درباره علم یادگیری ماشین (ML)
چگونه یادگیری ماشین (ML) به امنیت سایبری میرسد
هوش مصنوعی (AI) به عنوان “تئوری و توسعه سیستم های کامپیوتری قادر به انجام وظایفی که معمولاً به هوش انسانی نیاز دارند” تعریف می شود. یادگیری ماشین (ML) یک زیر شاخه از علم هوش مصنوعی می باشد. آرتور ساموئل، اصطلاح ML را در سال 1959 به عنوان “زمینه مطالعه ای که به رایانه ها توانایی یادگیری بدون برنامه ریزی صریح را می دهد” ترویج داد.
در فرهنگ لغت کمبریج، ML یا همان یادگیری ماشین ، به عنوان «فرایندی که رایانهها بدون نیاز به گرفتن دستورالعمل در قالب برنامه از اپراتور ، خودش روش انجام وظایف خود را با یادگیری از دادههای جدید تغییر میدهند.» نامیده میشود. در واژگان آکسفورد، ML برای توصیف «استفاده و توسعه سیستمهای رایانهای که قادر به یادگیری و سازگاری بدون پیروی از دستورالعملهای صریح هستند، با استفاده از الگوریتمها و مدلهای آماری برای تحلیل و استنتاج از الگوهای موجود در دادهها» استفاده میشود.
به طور کلی، ML متکی بر مدل های ریاضی است که با تجزیه و تحلیل الگوها در مجموعه داده ها ساخته می شوند. سپس از این الگوها برای پیش بینی داده های ورودی جدید استفاده می شود. مشابه روشی که نتفلیکس برای سریالهای تلویزیونی جدید توصیه میکند، بر اساس تجربیات تماشای قبلی، ML یکی از رویکردهای هوش مصنوعی و مبتنی بر سیستمی می باشد که میتواند از تجربه بیاموزد، و بر اساس آموختهها رشد می کند.
کاربردهای یادگیری ماشین در امنیت سایبری
برای درک بهتر حملات سایبری قبلی و توسعه پاسخهای دفاعی مربوطه، ML میتواند در حوزههای مختلف امنیت سایبری برای افزایش فرآیندهای امنیتی استفاده شود و بدین ترتیب شناسایی سریع تهدیدات ، مقابله و اصلاحات دفاع بهتر برای تحلیلگران امنیتی آسانتر شود.
عناوین زیر تنها چند روش هستند که می توان از یادگیری ماشین برای کمک به امنیت استفاده کرد.
خودکارسازی وظایف :
یکی از مزایای بزرگ ML در امنیت سایبری ، ظرفیت آن برای خودکارسازی وظایف تکراری و وقت گیر، مانند تریاژ هوش تهدید ، تجزیه و تحلیل بدافزار، تجزیه و تحلیل لاگینگ های شبکه و ارزیابی آسیب پذیری است. با گنجاندن ML در گردش کار امنیتی، سازمانها میتوانند وظایف را بسیار سریعتر در مقایسه با ظرفیت انجام وظایف توسط کاربر انسانی انجام دهند. بدین ترتیب سریعا روی تهدیدات عکس العمل نشان داده و آنها را اصلاح کنند. خودکارسازی فرآیندهای تکراری به این معنی است که مشتریان می توانند به راحتی، بدون تغییر نیروی انسانی مورد نیاز، مقیاس خود را افزایش یا کاهش دهند، در نتیجه هزینه ها در فرآیند کاهش می یابد.
روش خودکارسازی عملکردها از طریق ML گاهی اوقات به عنوان AutoML شناخته می شود. AutoML به معنای زمانی است که وظایف تکراری درگیر در توسعه خودکار می شوند تا به طور خاص به بهره وری تحلیلگران، دانشمندان داده و توسعه دهندگان کمک کنند.
تشخیص و طبقه بندی تهدید :
الگوریتم های یادگیری ماشین در برنامه های کاربردی وب ( اپلیکیشن ها ) برای شناسایی و پاسخ به حملات استفاده می شود. این الگوها را می توان با تجزیه و تحلیل مجموعه کلان داده (Big Data) به دست آمده از رویدادهای امنیتی و شناسایی الگوهای فعالیت های مخرب به دست آورد. ML به گونه ای عمل می کند که وقتی رویدادهای مشابه شناسایی می شوند، به طور خودکار توسط مدل آموزش دیده ML با آنها برخورد می شود.
به عنوان مثال، مجموعه داده برای تغذیه یک مدل یادگیری ماشین را می توان با استفاده از شاخص های سازش (IOC) ایجاد کرد. اینها می توانند به نظارت، شناسایی و پاسخگویی به تهدیدات در زمان واقعی کمک کنند. الگوریتم های طبقه بندی ML را می توان با استفاده از مجموعه داده های IOC برای طبقه بندی رفتار بدافزارها استفاده کرد.
نمونه ای از چنین رویکردی در گزارشی از Darktrace مشهود است، یک راه حل ایمنی سازمانی مبتنی بر ML، که ادعا می کند از حملات در طول بحران باج افزار WannaCry جلوگیری کرده است. به گفته دیوید پالمر، مدیر فناوری Darktrace، او در مورد باج افزاری که بیش از 200000 قربانی در 150 کشور گرفت ، گفت: “الگوریتم های ما حمله را در عرض چند ثانیه در یکی از شبکه های یکی از آژانس های NHS شناسایی کردند و این تهدید بدون آسیب رساندن به آن سازمان کاهش یافت.”
فیشینگ :
تکنیکهای تشخیص فیشینگ سنتی به تنهایی فاقد سرعت و دقت کافی برای تشخیص و تمایز بین URLهای بیضرر و مخرب هستند. مدلهای طبقهبندی URL پیشبینیکننده جدیدترین الگوریتم ML میتوانند الگوهایی را شناسایی کنند که ایمیلهای مخرب را نشان میدهند. برای انجام این کار، مدلها بر روی ویژگیهایی مانند سرصفحه ایمیل، دادههای متن ، الگوهای نقطهگذاری و موارد دیگر آموزش داده میشوند تا موارد مخرب را از موارد بیضرر متمایز کنند.
WebShell :
WebShell یک قطعه کد است که به طور مخرب در یک وب سایت بارگذاری می شود تا امکان دسترسی برای ایجاد تغییرات در فهرست اصلی وب سرور فراهم شود. WebShell به مهاجمان اجازه می دهد تا به پایگاه داده دسترسی پیدا کنند. که به نوبه خود، هکر یا مهاجم سایبری را قادر می سازد تا اطلاعات شخصی را جمع آوری کند. با استفاده از ML، یک رفتار سبد خرید عادی را می توان شناسایی کرد و مدل را می توان برای تمایز بین رفتار عادی و مخرب آموزش داد.
همین امر در مورد تجزیه و تحلیل رفتار کاربر (UBA) نیز صدق می کند، که یک لایه مکمل برای اقدامات امنیتی استاندارد تشکیل می دهد تا دید کامل را فراهم کند، خطرات حساب کاربری را شناسایی کند و فعالیت های مخرب یا غیرعادی داخلی را شناسی و کاهش دهد . اگر یک اقدام غیرمعمول روی دستگاهی در یک شبکه مشخص انجام شود، مانند ورود کارمندان در اواخر شب، دسترسی از راه دور ناسازگار، یا تعداد دانلودهای غیرمعمول ، به عملکرد کاربر بر اساس الگوهای فعالیت، یک امتیاز ریسک داده می شود.
امتیازدهی ریسک شبکه :
استفاده از معیارهای کمی برای تخصیص امتیاز ریسک به بخشهایی از شبکهها، به سازمانها در اولویتبندی منابع کمک میکند. ML را می توان برای تجزیه و تحلیل مجموعه داده های حملات سایبری قبلی و تعیین اینکه کدام مناطق از شبکه ها بیشتر درگیر حملات خاص هستند استفاده کرد. این امتیاز می تواند به تعیین کمیت احتمال و شدت یک حمله با توجه به یک منطقه شبکه معین ، کمک کند. بنابراین، کمک به سازمان ها برای کاهش خطر قربانی شدن توسط حملات بیشتر از مزایای استفاده از ML می باشد.
هنگام ساختن یک پروفایل تجاری ، باید رمزگشایی کنید که در صورت به خطر افتادن چه حوزه ای، کسب و کار شما نابود می شود. که می تواند یک سیستم مدیریت ارتباط با مشتری (CRM)، سیستم حسابداری و یا سیستم فروش شما باشد. هر شرکتی روش متفاوتی برای انجام امنیت دارد. و هنگامی که ویژگی های یک سازمان را درک کردید، می دانید که واقعاً از چه چیزی محافظت کنید. و اگر هک وجود داشته باشد، می دانید چه چیزی را در اولویت قرار دهید.
آینده ML :
ML یک ابزار قدرتمند است. یادآوری این نکته که در حالی که فناوری در حال توسعه است و پیشرفتهای هوش مصنوعی و ML با سرعت قابل توجهی در حال پیشرفت هستند، فناوری تنها به همان اندازه خوب یا بد است که ذهن تحلیلگرانی که آن را کنترل و استفاده میکنند.مهم است
همیشه بازیگران بدی وجود خواهند داشت که مهارت ها و فناوری خود را برای یافتن و بهره برداری از نقاط ضعف توسعه دهند. به همین دلیل است که ترکیب بهترین فناوری و فرآیندها با کارشناسان صنعت، برای شناسایی و پاسخگویی دقیق و سریع به تهدیدات سایبری بسیار مهم است.