ما هي التحديات التي تنشأ عند استخدام الأمن السيبراني والذكاء الاصطناعي وما هي القوة؟
أ.د. يوســف الدرادكــــــة
في الوقت الحاضر، من الصعب العثور على صناعة لا تستخدم الذكاء الاصطناعي. وبطبيعة الحال، الذكاء الاصطناعي ليس فعالا حقا في كل مكان، وغالبا ما تظل التقنيات المستخدمة في حاجة إلى تحسين كبير. ولكن هناك عددًا من المجالات في مجال تكنولوجيا المعلومات التي تم فيها استخدام الذكاء الاصطناعي بشكل فعال لفترة طويلة.
حول فوائد الذكاء الاصطناعي في مجال تكنولوجيا المعلومات
بادئ ذي بدء، هذه هي أنظمة التعرف على الوجه التي تتيح التعرف على الأشخاص من الصور الرقمية من خلال التعرف على ميزات الوجه. تعد أنظمة تحديد الهوية نفسها أيضًا جزءًا من أنظمة الأمان، وتتناسب إلى حد ما مع نطاق هذه المقالة.
الاستخدام الشائع الآخر للذكاء الاصطناعي هو اكتشاف الأخبار المزيفة. تستخدم أجهزة كشف التزييف السمات الدلالية والأسلوبية للنص في المقالة، ومصدر المقالة، وما إلى ذلك لتمييز الأخبار المزيفة عن الأخبار الموثوقة.
أنظمة التوصية المستخدمة على الموارد المختلفة قادرة على تقييم اختيار العميل بناءً على عوامل مثل التاريخ الشخصي والاختيارات السابقة التي قام بها العميل والمعلمات الأخرى.
وهناك أيضًا مترجمو لغة يمكنهم ترجمة ليس فقط كلمة بكلمة، بل فقرات بأكملها في المرة الواحدة. وأخيرًا، أنظمة chatbot التي تعمل على تحسين تجربة العملاء من خلال توفير استجابات تلقائية عندما يتعذر على ممثلي خدمة العملاء الرد. ومع ذلك، فإن أنشطتهم لا تقتصر على عمل المساعد الافتراضي. لديهم قدرات تحليل المشاعر ويمكنهم أيضًا تقديم توصيات.
بشكل عام، يتم استخدام الذكاء الاصطناعي بشكل فعال في مجال تكنولوجيا المعلومات، وحان الوقت للحديث عن كيفية استخدام الذكاء الاصطناعي لحل مشاكل الأمن السيبراني المختلفة. بعد ذلك، سوف نتعمق في مشاكل أمن المعلومات ذاتها وتلك المشكلات التي يمكن حلها بمساعدة الذكاء الاصطناعي.
التوقيعات ومشاكلها
لقد استخدمت حلول مكافحة الفيروسات بشكل تقليدي، وتستمر في الواقع، في استخدام تحليل التوقيع. تتكون هذه الطريقة من تحديد الخصائص المميزة لكل فيروس والبحث عن الفيروسات من خلال مقارنة الملفات بالخصائص المحددة.
يقدم Kaspersky Lab التعريف التالي للتوقيع: تسلسل مستمر من وحدات البايت المميزة لبرنامج ضار معين. وعلى الرغم من أنهم لاحظوا كذلك أن التوقيعات الحديثة لمكافحة الفيروسات هي كيان أكثر تعقيدًا بكثير، بما في ذلك عناصر الذكاء الاصطناعي، عند النظر في قضايا التوقيعات سنبدأ من هذا التعريف.
لذلك، لدينا مجموعة من وحدات البايت التي يحتمل أن تكون ضارة والتي تكون عبارة عن أكواد تشغيل لتعليمات المجمع.
في لغة التجميع، يمكن تنفيذ نفس الخوارزمية بعدة طرق مختلفة. في اللغات عالية المستوى، بشكل عام، نفس الشيء، ولكن يمكن للمترجم أو المترجم الفوري تحسين كل شيء في النهاية بحيث لا تكون الاختلافات كبيرة جدًا. لكن لا تنس أدوات التشويش المختلفة، والتي يمكنها أيضًا تغيير كود البرامج الضارة بشكل لا يمكن التعرف عليه.
فيما يلي مثال لتطبيق .NET العكسي. يبدو أن كل شيء موجود، لكن لا شيء واضح.
وهذا هو التشويش في العمل. وبالتالي، فإن تحليل التوقيع الكلاسيكي لن يساعدنا كثيرًا. وهنا يأتي الذكاء الاصطناعي أيضًا لمساعدتنا. بالطبع، قد يتذكر الكثيرون صناديق الحماية – وهي أيضًا أداة فعالة للكشف عن البرامج الضارة، ولكن نشر صناديق الحماية يتطلب موارد معينة من البرامج والأجهزة، والأهم من ذلك، الوقت لاكتشاف الأنشطة الضارة. يمكن أن يؤدي استخدام الذكاء الاصطناعي إلى تقليل هذه المرة بشكل كبير.
وبالتالي، فقد حددنا مهمة واحدة مهمة للذكاء الاصطناعي في مجال الأمن السيبراني – وهي تحليل التعليمات البرمجية الضارة.
تحليل أحداث أمن المعلومات
الوسائل التقليدية لجمع وتحليل أحداث أمن المعلومات هي حلول SIEM (إدارة أحداث المعلومات الأمنية). تمت بالفعل كتابة أكثر من اثنتي عشرة مقالة حول هذه الأنظمة في مساحة حبر، لذلك لن نفكر في بنيتها ومبادئ عملها بالتفصيل، سنلاحظ فقط أن SIEMs تقوم بجمع وتحليل مركزي للأحداث من أجل الامتثال بعض قواعد الارتباط. وهذا هو الجزء الذي سيكون ذا أهمية خاصة بالنسبة لنا.
والحقيقة هي أن تحليل حجم كبير من الأحداث (عشرات الآلاف من الأحداث في الثانية) يعد مهمة كثيفة الاستخدام للموارد، كما أن استخدام قواعد الارتباط الكلاسيكية التي تنفذ منطقًا مشابهًا قد يتطلب قدرًا كبيرًا من القوة.
وبالإضافة إلى ذلك، فإن القواعد العادية لها منطق ثنائي. مجموعة من الأحداث إما تقع أو لا تقع تحت ظروف معينة، وإذا لم يحدث ذلك، فلن يتم إنشاء التنبيه. يتيح لك الذكاء الاصطناعي جعل المنطق أكثر ذكاءً وبالتالي جعل اكتشاف الأنشطة المشبوهة أكثر فعالية.
تحليل السلوك
يتيح لك تحليل التعليمات البرمجية باستخدام طرق مختلفة تحديد أنواع مختلفة من التطبيقات الضارة، المعروفة بالفعل والتي لا تزال غير معروفة، ولكنها تتصرف بشكل مريب. ومع ذلك، بالإضافة إلى الفيروسات وأحصنة طروادة والأبواب الخلفية الأخرى، قد نواجه أيضًا العديد من أدوات القرصنة واستغلال ثغرات يوم الصفر ومحاولات استخدام برامج النظام المشروعة لمختلف أنشطة القرصنة.
لا يمكن لبرنامج مكافحة الفيروسات اكتشاف كل هذه الإجراءات، حيث من الضروري هنا تحليل ليس فقط توقيعات التعليمات البرمجية، ولكن أيضًا سلوك المستخدم والتطبيقات في النظام: من ومتى ولأي غرض يطلق عمليات معينة.
هناك ثلاث مجموعات من التطبيقات: بالتأكيد سيئة “سيئة”، وبالتأكيد جيدة “جيدة” والتطبيقات في المنطقة الرمادية “رمادية”. في الوقت نفسه، تكون التطبيقات الرمادية، كقاعدة عامة، الأغلبية.
لتحديد الأنشطة المشبوهة، تضع أنظمة EDR (اكتشاف نقطة النهاية والاستجابة لها) وكلاء على عقد المستخدم التي تجمع المعلومات الضرورية حول العمليات الجارية والتغييرات في النظام والإعدادات الجديدة وما إلى ذلك. ومع ذلك، فإن المشكلة هنا مشابهة لقواعد الارتباط في SIEM : من الصعب جدًا وصف كل الأنشطة المشبوهة المحتملة باستخدام القواعد.
وهنا يأتي دور الذكاء الاصطناعي أيضًا لمساعدتنا، مما يسمح لنا بتحديد الأنشطة الضارة المحتملة بناءً على البيانات المتعلقة بالسلوك القانوني والمريب الذي نتلقاه من العملاء. على وجه الخصوص، يمكننا اكتشاف اختراق تطبيق شرعي مصاب بنوع من البرامج الضارة أو الإجراءات المشبوهة لبرنامج Power shell النصي الذي أطلقه مستخدم شرعي.
يتضمن تحليل السلوك والرموز الضارة أيضًا تحليل حركة مرور الشبكة وتحديد الحزم المشبوهة (وظيفة IDS). هذا هو المكان الذي يمكن أن يساعد فيه الذكاء الاصطناعي في تحديد الهجمات المختلفة في حركة المرور، سواء على المستويات الدنيا من النموذج الهرمي أو على مستوى التطبيق.
مكافحة الاحتيال
تعد أنظمة كشف الاحتيال (مكافحة الاحتيال) مجالًا مهمًا آخر للأمن السيبراني، وتستخدم بنشاط في القطاعين المصرفي والمالي. وتستخدم هذه الأنظمة لتقليل المخاطر وضمان السلامة من الاحتيال بما يتوافق مع مصالح العملاء والمؤسسات المالية. تحدد هذه الأنظمة الانحرافات في المعاملات وتعيين الدرجات عن طريق قياس معدلات الانحراف. ومع ذلك، في نماذج التسجيل الكلاسيكية هناك نسبة كبيرة من الإيجابيات الكاذبة. على سبيل المثال، قد تبدو سلسلة من عمليات النقل المتعددة من كيان قانوني إلى عدة أفراد احتيالية للنظام.
يمكن للذكاء الاصطناعي هنا تحليل تدفق المعاملات بشكل فعال، وتحديد المعاملات المشبوهة المحتملة.
تحليلات توجيهية
أعلاه، نظرنا إلى العديد من مجالات الأمن السيبراني التي يمكن فيها استخدام الذكاء الاصطناعي بشكل فعال. ولكن بالإضافة إلى هذه المجالات، يمكن أيضًا استخدام الذكاء الاصطناعي بشكل فعال عندما يكون من الضروري التنبؤ بأحداث معينة. تعد التحليلات الإرشادية اتجاهًا متقدمًا آخر للتعلم الآلي يستحق الذكر من منظور الأمن السيبراني. على عكس التحليلات التنبؤية، التي تتنبأ بالتهديد من خلال مقارنة الأحداث الحالية بسجلات التهديدات التاريخية، فإن التحليلات الإرشادية هي عملية أكثر إلحاحًا. تتعامل التحليلات الإرشادية مع المواقف التي بدأ فيها الهجوم السيبراني بالفعل. في هذه المرحلة، يقوم بتحليل البيانات لاقتراح الاستجابة التي قد تناسب الموقف بشكل أفضل للحفاظ على فقدان المعلومات إلى الحد الأدنى.
لإجراء تحليل توجيهي فعال، يعد الذكاء الاصطناعي هو الأنسب، لأنه من الصعب للغاية إجراء مثل هذا التنبؤ باستخدام القواعد الكلاسيكية. بفضل التحليل الإرشادي، يمكننا اكتشاف الهجمات قبل حدوثها.
حول أوجه القصور في الذكاء الاصطناعي في مجال الأمن السيبراني
ومع ذلك، لا ينبغي اعتبار الذكاء الاصطناعي بمثابة “الحل السحري”. التعلم الآلي له أيضًا عيوبه. وبالتالي، يجب التحقق من التنبيهات التي تم إنشاؤها بواسطة SIEM بواسطة محللي SOC؛ حيث قد يؤدي إنشاء عدد كبير جدًا من التنبيهات الخاطئة إلى عبء عمل غير ضروري لمتخصصي SOC. بشكل عام، يشير عدد كبير من الإنذارات إلى أن نظام الأمان ككل لا يعمل بشكل جيد. إذا لم تكن هذه الحوادث نتائج إيجابية كاذبة، فهذا يعني أن لدينا مشاكل في أنظمة الحماية لدينا. على سبيل المثال، يشير عدد كبير من الحوادث المتعلقة بأوبئة الفيروسات إلى أن سياسات مكافحة الفيروسات لم يتم إعدادها بشكل جيد بما فيه الكفاية.
ويشير عدد كبير من النتائج الإيجابية الخاطئة إلى أن قواعدنا التي تحدد النشاط المشبوه لا تعمل بشكل صحيح. كلاهما سيء.
وينطبق الشيء نفسه على استخدام الذكاء الاصطناعي. إذا تم تدريب الشبكة العصبية على بيانات سيئة، فإن النتيجة التي ستنتجها ليست صحيحة تمامًا.
في مثال SIEM، لمنع مشكلة النتائج الإيجابية الكاذبة، تتلقى أنظمة التحليلات أيضًا معلومات تحليلية من SIEM. تتم مقارنة الإشارات القادمة من أنظمة SIEM مع المعلومات الموجودة في الأنظمة التحليلية بحيث لا يقوم النظام بإنشاء إشارات مكررة. وبالتالي، فإن حلول التعلم الآلي في مجال منتجات الأمن السيبراني تتعلم من البيئة من أجل تقليل الإيجابيات الكاذبة إلى الحد الأدنى.
الملخص
في الوقت الحالي، تُستخدم الحلول التي تستخدم الذكاء الاصطناعي بنشاط في مجال الأمن السيبراني وبمرور الوقت ستزداد أهميته. وفي الوقت نفسه، يعد الذكاء الاصطناعي جيدًا بشكل خاص في جمع وتحليل كميات هائلة من البيانات، واستخراج المعلومات القيمة والاستجابة وفقًا لذلك. تعمل هذه القدرات على تعزيز قدرة المؤسسة بشكل كبير على اكتشاف الهجمات الإلكترونية والرد عليها وفي النهاية تقليل الأضرار المحتملة التي يسببها المهاجمون.
المهام الرئيسية التي يمكن أن يؤديها الذكاء الاصطناعي هي: الكشف والتنبؤ والأتمتة والاستجابة والتكيف بناءً على النتائج التي تم الحصول عليها مسبقًا.
كما ترون، يمكن لمنظمة العفو الدولية حل مجموعة كبيرة إلى حد ما من مشاكل الأمن السيبراني، وفي المستقبل ستزداد هذه القائمة فقط.
وبهذا تنتهي النظرية التي تبرر الحاجة إلى استخدام الذكاء الاصطناعي في الأمن السيبراني. في الاستمرار، سننتقل إلى التدريب والنظر في ماهية الذكاء الاصطناعي والتعلم الآلي والشبكات العصبية. سنفكر أيضًا في العمل مع هذه العناصر في لغة بايثون.
أ.د. يوســــف الدرادكـــة / أكاديمي وباحث متخصص في هندسة الحاسب الآلي / هندسة البرمجيات