وتجميع أعباء العمل الوظيفية.
يقول Allie Mellen، كبير المحللين في Forrester، إن التحدي الأكبر الذي يواجه فرق الأمن التي تستخدم تقنيات الأمان الحالية هو أنها تحتاج إلى إعطاء الأولوية لتجربة المحللين.
قال ميلين: "لا تعالج تقنيات الأمان بشكل فعال سير عمل محلل الأمن النموذجي من الاكتشاف إلى التحقيق إلى الاستجابة، مما يجعل من الصعب استخدامها ويضع محللي الأمن في وضع غير موات". "على وجه الخصوص، لم يتم تصميم تقنيات الأمان لتمكين التحقيق - فهي تركز بشدة على الاكتشاف، مما يترك المحللين يقضون وقتًا لا يُصدق في إجراء تحقيق قد يكون أكثر فائدة في مجالات أخرى".
قال Adrien Gendre، كبير مسؤولي التكنولوجيا والمنتج وأحد مؤسسي شركة Vade: "غالبًا ما تعتمد أنظمة الأمن السيبراني التقليدية فقط على الأساليب القائمة على التوقيع والسمعة".
"أصبح المتسللون أكثر تعقيدًا ويمكنهم الالتفاف على المرشحات التقليدية بعدة طرق، مثل انتحال اسم العرض والتشويش على عناوين URL. باستخدام الذكاء الاصطناعي، يمكن الإشارة إلى اتجاه تم رصده في جزء من العالم والتخفيف من حدته قبل أن يشق طريقه إلى جزء آخر من العالم من خلال تحليل الأنماط والاتجاهات والانحرافات".
أمن الذكاء الاصطناعي يُحدث ثورة في اكتشاف التهديدات والاستجابة لها
أحد أكثر تطبيقات ML في الأمن السيبراني فعالية هو اكتشاف الأنماط المعقد. يختبئ المهاجمون الإلكترونيون بشكل متكرر داخل الشبكات ويتجنبون الاكتشاف عن طريق تشفير اتصالاتهم واستخدام كلمات المرور المسروقة وحذف السجلات أو تغييرها. ومع ذلك، يمكن لبرنامج ML الذي يكتشف النشاط الشاذ أن يمسك بهم أثناء الفعل. علاوة على ذلك، نظرًا لأن ML أسرع بكثير من محلل الأمن البشري في اكتشاف أنماط البيانات، فيمكنه اكتشاف الحركات التي تفوتها المنهجيات التقليدية.
على سبيل المثال، من خلال التحليل المستمر لبيانات الشبكة بحثًا عن الاختلافات، يمكن لنموذج ML اكتشاف الاتجاهات الخطيرة في تردد إرسال البريد الإلكتروني التي قد تؤدي إلى استخدام البريد الإلكتروني في هجوم صادر. علاوة على ذلك، يمكن أن يتكيف ML ديناميكيًا مع التغييرات من خلال استهلاك بيانات جديدة والاستجابة للظروف المتغيرة.
يعتقد إد بوين، مدير إدارة المخاطر الإلكترونية والإستراتيجية في شركة Deloitte، أن الذكاء الاصطناعي يعمل جنبًا إلى جنب مع الصحة الإلكترونية الجيدة الأساسية، مثل تجزئة الشبكة، لعزل تفاصيل نقاط البيع ومعلومات تحديد الهوية الشخصية.
قال بوين: "يمكن للذكاء الاصطناعي أن يساعد في زيادة مراقبة الشبكة لكل قطاع بحثًا عن علامات الحركة الجانبية والتهديدات المستمرة المتقدمة". "بالإضافة إلى ذلك، يمكن استخدام التعلم المعزز المدفوع بالذكاء الاصطناعي كـ" فريق أحمر "لاستكشاف الشبكات بحثًا عن نقاط الضعف التي يمكن تعزيزها لتقليل فرص الاختراق".
قال بوين أيضًا إن التحليلات السلوكية التي يحركها الذكاء الاصطناعي يمكن أن تكون مفيدة للغاية في إدارة الهوية.
"يؤدي الاحتفاظ بالبيانات المتعلقة بسلوك المستخدم ثم استخدام التعرف على الأنماط لتحديد الأنشطة عالية الخطورة على الشبكة إلى إنشاء إشارات فعالة في اكتشاف التهديدات. يمكن للمؤسسات أيضًا استخدام التعلم العميق لتحديد النشاط الشاذ حيث يقوم الخصوم بفحص أصول الشبكة بحثًا عن نقاط الضعف ". "ولكن، يجب تصميم بنية (الأنظمة) الإلكترونية بشكل جيد وصيانتها حتى يمكن تطبيق الذكاء الاصطناعي بشكل فعال".
وبالمثل، قالت كاثرين وود، كبيرة علماء البيانات في Signifyd، إن التحليلات السلوكية المستندة إلى الذكاء الاصطناعي وتقنيات الكشف عن الشذوذ يمكن أن تكون حلاً فعالاً لمطابقة السرعة والنطاق اللذين يعمل بهما الاحتيال الآلي.
"عندما يكتسب المحتال حق الوصول إلى حساب أو يحدد بيانات مالية مسروقة قابلة للحياة، يمكن أيضًا استخدام الروبوتات لشراء منتجات قيمة بكميات كبيرة بوتيرة سريعة بشكل لا يصدق. قال وود، باستخدام الاكتشاف المعتمد على الذكاء الاصطناعي والحماية من الاحتيال، يمكن للمؤسسات اليوم التخفيف بسرعة من مثل هذه التهديدات. تعتمد حلول الحماية من الاحتيال الأكثر تقدمًا الآن على ML لمعالجة آلاف الإشارات في معاملة ما للكشف الفوري عن الطلبات الاحتيالية والهجمات الآلية ومنعها. بالإضافة إلى ذلك، تتيح الرؤية الواسعة للذكاء الاصطناعي لنماذج الأمان اكتشاف التغييرات المفاجئة في السلوك التي قد تشير إلى الاستيلاء على الحساب، أو الارتفاع غير المعتاد في محاولات تسجيل الدخول الفاشلة التي تنذر بهجوم آلي لحشو بيانات الاعتماد، أو التصفح والشراء بسرعة مستحيلة مما يشير إلى نشاط الروبوت".
لكن ديفيد موفشوفيتز، الشريك المؤسس والمدير التقني لشركة RevealSecurity، لديه رأي مختلف. ووفقًا له، فشلت التحليلات السلوكية للمستخدم والكيان بسبب الاختلافات الكبيرة بين التطبيقات. لذلك، تم تطوير النماذج فقط لسيناريوهات طبقة التطبيق المحدودة، كما هو الحال في القطاع المالي (بطاقة الائتمان، ومكافحة غسيل الأموال، وما إلى ذلك).
قال موفشوفيتز: "حلول الاكتشاف المستندة إلى القواعد، مثل اكتشاف العيوب، تشتهر بإشكالياتها لأنها تولد العديد من الإيجابيات الزائفة والسلبيات الكاذبة، ولا تتسع عبر العديد من التطبيقات".
وأوضح كذلك أن السوق الأمنية اعتمدت التحليل الإحصائي لزيادة الحلول المستندة إلى القواعد في محاولة لتوفير كشف أكثر دقة للبنية التحتية وطبقات الوصول. ومع ذلك، فقد فشلوا في تقديم دقة متزايدة بشكل كبير وخفض التنبيهات الإيجابية الخاطئة التي تم الوعد بها، بسبب افتراض خاطئ جوهريًا بأن الكميات الإحصائية، مثل متوسط عدد الأنشطة اليومية، يمكن أن تميز سلوك المستخدم.
قال موفشوفيتز: "تم بناء هذا الافتراض الخاطئ في تقنيات التحليلات السلوكية واكتشاف العيوب، والتي تميز المستخدم بمتوسط الأنشطة. ولكن، في الواقع، ليس لدى الأشخاص "سلوكيات متوسطة"، ومن ثم فمن غير المجدي محاولة وصف السلوك البشري بكميات مثل "المتوسط" أو "الانحراف المعياري" أو "الوسيط" لنشاط واحد".
وقال أيضًا إن الكشف عن هذه الخروقات يتكون عادةً من غربلة أطنان من بيانات السجل يدويًا من مصادر متعددة عندما يكون هناك شك. "وهذا يجعل اكتشاف التطبيقات والاستجابة لها نقطة ضعف كبيرة للمؤسسات، لا سيما مع تطبيقات الأعمال الأساسية الخاصة بهم. اليوم، يجب على CISOs التركيز بدلاً من ذلك على تعلم ملفات تعريف الأنشطة النموذجية المتعددة للمستخدمين".
وتعليقًا على ذلك، قال ميلين من شركة Forrester إن التحقق من فعالية الكشف يمكن أن يكون حلاً محتملاً لمعالجة مخاطر الذكاء الاصطناعي هذه وتقليل الإيجابيات الكاذبة.
"إحدى الطرق المثيرة للاهتمام التي يُستخدم بها ML في أدوات الأمان اليوم، والتي لا تتم مناقشتها كثيرًا، هي التحقق من فعالية الكشف. غالبًا ما نربط ML باكتشاف هجوم بدلاً من التحقق مما إذا كان هذا الاكتشاف دقيقًا "، قال ميلين. "لا يمكن أن يساعد التحقق من فعالية الاكتشاف في تقليل الإيجابيات الخاطئة فحسب، بل يمكن استخدامه أيضًا لتقييم أداء المحللين، والذي، عند استخدامه بشكل إجمالي، يمكن أن يساعد فرق الأمان على فهم كيفية عمل مصادر أو عمليات معينة للسجلات بشكل جيد ودعم تجربة المحللين".
ما يمكن توقعه من الأمان المستند إلى الذكاء الاصطناعي في عام 2023
يتوقع بوين من Deloitte أن الذكاء الاصطناعي سيؤدي إلى تحسين فعالية الكشف وتحسين الموارد البشرية. ومع ذلك، يقول أيضًا إن المنظمات التي تفشل في استخدام الذكاء الاصطناعي ستصبح أهدافًا سهلة للخصوم الذين يستفيدون من هذه التكنولوجيا.
"التهديدات التي لا يمكن اكتشافها على الحزم التقليدية اليوم سيتم اكتشافها باستخدام هذه الأدوات والأنظمة الأساسية والبنى الجديدة. عندما يكون ذلك ممكنًا، سنرى المزيد من نماذج الذكاء الاصطناعي / التعلم الآلي يتم دفعها إلى الحافة لمنعها واكتشافها والاستجابة لها بشكل مستقل. "سيتم تحسين إدارة الهوية مع امتثال أفضل، مما يؤدي إلى وضع وقائي أفضل لمنظمات الأمن السيبراني التي يقودها الذكاء الاصطناعي. سنرى مستويات أعلى من التأثير السلبي لتلك المؤسسات التي تأخرت في استخدام الذكاء الاصطناعي كجزء من مجموعتها الشاملة".
وأضاف موبيدي من شركة IBM: "تركز التطبيقات الحالية للذكاء الاصطناعي في الأمن السيبراني على ما نسميه" الذكاء الاصطناعي الضيق"- تدريب النماذج على مجموعة محددة من البيانات لإنتاج نتائج محددة مسبقًا. "في المستقبل، وحتى في وقت قريب من عام 2023، نرى إمكانات كبيرة لاستخدام نماذج "الذكاء الاصطناعي الواسعة" في الأمن السيبراني - تدريب نموذج أساسي كبير على مجموعة بيانات شاملة لاكتشاف التهديدات الجديدة والمراوغة بشكل أسرع".
"نظرًا لأن مجرمي الإنترنت يطورون باستمرار تكتيكاتهم، فإن تطبيقات الذكاء الاصطناعي الواسعة هذه ستفتح المزيد من حالات استخدام الأمان التنبؤية والاستباقية، مما يسمح لنا بالبقاء في صدارة المهاجمين مقابل التكيف مع التقنيات الحالية".
