یادگیری ماشینی چطور می‌تواند به جلوگیری از حملات سایبری کمک کند؟

در سال ۲۰۱۷، یک حمله‌ سایبری ناگوار در عرض چند روز به بیش از ۲۰۰،۰۰۰ رایانه در ۱۵۰ کشور آسیب زد. این حمله، ملقب به WannaCry نقطه ضعفی را آشکار کرد که اولین بار توسط آژانس امنیت ملی آمریکا (NSA) کشف شد و به صورت آنلاین منتشر شد. نحوه‌ کار WannaCry به این شکل بود که پس از رخنه‌ موفق در یک رایانه، فایل های آن را رمزگذاری کرده و به شکل غیر قابل خواندن درمی‌آورد. سپس به اهداف مورد حمله قرار گرفته گفته می‌شد که برای بازیابی اطلاعات محبوس شده‌ خود باید نرم افزار رمزگشایی خاصی را بخرند. حدس بزنید چه کسی این نرم افزار را می‌فروخت؟ درست است، خود مهاجمان!

این به اصطلاح باج افزار نه تنها افراد، که سازمان‌های بزرگ را هم آلوده کرد؛ از جمله خدمات بهداشت ملی انگلستان، بانک‌های روسیه، مدارس چین، مخابرات اسپانیا و FedEx که دفتر مرکزی‌اش در آمریکاست. طبق برخی برآوردها، این حمله‌ سایبری درمجموع ۴ میلیارد دلار به این مجموعه‌ها خسارت وارد کرده است.

انواع دیگر هجوم سایبری، مثل رمزینه ربایی موذیانه‌تر بوده و تخریب کمتری به دنبال دارند، هرچند باز هم هزینه‌زا هستند. رمزینه‌ربایی شیوه‌ای است که در آن مجرمان سایبری، بدافزار را در چندین رایانه یا سرور منتشر می‌کنند. هک، کنترل توان پردازش یک ماشین را به دست می‌گیرد و سپس کد مدنظر را به هکرها بازمی­گرداند.

اتفاق رخ داده در Tesla در سال ۲۰۱۸ ثابت کرد که حتی رایانه‌های معتبری که از پروتکل‌های امنیتی قدرتمندی برخوردارند هم از گزند این حملات در امان نیستند. البته که ذکر این نکته ضروری است که به لطف هوشیاری تیمی متشکل از کارشناسان امنیت سایبری این نگرانی در آن زمان برطرف شد.

هک‌های بدخواهانه دربرابر یادگیری ماشین

آمار بیانگر این مسئله است که ۱۰.۵ میلیارد حمله‌ سایبری فقط در سال ۲۰۱۸، اتفاق افتاده است. این حجم از حملات، از توانایی مدیریت انسان خارج است. خوشبختانه، امروزه یادگیری ماشینی بخشی از کار را بر عهده گرفته است.

یادگیری ماشینی به‌عنوان زیرمجموعه‌ای از هوش مصنوعی از الگوریتم‌هایی استفاده می‌کند که از دل مجموعه‌ داده‌ها و تجزیه و تحلیل‌های آماری قبلی بیرون آمده‌اند تا فرضیاتی را پیرامون رفتار رایانه مطرح کنند. دراین‌صورت رایانه می‌تواند کنش‌های خود را تنظیم کند و حتی کارکردهایی داشته باشد که اصولاً برای آن‌ها برنامه‌ریزی نشده است و این اتفاق، لطفی در حق امنیت سایبری بوده است.

ماشین لرنینگ چیست ؟

یادگیری ماشینی با داشتن قابلیت نظم‌بخشی به میلیون‌ها فایل و شناسایی فایل‌های بالقوه خطرناک، بیش از پیش مورد استفاده قرار گرفته تا تهدیدها را افشا نموده و پیش از آن که بتوانند خرابی به بار بیاورند، سرکوبشان کند.

از قرار معلوم، یکی از نرم‌افزارهای مایکروسافت دقیقاً همین کار را در اوایل سال ۲۰۱۸ انجام داده است. به گفته‌ این شرکت، شیادان سایبری از بدافزار تروجان استفاده کردند تا ماینرهای مخرب ارز دیجیتال را بر روی صدها هزار رایانه نصب کنند. این حمله توسط مدافع ویندوز مایکروسافت متوقف شد؛ نرم‌افزاری که چندین سطح از یادگیری ماشینی را جهت شناسایی و مسدود کردن تهدیدهای موجود به کار می‌برد.

شرکت بزرگ بیمه و خدمات مالی فرانسوی AXA IT برای مقابله با تهدیدهای آنلاین، بر شرکت امنیت سایبری Darktrace متکی است که این شرکت، برای راه‌اندازی محصولات امنیت سایبری خود تا حدی بر یادگیری ماشینی تکیه دارد. سیستم ایمنی سازمانی این شرکت به صورت خودکار، نحوه‌ رفتار کاربران عادی شبکه را یاد گرفته و به این شکل می‌تواند ناهنجاری‌های بالقوه خطرناک را کشف کند.

یورک روبر، مدیر ارشد فن‌آوری AXA IT گفته است: «ما دیگر مورد هجوم انسان‌ها قرار نمی‌گیریم. رایانه‌ها به ما حمله می‌کنند، نرم‌افزار به ما حمله می‌کند و تنها راه پیش رو استفاده از هوش مصنوعی است.»

یادگیری ماشینی علاوه بر شناسایی زودهنگام تهدیدها، به‌منظور بررسی نقطه‌ضعف‌های شبکه و واکنش‌های خودکار نیز به کار می‌رود که در قلمروی امنیت سایبری امتیاز بزرگی محسوب می‌شود؛ قلمرویی که در آن یک سوم تمام مدیران ارشد امنیت اطلاعات کاملاً بر هوش مصنوعی تکیه داشته و هکرهای کلاهبردار همواره در کمین راه‌های تازه‌ای برای سوء استفاده از نقطه‌ضعف‌های امنیتی هستند.

در این مقاله این شرکت‌ها را که از یادگیری ماشینی برای تقویت سیستم‌های امنیت سایبری و خنثی کردن بدافزارها استفاده می‌کنند، دقیق‌تر بررسی می­کنیم:

• MICROSOFT

• محل استقرار: ردموند، واشنگتن

مایکروسافت برای محافظت پیشگیرانه، شناسایی رخنه‌های امنیتی، جستجو و واکنش خودکار، از پلتفرم امنیت سایبری خودش استفاده می‌کند که مدافع ویندوز نام دارد. مدافع ویندوز در دستگاه‌های ویندوز ۱۰ تعبیه شده و به‌صورت خودکار به‌روزرسانی می‌شود. این پلتفرم از هوش مصنوعی ابری و چند لایه از الگوریتم‌های یادگیری ماشینی، جهت کشف تهدیدها استفاده می‌کند.

• CHRONICLE

• محلّ استقرار: ماونتین ویو، کالیفرنیا

Chronicle یک شرکت امنیت سایبری است که از Alphabet، شرکت مادر گوگل، منشعب شده است. اولین محصول آن، Backstory، این‌طور توصیف شده است: «طراحی‌شده برای جهانی که در آن شرکت‌ها حجم انبوهی از دورسنجی امنیتی را به دست آورده و بر سر استخدام تحلیلگران خبره‌ای که معنای آن­ها را بیرون بکشند با هم رقابت می‌کنند.» Backstory حجم انبوهی از داده‌های امنیتی را تحلیل می‌کند ازجمله فعالیت داخلی شبکه، دامنه‌های بد شناخته‌شده و بدافزارهای مشکوک. همچنین از یادگیری ماشینی جهت تهیه‌ی خلاصه‌ قابل‌فهم‌تری از آن­ها استفاده می‌کند.

• SPLUNK

• محل استقرار: سان‌فرانسیسکو، کالیفرنیا

نرم‌افزار Splunk کاربردهای متنوعی دارد از جمله عملیات IT، تجزیه و تحلیل و امنیت سایبری. این نرم‌افزار، طراحی شده تا نقاط ضعف دیجیتال کنونی مشتری را شناسایی کرده، بررسی‌ رخنه‌ها را خودکار سازد و به حملات بدافزاری واکنش نشان دهد. محصولاتی مثل امنیت سازماین اسپلانک و تحلیل رفتار کاربر اسپلانکاز یادگیری ماشینی جهت شناسایی تهدیدها بهره می‌برند تا بتوانند آن­ها را به‌سرعت رفع کنند.

• SQRRL

• محل استقرار: کمبریج، ماساچوست

مؤسسان Sqrrl، کارمندان سابق آژانس امنیت ملی هستند که گرد هم آمده‌اند تا پس از ساخت نرم‌افزار پایگاه داده‌ منبع‌­باز Accumulo، یک شرکت امنیت سایبری تأسیس کنند. Sqrrl یک پلتفرم شکار تهدید سایبری طراحی کرده ­است که شبکه‌ها را برای یافتن کدی جستجو می‌کند که ممکن است مقررات امنیتی موجود را نقض کند. این محصول از یادگیری ماشینی به منظور تبدیل نقاط داده به یک نقشه رفتاری بهره می‌گیرد. این نقشه به عنوان بازنمایی بصری برای شبکه‌ رایانه عمل کرده و نشان می‌دهد که تهدیدها کجا می‌توانند وارد عمل شوند. در ژانویه ۲۰۱۸، آمازون، Sqrrl را برای خدمات کسب و کار ابری خود خریداری نمود.

• BLACKBERRY

• محل استقرار: واترلو، انتاریو، کانادا

بلک‌بری که در گذشته گوشی‌های هوشمند متصل به اینترنت آن همه‌جا دیده می‌شد، حالا تغییر رویکرد داده و نرم‌افزارها و خدمات خاصی را به شرکت‌های بزرگ می‌فروشد. ازجمله تخصص‌های این شرکت، راهکارهای امنیت سایبری است که از هوش مصنوعی و یادگیری ماشینی به‌منظور جلوگیری از تهدیدهای امنیت سایبری و خودکارسازی قابلیت‌های واکنش مشتریان به تهدید استفاده می‌کند.

نوامبر ۲۰۱۸، بلک‌بری شرکت امنیت سایبری هوش مصنوعی Cylance را به مبلغ ۱.۴ میلیارد دلار خرید.

• DEMISTO

• محل استقرار: کوپرتینو، کالیفرنیا

پلتفرم امنیتی Demisto در هماهنگ‌سازی امنیتی، خودکارسازی و واکنش‌گرایی تخصص داشته و به شرکت‌ها و تشکیلات بزرگتر کمک می‌کند تا اقدامات واکنشی خود را نسبت به تهدیدهای امنیتی، متناسب کنند. Demisto علاوه‌بر ارائه‌ یک داشبورد بصری که کاربران در آن می‌توانند تمام هشدارهای امنیتی را رصد کنند، از یادگیری ماشینی برای اولویت‌بندی این هشدارها بهره می‌برد.

آیا یادگیری ماشینی برای متوقف کردن جرائم سایبری کافی است؟

یادگیری ماشینی برای انجام بعضی از کارها بسیار مناسب است و آن­ها را واقعاً خوب انجام می‌دهد؛ مثلاً بررسی سریع حجم زیادی از داده‌­ها و تجزیه و تحلیل آن­ها با استفاده از آمار. سیستم‌های امنیت سایبری مقدار زیادی داده تولید می‌کنند، پس تعجبی ندارد که این فن‌آوری، ابزاری تا این اندازه مفید باشد.

رافائل مارتی، مدیر ارشد تحقیق و اطلاعات شرکت امنیت سایبری Forcepoint، می‌گوید: «داده‌های بیشتر و بیشتری در دسترس ماست و مجموعه این داده­‌ها، داستانی را تعریف می‌کنند. اگر نحوه‌ تحلیل داده‌ها را بدانید، باید بتوانید با انحراف از هنجار کنار بیایید.»

این انحرافات گاهی تهدیدهایی را آشکار می­سازند. به­ لطف این کارکرد مهم، استفاده از یادگیری ماشینی در بخش­‌های مختلف اوج گرفته است. یادگیری ماشینی برای کارهایی استفاده می­‌شود که نیازمند بازشناسی تصویری و گفتاری هستند.

مارتی می­گوید که هرچند یادگیری ماشینی امنیت سایبری را بهبود بخشیده است اما انسان­‌ها هنوز هم در این بین اهمیت به­ سزایی دارند. همچنین این وعده داده شده که شما می­توانید صرفاً به داده­‌های گذشته نگاه کرده و آینده را پیش­ بینی کنید. البته باید گفت که تخصص در این مسئله بسیار مهم است. عده‌­ای از مردم فکر می‌­کنند که می‌­شود همه ­چیز را از روی داده‌­ها فهمید، اما این درست نیست.»

مارتی اضافه می­‌کند که تکیه­ بیش از حد بر هوش مصنوعی در امنیت سایبری می‌­تواند احساس امنیت کاذبی را به وجود بیاورد. به همین خاطر است که شرکت او علاوه ­بر به­ کارگیری عاقلانه­ الگوریتم‌­ها، متخصصان امنیت سایبری، کارشناسان داده و روان­شناسان را به خدمت می‌­گیرد. یادگیری ماشینی هم مثل تمام هوش مصنوعی فعلی، جایگزین اقدامات انسان نمی­‌شود، بلکه آن­ها را تکمیل کرده و ارتقا می­دهد.

جورج کورتز، مؤسس و مدیرعامل CrowdStrike، در اواخر سال ۲۰۱۸ گفت «در سال‌های آینده هوش مصنوعی در بحث امنیت رواج بیشتری می­‌یابد و به بلوغ می­رسد. هوش مصنوعی یک ویژگی است، نه یک شرکت و قرار است در حل یک مسئله­ به­ خصوص ایفای نقش کند. وگرنه هر مسئله‌­ای را نمی‌توان با هوش مصنوعی حل کرد. به­ عبارتی دیگر، هوش مصنوعی قرار است ابزاری در جعبه ­ابزار باشد.»