به کارگیری یادگیری ماشین در یک محیط امنیتی: یک رویکرد علوم داده محور-بخش اول
امروزه به هر قسمت از امنیت که نگاه کنیم با اصطلاحات یادگیری ماشین[۱] و هوش مصنوعی[۲] مواجه خواهیم شد. دلیل توجه زیاد به روشهای یادگیری ماشین و هوش مصنوعی این است که ارائهدهندگان امنیت و مشتریان آنها به دنبال راههایی بهتر برای دفاع در برابر حملات سایبری پیشرفته و بهبود وجهه امنیتی خود هستند. یادگیری ماشین و هوش مصنوعی منجر به موفقیتهای عظیمی در حل مسائل زیادی در دیگر حیطههای زندگی ما شدهاند؛ بنابراین، به کارگیری آنها با هدف دستیابی به موفقیتهایی مشابه در زمینه امنیت امری طبیعی است.
متاسفانه، انتظارات و اطلاعات اشتباه زیادی پیرامون موارد قابل انجام توسط یادگیری ماشین و هوش مصنوعی برای بهبود امنیت وجود دارد. در این مقاله، مهمترین نکات موردنیاز برای به کارگیری یادگیری ماشین و هوش مصنوعی در محیط امنیتی بیان خواهد شد. علاوهبراین، مهمترین فرصتها و چالشها در به کارگیری یادگیری ماشین و هوش مصنوعی برای بهبود توانایی تیمهای امنیتی در راستای تشخیص و پاسخگویی سریع به تهدیدات سایبری ارائه خواهد شد.
نیاز روزافزون به یادگیری ماشین، هوش مصنوعی و علوم داده[۳]
یادگیری ماشین، هوش مصنوعی و علوم داده اصطلاحاتی هستند که معانی آنها مدام در حال تغییر است. با توجه به هدف این مقاله، تعاریف زیر را برای این اصطلاحات در نظر میگیریم:
-
هوش مصنوعی (AI): علمی است که یک کامپیوتر را قادر به خودکارسازی فعالیتهایی که نیازمند هوش، تجزیه و تحلیل و تصمیمگیری است و انسانها آنها را به صورت نرمال انجام میدهند، میکند.
-
یادگیری ماشین: علمی است که کامپیوترها را قادر به یادگیری میکند بدون اینکه صریحا برای انجام این کار برنامهریزی شده باشند. یادگیری ماشین، آمار و الگوریتمها را روی مقادیر زیادی از داده به کار میگیرد. یکی از اهداف یادگیری ماشین به دست آوردن هوش مصنوعی است.
-
علوم داده: نظام استخراج اطلاعات از دادهها، علوم داده زمینهای بسیار گسترده بوده که شامل یادگیری ماشین نیز میباشد.
یادگیری با نظارت و یادگیری فاقد نظارت
الگوریتمهای یادگیری ماشین میتوانند از طریق یادگیری با نظارت و یا فاقد نظارت تکامل یابند. در یادگیری فاقد نظارت، الگوریتم، بدون نیاز به تنظیم، تمام اطلاعات موردنیاز برای درک دادههای آموزش ارائه شده به آن را دارد. بنابراین، میتواند به تنهایی یاد بگیرد. در یادگیری با نظارت، الگوریتم از اطلاعات اضافه فراهم شده توسط دادههای آموزش یا به صورت مجزا برای هوشمندتر شدن ماشین بهره میبرد. یادگیری با نظارت و یادگیری فاقد نظارت، هر دو نقش مهمی در یادگیری ماشین دارند. یادگیری با نظارت اغلب برای مجموعه دادههایی با ناهنجاریهای مشخص (مخصوصا اگر هدف استفاده از یادگیری ماشین برای پیشبینی ناهنجاریهای نامشخص باشد) ضروری هستند. برای مثال، در زمینه امنیت، دستیابی به داده آموزش با کیفیت بالا دشوار است و این مساله به دلیل تعداد زیاد وقوع هشدارهای اشتباه و عدم تولید پیام هشدار بوده و باید کاربران انسانی در مراکز عملیات امنیت (SOC) دادههای آموزش را بازبینی کرده و تغییراتی را اعمال کنند (مانند تعیین مجموعههایی مشخص از رویدادها به عنوان رویدادهای نمایشگر تهدیدات امنیتی درحالیکه بقیه نامشخص هستند). انتظار میرود که انسانها همیشه برای کاربرد یادگیری با نظارت در امنیت موردنیاز باشند. |
با توجه به کاهش مداوم هزینه، استفاده از فضاهای ذخیرهسازی بزرگ روزبهروز میسرتر میشود. علاوهبراین، هر ساله شاهد دو برابر شدن قدرت محاسباتی در دسترس هستیم. همه این پیشرفتها در تکنولوژی، منجر به عملی شدن و در دسترس قرار گرفتن یادگیری ماشین شده است.
امروزه، یادگیری ماشین و هوش مصنوعی به کلماتی شعارگونه و متداول در فضای امنیت تبدیل شدهاند. تیمهای امنیتی نیازی فوری به روشهای خودکار برای تشخیص تهدیدات و رفتارهای مخرب کاربر دارند و این نیاز منجر به افزایش علاقه به این موضوعات میشود. خودکارسازی برای تیمهای امنیتی شدیدا حیاتی است. دلیل این امر این است که روشهای پیشگیری موجود مصون از خطا نبوده و بسیاری از روشهای تشخیص موجود متکی بر تحقیقات و تصمیمگیری دستی برای یافتن تهدیدات پیشرفته، رفتار مخرب کاربر و دیگر مشکلات جدی هستند.
تحلیلگران امنیت با تعداد زیادی هشدارهای اشتباه[۴] و عدم تولید پیام هشدار[۵] مواجه هستند. امروزه، با توجه به گسترش استفاده از دستگاههای موبایل، فضاهای ذخیرهسازی ابری و اینترنت اشیا، که همه آنها هشدارهای اشتباه را افزایش میدهند، سطح تهدید بهطور نمایی افزایش یافته است. تیمهای امنیتی به شدت درگیر هشدارها هستند. سرعت عمل آنها به حدی نیست که بتوانند با فعالیتهایی که باید تجزیه و تحلیل شوند همگام باشند در نتیجه، آنها قادر به شناسایی تهدیدات نوظهور نیستند.
متاسفانه، امنیت بیشتر به معنای امنیت بهتر نیست. در حقیقت استراتژی امنیتی بیشتر سازمانها، که عبارت است از استفاده از تکنولوژیهای مختلف در لایههای متعدد، نه تنها نشاندهنده ناکارایی این استراتژی بوده بلکه بسیار پیچیده و هزینهبر است.
Keith Weiss مدیرعامل شرکت Morgan Stanley در اینباره میگوید که “علیرغم اینکه شرکتها در سالیان گذشته بیشتر به مساله امنیت پرداختهاند، تلفات وابسته به جرائم سایبری در پنج سال گذشته نزدیک به دو برابر شده است”. بهبود سرعت تشخیص به معنای بهبود دقت و کارایی است و این مساله نیازمند راهکارهایی برای هوشمندتر کردن تکنولوژیهای تشخیص است. این همان جایی است که هوش مصنوعی و یادگیری ماشین مفید واقع میشود.
در مقایسه با انسان، یادگیری ماشین تواناییهای بسیار بهتری در تشخیص و پیشبینی انواع مشخصی از الگوها ارائه میکند. تکنولوژیهای امنیتی میتوانند از یادگیری ماشین برای شناسایی الگوها در دادههای خود استفاده کنند که این مهم، تصمیمگیریهای سریعتر و دقیقتر را ممکن کرده و به تصمیمگیریها توسط انسان کمک میکند. با استفاده از یادگیری ماشین، تکنولوژیهای امنیتی میتوانند فراتر از رویکردهای مبتنی بر قاعده، که نیازمند دانش قبلی درباره الگوها هستند، عمل کنند. برای مثال، تکنولوژیهای امنیتی با استفاده از یادگیری ماشین میتوانند الگوهای معمول فعالیت در محیط یک شبکه را برای تشخیص انحرافات یاد بگیرند. این انحرافات، احتمالا نشانه تهدید بوده و باید آنها را هر چه سریعتر شناسایی کرد. این مهم میتواند منجر به جلوگیری از وقایع زیادی شده و همچنین، تاثیر وقایع رخ داده را نیز، با هر چه سریعتر متوقف کردن آنها، کم کند.
گزارشی اخیرا منتشر شده توسط شورای ملی علوم و فناوری آمریکا (NSTC)، با بیان این مطلب، تاکید میکند که:
“استفاده از هوش مصنوعی میتواند سرعت موردنیاز در تشخیص و واکنش به تهدیدات سایبری (که به طور مداوم در حال توسعه هستند) را فراهم کند. فرصتهای زیادی برای هوش مصنوعی و به ویژه سیستمهای یادگیری ماشین برای کمک به مقابله با پیچیدگیهای فضای سایبری و پشتیبانی از تصمیمگیریهای موثر انسانی در پاسخ به حملات سایبری وجود دارد.”
تاثیرگذاری یادگیری ماشین وابسته به دسترسی به مجموعههایی بزرگ، با کیفیت و غنی از دادههای ساختاریافته از فعالیتهای شبکه در طول تعداد زیادی از نقاط پایانی است. عبارت قدیمی “ورودی اشتباه خروجی اشتباه” به طور کامل این موقعیت را توضیح میدهد. در صورتی که دادههای غیرصحیح، غیر شفاف، سازماننیافته و ناقص به الگوریتمهای یادگیری ماشین به عنوان ورودی داده شود، این الگوریتمها قادر به تولید نتایج دلخواه نخواهند بود. به عبارت دیگر، وجود الگوریتمهای یادگیری ماشین لزوما به معنی هوشمندانه و مفید بودن آنچه آنها یاد میگیرند، نیست. اگر درسهای اشتباهی به این الگوریتمها یاد داده شود، در آینده آنها پاسخهای اشتباهی خواهند داد.
انتظار و واقعیت
در یک دنیای کامل، یادگیری ماشین یک راه جادویی برای برطرف کردن چالشهای امنیتی سازمان شما خواهد بود. یادگیری ماشین منجر به خودکارسازی کامل عملیات امنیت شده و دیگر نیازی به دخالت انسانها نخواهد بود. این ابزار، رفتار کاربران، سیستمها و Applicationها را با جزئیات دقیق یاد گرفته و شناسایی بلادرنگ و رسیدگی به مواردی مانند “جعل هویت کاربران” و دیگر مشکلات را ممکن میسازد.
بسیاری از ارائهدهندگان محصولات امنیتی ادعا میکنند که دستیابی به هوش مصنوعی در امنیت مسالهای سهلالوصول است. اما این ادعا صحیح نبوده و هنوز هیچ محصولی به طور موثر قادر به استفاده از روشهای یادگیری ماشین و دستیابی به هوش مصنوعی در زمینه امنیت نیست. احتمالا دستیابی به این هدف به زمان و پیشرفت چشمگیری نیاز خواهد داشت. هر چند که تجزیه و تحلیل و شناسایی ممکن است خودکارسازی شود اما انسانها هنوز برای پاسخگویی و بازیابی (برای مثال، تصمیمگیری در مورد اینکه یک مشکل گزارش شده یک هشدار اشتباه است، ارتباط با افراد تحت تاثیر، و هماهنگسازی فعالیتها با دیگر سازمانها) موردنیاز هستند. محصولات امنیتی امروزی قادر به تماما خودکارسازی SOC و حذف کامل نیاز به تحلیلگران امنیت، افراد پاسخگو به وقایع و دیگر کارکنان SOC نیستند.
هر چند که استفاده از یادگیری ماشین در امنیت یک راه حل جادویی نیست که همه مشکلات را حل کند، اما کاربرد یادگیری ماشین در حل چالشهای امنیتی ارزش بسیار زیادی دارد. دستیابی به هوش مصنوعی به طور چشمگیری منجر به کاهش فعالیتهای موردنیاز به انجام از طرف کارکنان بسیار ماهر (که حقوق و مزایای بالایی دریافت میکنند) شده و پاسخگویی به وقایع را بسیار سریعتر، موثرتر، کاراتر و دقیقتر میکند. با این حال، به جای تلاش برای دستیابی به اهداف غیرواقعی و غیرقابلدسترس در حال حاضر، نیازمند پیشرفتهایی کوچک اما ممکن هستیم. برای مثال، به کار بردن یادگیری ماشین برای تشخیص الگو، با هدف متصل کردن خودکار یک مدل تهدید از شش هفته قبل به یک مورد مشابه امروزی، یک هدف واقعبینانه است.
در حال حاضر، استفاده از یادگیری ماشین بیشتر در تشخیص تهدید از طریق یادگیری الگوهای فعالیتهای نرمال و تشخیص ناهنجاریها ممکن است: پیشبینی یک الگوی جدید، تغییر در یک الگوی موجود، یا حذف یک الگو. با توجه به حجم روزافزون فعالیتها در سیستمها و Applicationهای امروزی، قابلیتهای تشخیص الگو و پیشبینی یادگیری ماشین بسیار ارزشمند شدهاند.
مزایای یادگیری ماشین
قابلیتهای پیشبینی |
|
تنها ۱۵ الی ۲۰ درصد از تهدیدها ناشناخته هستند. این همان جایی است که یادگیری ماشین به کار میآید. |
با این حال، نقصی که در یادگیری ماشین وجود دارد این است که این ابزار به تنهایی فاقد درک زمینهای امنیت برای تشخیص مهم یا نامهم بودن ناهنجاریهاست. یادگیری ماشین میتواند تشخیص دهد که یک کاربر به روشی نامعمول عمل میکند، اما رفتار غیرمعمول لزوما خوب یا لزوما بد نیست. برای مثال، اتصال یک کاربر برای اولین بار به سرور ممکن است یک ناهنجاری باشد اما آیا این یک فعالیت مخرب است؟
در سایر زمینهها، یادگیری ماشین به خودی خود به خوبی عمل میکند زیرا به دادههایی عاری از ناهنجاری نگاه کرده و به هیچ دانش اضافهای برای پیشبینی روند نیاز ندارد. در زمینه امنیت، ناهنجاریهای بیخطر زیادی وجود دارد، بنابراین توانایی تشخیص ناهنجاریها، علیرغم مهم بودن، توضیحی کامل درباره آنچه اتفاق افتاده، ارائه نکرده و قادر به ارائه پیشبینی صحیح در مورد آنچه اتفاق خواهد افتاد، نیست.
بهتر است به قابلیتهای تشخیص ناهنجاری یادگیری ماشین به عنوان یک ابزار در جعبه ابزار خود نگاه کنید. فرض کنید ۸۰ الی ۸۵ درصد از تهدیدات توسط پلتفرم SIEM شما قابلتشخیص باشند. در این صورت، ۱۵ الی ۲۰ درصد از تهدیدات توسط SIEM شما ناشناخته و غیرقابلتشخیص هستند. این همان جایی است که یادگیری ماشین وارد میشود.
برای تشخیص موثر تهدیدات، باید از الگوریتم مناسب برای هر نوع تهدید استفاده کرد. سایر ابزارها، اطلاعات زمینهای موردنیاز را فراهم میکنند. یک راهکار SIEM قادر است اطلاعات را از ابزارهای زیادی مانند سیستمهای منابع انسانی (HR)، راهکارهای مدیریت هویت، اسکنرهای آسیبپذیری و سیستمهای مدیریت دارایی دریافت، تجمیع و همبسته کند. یادگیری ماشین و دیگر ابزارها، در صورت استفاده با هم، اطلاعات موردنیاز برای اولویتبندی فعالیتهای انسانی را تولید میکنند. بدون اولویتگذاری ناهنجاریهای زیادی وجود دارند که امکان بررسی همه آنها و شناسایی موارد واقعا مهم وجود ندارد.
به کارگیری یادگیری ماشین در امنیت
یادگیری ماشین میتواند فرصتهای بالقوهی زیادی، مانند موارد زیر، برای بهبود عملیات امنیت شما ارائه کند:
تشخیص تهدید
- تشخیص و پیشبینی تهدید: تجزیه و تحلیل فعالیتهای ناهنجار در راستای تشخیص تهدیدهای نوظهور و توقف آنها قبل از دستیابی حملهکنندگان به نتایج دلخواه.
- مدیریت خطر: نظارت و همچنین تحلیل فعالیت کاربر، محتویات و پیکربندیهای دارایی، اتصالات شبکه و دیگر ویژگیهای داراییها برای ایجاد و نگهداری پروفایلهای ریسک پویا[۶] برای همه داراییهای تجاری.
- اولویتبندی اطلاعات آسیبپذیری: استفاده از اطلاعات به دست آمده درباره داراییهای سازمان و آسیبپذیریهایی که فعالانه مورد بهرهبرداری قرار میگیرند برای اولویتگذاری کاهش اثر این آسیبپذیریها.
- جمعآوری هوش تهدید: پالایش اطلاعات موجود در ورودیهای هوش تهدید برای بهبود کیفیت.
پاسخگویی به تهدید و بازیابی
- بررسی رویدادها و پاسخگویی: بازبینی و تجزیه و تحلیل اطلاعات درباره رویدادها و حوادث برای شناسایی گامهای بعدی و سازماندهی جریان کاری و فرایندهای پاسخگویی به رویدادها.
- Forensics: تکمیل اطلاعات Forensic موجود با شناسایی اطلاعات اضافی که احتمالا مرتبط بوده و به طور بالقوه ارزش تحقیق دارند.
- فریب و جهتدهی اشتباه: یادگیری درباره محیطهای موجود و توسعه تکنیکهای هوشمند برای فریب و به اشتباه انداختن حملهکنندگان (تا آنها به اهداف خود نرسند).
تا زمانی که بستر امنیتی لازم برای درک اهمیت هر ناهنجاری در دسترس باشد، UEBA یک کاربرد کاملا مناسب برای یادگیری ماشین است. |
[۱] Machine learning
[۲] Artificial intelligence
[۳] Data science
[۴] False positive
[۵] False negative
[۶] Dynamic risk