ماشین‌ها و انسان‌ها در جبهه یکسانی می‌جنگند

به‌لطف فناوری‌هایی که به ما امکان تولید، ذخیره‌سازی و تجزیه و تحلیل مجموعه عظیمی از داده‌ها را می‌دهند، شرکت‌ها موفق شده‌اند کارهایی را انجام دهند که تا پیش از این امکان تحقق آن‌ها وجود نداشت. اما این توانمندی‌ها به لحاظ امنیتی دردسرهای خاصی را نیز به همراه آورده‌اند. به‌طوری که تهدیدات بالقوه به راحتی می‌توانند در یک شبکه به‌وجود آمده و در سرتاسر آن منتشر شوند.

همین موضوع باعث شده است کارشناسان دنیای امنیت همواره شرایط سختی را پشت سر بگذارند. به دلیل این‌که آن‌ها مجبور هستند هر بسته داده‌ای که مبادله شده و ممکن است پتانسیل یک شرایط بحرانی را به‌وجود آورد مورد نظارت و بررسی قرار دهند. از طرفی سازمان‌ها برای پیاده‌سازی استراتژی‌های دفاعی خود مجبور هستند کارشناسان حوزه امنیت را استخدام کنند. اما طبیعی است این رویکرد یک درمان مقطعی به شمار می‌رود.

دنیای امنیت برای آن‌که بتواند مشکل آسیب‌پذیری‌های امنیتی را حل کند، در نهایت تصمیم گرفت دست به دامان استعدادهای برتر این رشته شود. سازمان‌ها و شرکت‌ها تحت فشار زیاد مجبور شدند این پست‌های امنیتی خالی را به سرعت پر کنند. اما به‌نظر می‌رسد دنیای فناوری قادر است راه‌حل کارآمدتری را برای حل مشکلات امنیتی در اختیار سازمان‌ها قرار دهد. کلید حل این مشکلات در دستان یادگیری ماشینی قرار دارد. پدیده‌ای که به‌سرعت جای پای خود را در صنایع مختلف باز کرده و امروزه به شعار اصلی سیلیکون ولی تبدیل شده است. در حالی که روزبه‌روز مشاغل بیشتر و بیشتری تحت سلطه روبات‌ها و هوش مصنوعی قرار می‌گیرند، سوال اصلی این است که آیا اساسا این امکان وجود دارد تا حل مشکلات امنیتی را به هوش‌مصنوعی بسپاریم؟ آن‌هم در شرایطی که امنیت سایبری مقوله پیچیده‌ای به‌شمار می‌رود. شغلی که تا پیش از این تنها کارشناسان حرفه‌ای این حوزه مسئولیت رسیدگی به‌آن‌ها را بر عهده داشتند و همواره با استدلال‌های قوی خود قادر به شناسایی مشکلات بودند. در جواب این پرسش باید بگوییم دنیای امنیت در حال یک دگردیسی است و به‌نظر می‌رسد بهترین راه‌حلی که پیش روی ما قرار دارد، یک رویکرد هوشمندانه تطبیقی است. شرکت‌های فعال در حوزه فناوری و فروشندگان محصولات امنیتی از مدت‌ها پیش به‌دنبال روش‌هایی بودند تا این فناوری داغ را به زرادخانه دفاعی سایبری خود بیافزایند و تا حدودی در انجام این‌کار موفق شده‌اند.

رویای دور از انتظار یا واقعیتی ملموس
سیمون کرازبی، مدیر ارشد فناوری در شرکت برومیوم، از یادگیری ماشینی به‌عنوان یک واقعیت ملموس یاد کرده است. او استدلال خود در رابطه با دنیای امنیت را این‌گونه مطرح کرده است: «هیچ‌گونه گلوله نقره‌ای در دنیای امنیت وجود ندارد. شما همواره در رویارویی با غیر‌مستقیم‌ترین تهدیدات ذهنی قرار دارید. این ایده‌‌های مخرب از سوی افرادی انتشار می‌یابند که به‌خوبی می‌دانند ماشین‌ها چگونه کار می‌کنند و چگونه می‌توان قابلیت‌های یادگیری ماشینی را دور زد. بیشتر حملات از پس مراحل کوچک و همراه با کمترین جزییات و شواهد ناگهان خود را نشان می‌دهند و اغلب در پوشش درخواست‌های قانونی و دستورات پنهانی عملیاتی می‌شوند.»
مایک پیکت، معاون محصولات در شرکت پریلرت این‌گونه استدلال می‌کند: «یادگیری ماشین جوابی است که دنیای امنیت به رخنه‌های پیشرفته شناسایی شده، ارائه می‌کند. یادگیری ماشینی همانند ستاره پر فروغی است که در دنیای امنیت اطلاعات خود را نشان خواهد داد. محیط‌های مرتبط با فناوری اطلاعات نه‌تنها به‌شکل فزاینده‌‌ای پیچیده شده‌اند، بلکه حجم داده‌هایی که تولید می‌کنند و این داده‌ها باید تحلیل شوند چند برابر ظرفیت مغز یک انسان است. به طوری که در عمل مغز انسان توانایی نظارت و ارزیابی فعالیت‌های مخرب از غیرمخرب را بر مبنای این حجم از داده‌ها ندارد.»
استفان جو، مدیر ارشد فناوری در شرکت interest از طرفداران ورود یادگیری ماشینی به‌ دنیای امنیت سایبری است. با این‌وجود او به این نکته اشاره دارد که هوش مصنوعی هنوز این آمادگی را ندارد تا جایگزین عامل انسانی شود. اما این توانایی را دارد تا تلاش‌های انسانی را با خودکارسازی روند تشخیص الگوها بهبود بخشد.
یادگیری ماشینی و تاثیرگذاری بی‌بدیل آن بر دنیای امنیت سایبری یک واقعیت غیر قابل انکار است. این فناوری قادر است موقعیت‌های متفاوت از یکدیگر را به‌خوبی تشخیص داده و حتی اگر این توانایی را نداشته باشد تا راه‌حل کاملی ارائه کند، این پتانسیل را دارد تا برای بهبود مبارزه با جرایم اینترنتی مورد استفاده قرار گیرد.

یادگیری ماشینی تحت نظارت
هشدارهای مثبت کاذبی که بیش از اندازه از سوی یادگیری ماشینی ارائه می‌شوند به یکی از چالشی‌ترین بحث‌ها در زمینه ورود یادگیری ماشینی به دنیای امنیت تبدیل شده‌‌اند. این هشدارهای مثبت کاذب نه تنها کارشناسان امنیتی را خسته می‌کنند، بلکه به مرور زمان باعث می‌شوند یک حس بی‌تفاوتی در میان این افراد به‌وجود آید. از سوی دیگر، کنار گذاشتن یادگیری ماشینی برای بسیاری از شرکت‌ها به واسطه حجم بالای داده‌هایی که تولید می‌کند و حوادثی که ممکن است برای شبکه‌های ارتباطی آن‌ها به‌وجود آید، امکان‌پذیر نیست. به‌سبب آن‌که حجم زیاد داده‌های تولید شده فراتر از ظرفیت کارشناسان انسانی است. واقعیت این است که هیچ یک از دو عامل هوش مصنوعی و کارشناسان خبره انسانی به تنهایی قادر نیستند با این تهدیدات مبارزه کرده و راه‌حل‌های جامعی را برای دفع این حملات ارائه کنند. در‌ نتیجه این دو عامل به‌‌جای آن‌که با یکدیگر به رقابت بپردازند یا سعی کنند یکدیگر را به چالش بکشند باید به یکدیگر محلق شوند تا قادر به ارائه راه‌حل‌های جامعی باشند. آزمایشگاه هوش مصنوعی و علوم کامپیوتری موسسه فناوری ماساچوست (CSAIL) تلاش‌های قابل توجهی در این زمینه داشته است که ماحصل این تحقیقات توسعه سامانه‌ای است که AI2 نام دارد. یک پلتفرم امنیت سایبری تطبیقی که از یادگیری ماشینی استفاده کرده و از تحلیل‌هایی که کارشناسان در اختیارش قرار می‌دهند به‌منظور انطباق بیشتر و بهبود عملکردهای خود استفاده می‌‌کند.

این سامانه‌ همان‌گونه که از نامش پیدا است هوش‌مصنوعی و بینش تحلیل‌گرانه را به‌منظور شناسایی موارد مشکوک با یکدیگر ترکیب کرده و ده‌ها میلیون قطعه داده‌ای که log lines نامیده شده و هر روزه برای این سامانه ارسال می‌شوند را آزمایش می‌کند. داده‌های فیلتر شده در نهایت در اختیار عامل انسانی قرار داده می‌شوند تا مورد تحلیل قرار گیرند. این عامل انسانی بازخوردهایی را در اختیار AI2 قرار داده تا در آینده بتواند تهدیدات واقعی و درست را شناسایی کند. با گذشت زمان، آهنگ یادگیری این سامانه سرعت بیشتری به‌خود گرفت و این توانایی را به دست آورد تا از اشتباهات و موفقیت‌های خود درس گرفته و سرانجام به مکانیزمی تبدیل شود که به‌صورت بلادرنگ رخنه‌های واقعی را شناسایی کرده و هشدارهای مثبت کاذب کمتری را تولید کند. کیلین ویراماچنینی، رهبر این پروژه تحقیقاتی می‌گوید: «اساسا، بزرگ‌ترین مزیتی که پیرامون سامانه AI2 وجود دارد این است که ما موفق شدیم تنها 100 یا 200 رویداد تحلیلی در روز را نشان دهیم. اگر این رقم را با ده هزار رخداد امنیتی که کارشناسان دنیای امنیت باید هر روزه به‌آن رسیدگی کنند مورد مقایسه قرار دهید، مشاهده می‌کنید که این سامانه در نوع خود یک شاهکار است. این سامانه در بازه زمانی 90 روزه‌ای که مورد آزمایش قرار گرفت، نزدیک به 40 میلیون قطعه‌ داده‌ای تولید شده از سوی سایت‌های تجارت الکترونیک را مورد بررسی قرار داد. بعد از آن که فرآیند آموزش این سامانه به اتمام رسید، نتایج واقعا چشم‌گیر بودند. به‌ سبب آن‌که AI2 موفق شد به میزان 85 درصد حملات را بدون آن‌که به مساعدت عامل انسانی نیازی داشته باشد، شناسایی کند.»

بیشتر حملات از پس مراحل کوچک و همراه با کمترین جزییات و شواهد ناگهان خود را نشان می‌دهند و اغلب در پوشش درخواست‌های قانونی و دستورات پنهانی عملیاتی می‌شوند

شرکت فنلادی F-Secure، شرکت دیگری است که روی تلفیق هوش انسانی و ماشینی سرمایه‌گذاری قابل توجهی کرده، امیدوار است با کاهش مدت زمان لازم برای شناسایی و پاسخ‌گویی به حملات سایبری، وضعیت امنیت سایبری را بهبود بخشد. به‌طور متوسط، سازمان‌ها به چند ماه زمان برای شناسایی یک رخنه نیاز دارند. F-Secure در نظر دارد با استفاده از سامانه Rapid Detection Service این بازه چند ماه را تنها به 30 دقیقه کاهش دهد. شیوه کارکرد سیستم فوق به این شکل است که ترکیبی از داده‌های مربوط به نرم‌افزارهای نصب شده روی ایستگاه‌های کاری مشتریان و حس‌گرهایی که در بخش‌های مختلف یک شبکه نصب شده‌اند را جمع‌آوری می‌کند. داده‌های جمع‌آوری شده به‌منظور تغذیه موتور تحلیل‌گر رفتاری و موتور شناسایی تهدیدات هوشمند مورد استفاده قرار می‌گیرد. این موتورها از یادگیری ماشینی برای طبقه‌بندی نمونه‌های ورودی، مشخص کردن رفتار طبیعی، شناسایی ناهنجاری‌ها و موارد کمتر شناخته شده استفاده می‌کنند. این سامانه از تحلیل‌های بلادرنگ نزدیک به زمان واقعی برای شناسایی تهدیدات امنیتی شناخته شده، از تحلیل داده‌های ذخیره شده به‌منظور مقایسه نمونه‌ها با داده‌های تاریخی و از تحلیل کلان داده‌ها به‌منظور شناسایی تهدیداتی که در حال تکامل هستند استفاده می‌کند.

داده‌های موردنیاز این سامانه در قالب مجموعه‌ای از داده‌های ناشناس که از تعداد زیادی از مشتریان به‌دست می‌آید، جمع‌آوری می‌شود. در قلب این سامانه تیمی از کارشناسان خبره امنیت سایبری قرار دارند. افرادی که از طریق نتایج به‌دست آمده از تجزیه و تحلیل‌های یادگیری ماشینی در نهایت به‌منظور شناسایی و رسیدگی به حوادث امنیتی آتی استفاده می‌کنند. بخش عمد‌ه‌ای از این‌کار از طریق یادگیری ماشینی انجام می‌شود، جایی که توسعه‌دهندگان و مهندسان نرم‌افزار بر روی بهره‌وری بیشتر و قدرت بالاتر این سامانه در ارتباط با مفاهیم پیشرفته‌ای همچون شناسایی روابط موجود میان تهدیدات، حمله مهندسی معکوس و افزایش کلی راندمان سیستم متمرکز هستند. ارکا ﮐﻮﯾﻮﯾﻮﻧﻦ (Erka Koivunen)، مشاور امنیت سایبری F-Secure در این ارتباط گفته است: «مولفه انسانی یک فاکتور مهم است. هکرها انسان هستند در‌نتیجه برای شناسایی آن‌ها نمی‌توانید تنها به ماشین‌ها متکی باشید. کارشناسان ما می‌دانند هکرها چگونه فکر می‌کنند و از تاکتیک‌های خیلی زیادی به منظور پنهان نگاه داشتن حضور خود استفاده می‌کنند. تاکتیک‌هایی که به آن‌ها کمک می‌کند از دید استاندارهایی که در زمینه تشخیص آن‌ها مورد استفاده قرار می‌گیرند، به‌دور باشند.»

پالایش داده‌های بدون ساختار
در حالی که داده‌های جمع‌آوری شده از نقاط پایانی و ترافیک شبکه به‌منظور شناسایی تهدیدات کمک کننده هستند، اما تنها بخش کوچکی از دنیای لایتناهی امنیت سایبری را شامل می‌شوند. بخش بزرگی از اطلاعات و هوشمندی که برای شناسایی و دفاع از سازمان‌ها در برابر تهدیدات به آن‌ها نیاز است از دل داده‌های بدون ساختاری که درون منابعی همچون پست‌های وبلاگی، مقالات پژوهشی، اخبار و پست‌های اجتماعی قرار دارند به‌دست می‌آیند. کارشناسان امنیت سایبری به دنبال طراحی سامانه‌هایی هستند که بتوانند این منابع را درک کنند. آی‌بی‌ام غول بزرگ دنیای فناوری در‌نظر دارد با استفاده از قابلیت‌های پردازش زبان طبیعی این شکاف را پر کند. برای نیل به‌این هدف چه زیرساخت هوشمندی بهتر از واتسون می‌تواند به‌این مهم دست پیدا کند. آی‌بی‌ام در نظر دارد از قابلیت‌ها و مزایای منحصر به فرد واتسون در زمینه پالایش داده‌های بدون ساختار و خواندن مقالات و یادگیری مفاهیمی که درون هزاران سند امنیتی بوده و این اسناد هر ماه منتشر می‌شوند استفاده کند. این شرکت در‌نظر دارد از طریق دانشی که بر مبنای تجزیه و تحلیل در اختیار واتسون قرار می‌دهد به‌منظور شناسایی تهدیدات و پیش‌گیری از بروز تهدیدات سایبری استفاده کند.

کالبی بارلو، معاون مدیر بخش امنیت آی‌بی‌ام در این ارتباط به سایت وایرد گفته است: «تفاوت کاملا محسوسی میان آموزش واتسون و آموزش نیروی انسانی وجود دارد. این تفاوت به‌این واقعیت اشاره دارد که واتسون هیچ‌گاه نکته‌ای را فراموش نمی‌کند.» ترکیب این قابلیت با داده‌هایی که قبلا زیرساخت سامانه شناسایی تهدیدات آی‌بی‌ام موسوم به X-Force Exchange آن‌ها را جمع‌آوری کرده به واتسون کمک می‌کنند تا بینش لازم در این زمینه را به‌دست آورد. آی‌بی‌ام در نظر دارد به‌منظور جبران کمبود استعداد در حوزه امنیت، سطح توانایی‌های واتسون و بهره‌وری این زیرساخت شناختی را افزایش داده تا واتسون به‌عنوان یک دستیار متخصص به‌منظور کاهش نرخ تولید هشدارهای کاذب مورد استفاده سازمان‌ها قرار گیرد. با این حال بارلو تصور نمی‌کند که واتسون به‌‌عنوان جایگزینی برای انسان‌ها مورد استفاده قرار گیرد. او در این ارتباط به فورچون گفته است: «این پیشرفت به‌منظور جایگزینی نیروی انسانی نیست، بلکه در مورد این است که بتوانیم ابرانسان‌هایی را آماده کنیم.» اگر آزمایش‌ها موفقیت‌آمیز باشند، واتسون تا یک سال دیگر به‌عنوان یک سرویس ابری و تحت عنوان Watson for Cyber Security برای تامین امنیت سازمانی استقرار خواهد یافت. تا آن زمان واتسون باید نکات بسیاری درباره این‌که امنیت سایبری چگونه کار می‌کند یاد بگیرد. شاهکار خارق‌العاده‌ای که آموختن آن کار ساده‌ای نیست.

اگر آزمایش‌ها موفقیت‌آمیز باشند، واتسون تا یک سال دیگر به‌عنوان یک سرویس ابری و تحت عنوان Watson for Cyber Security برای تامین امنیت سازمانی استقرار خواهد یافت. تا آن زمان واتسون باید نکات بسیاری درباره این‌که امنیت سایبری چگونه کار می‌کند یاد بگیرد. شاهکار خارق‌العاده‌ای که آموختن آن کار ساده‌ای نیست

استارت‌آپ امنیت سایبری Massice Alliance از یک رویکرد کمی متفاوت‌تر به‌منظور جمع‌آوری اطلاعات از درون داده‌های بدون ساختار استفاده می‌کند. پلتفرم امنیت سایبری این استارت‌آپ موسوم به Strixus از مجموعه‌ای از ابزارهای اختصاصی پیچیده استفاده می‌کند که قادر هستند اطلاعات مشتریان این استارت‌آپ را به‌طور ناشناس از بستر وب ( موتورهای جستجوی عمومی)، وب عمیق (صفحات غیرنمایه شده) و دارک وب (شبکه‌های مبتنی بر پروتکل ناشناس‌کننده) جمع‌آوری کنند.

داده‌های جمع‌آوری شده توسط یک موتور یادگیری ماشینی مبتنی بر احساسات (sentiment-based) به‌منظور درک احساسات عمومی که درون محتواهای مختلف قرار دارند استفاده می‌کند. موتورهایی که در پس‌زمینه این فناوری قرار دارند، موتورهای ریاضی هستند. این موتورها قادر هستند بر مبنای فعالیت‌هایی که از سوی بازیگران تهدید (افراد مشکوک) انجام می‌شوند، مدل‌های تطبیقی رفتاری ارائه کرده و خطری که از جانب آن‌ها ممکن است مشتریان را تحت الشعاع خود قرار دهد را مشخص کنند. نتایج به‌دست آمده در نهایت از سوی تحلیل‌گران اطلاعات، افرادی که دانش کافی در این زمینه داشته و قادر به درک خطرات بالقوه هستند تایید می‌شود. این فناوری قادر است تهدیدات را شناسایی کرده و به سازمان‌ها درباره انتشار بالقوه اطلاعاتی که ممکن است موقعیت آن‌ها را در معرض خطر قرار دهد هشدار دهد. بروک زیماتور، مدیرعامل این استارت‌آپ در این ارتباط گفته است: «تا به امروز هوش انسانی در نوک پیکان هوشمندی در انجام یکسری از عملیات خاص یا در زمان بروز بحران‌های تاثیرگذار قرار داشت، با این‌حال تمرکز بر فناوری‌هایی همچون یادگیری ماشینی در تمامی صنایع به‌عنوان عاملی برای غلبه بر محدودیت‌های انسانی ضروری است.»

آیا هوش مصنوعی جایگزین کارشناسان امنیت سایبری می‌شود؟
هنوز خیلی زود است که اعلام کنیم آیا هر کدام از این دستاوردها در نهایت این پتانسیل را خواهند داشت تا راه‌حل‌های مبتنی بر یادگیری ماشینی را جایگزین کارشناسان امنیت سایبری کنند یا خیر. اما این احتمال وجود دارد که در آینده این شرایط تغییر پیدا کنند. در مقطع فعلی انسان‌ها و روبات‌ها ممکن است هیچ‌ گزینه دیگری به‌جز اتحاد با یکدیگر نداشته باشند. به‌ویژه آن‌که تهدیدات سایبری به‌شکل روزافزونی پیش روی آن‌ها قرار می‌گیرند. هرچند در خفا ممکن است این دو عامل در تقابل با یکدیگر قرار داشته باشند.

شبکه