عملیات امنیت

Machine Learning چیست؟ - بخش اول

Machine Learning چیست؟ - بخش اول

به کارگیری یادگیری ماشین در یک محیط امنیتی: یک رویکرد علوم داده محور-بخش اول

امروزه به هر قسمت از امنیت که نگاه کنیم با اصطلاحات یادگیری ماشین[1] و هوش مصنوعی[2] مواجه خواهیم شد. دلیل توجه زیاد به روش‌های یادگیری ماشین و هوش مصنوعی این است که ارائه‌دهندگان امنیت و مشتریان آن‌ها به دنبال راه‌هایی بهتر برای دفاع در برابر حملات سایبری پیشرفته و بهبود وجهه امنیتی خود هستند. یادگیری ماشین و هوش مصنوعی منجر به موفقیت‌های عظیمی در حل مسائل زیادی در دیگر حیطه‌های زندگی ما شده‌اند؛ بنابراین، به کارگیری آن‌ها با هدف دستیابی به موفقیت‌هایی مشابه در زمینه امنیت امری طبیعی است.

متاسفانه، انتظارات و اطلاعات اشتباه زیادی پیرامون موارد قابل انجام توسط یادگیری ماشین و هوش مصنوعی برای بهبود امنیت وجود دارد. در این مقاله، مهم‌ترین نکات موردنیاز برای به کارگیری یادگیری ماشین و هوش مصنوعی در محیط امنیتی بیان خواهد شد. علاوه‌براین، مهم‌ترین فرصت‌ها و چالش‌ها در به کارگیری یادگیری ماشین و هوش مصنوعی برای بهبود توانایی تیم‌های امنیتی در راستای تشخیص و پاسخ‌گویی سریع به تهدیدات سایبری ارائه خواهد شد.

نیاز روزافزون به یادگیری ماشین، هوش مصنوعی و علوم داده[3]

یادگیری ماشین، هوش مصنوعی و علوم داده اصطلاحاتی هستند که معانی آن‌ها مدام در حال تغییر است. با توجه به هدف این مقاله، تعاریف زیر را برای این اصطلاحات در نظر می‌گیریم:

  • هوش مصنوعی (AI): علمی است که یک کامپیوتر را قادر به خودکارسازی فعالیت‌هایی که نیازمند هوش، تجزیه و تحلیل و تصمیم‌گیری است و انسان‌ها آن‌ها را به صورت نرمال انجام می‌دهند، می‌کند.

  • یادگیری ماشین: علمی است که کامپیوترها را قادر به یادگیری می‌کند بدون اینکه صریحا برای انجام این کار برنامه‌ریزی شده باشند. یادگیری ماشین، آمار و الگوریتم‌ها را روی مقادیر زیادی از داده به کار می‌گیرد. یکی از اهداف یادگیری ماشین به دست آوردن هوش مصنوعی است.

  • علوم داده: نظام استخراج اطلاعات از داده‌ها، علوم داده زمینه‌ای بسیار گسترده بوده که شامل یادگیری ماشین نیز می‌باشد. 

یادگیری با نظارت و یادگیری فاقد نظارت

الگوریتم‌های یادگیری ماشین می‌توانند از طریق یادگیری با نظارت و یا فاقد نظارت تکامل یابند. در یادگیری فاقد نظارت، الگوریتم، بدون نیاز به تنظیم، تمام اطلاعات موردنیاز برای درک داده‌های آموزش ارائه شده به آن را دارد. بنابراین، می‌تواند به تنهایی یاد بگیرد. در یادگیری با نظارت، الگوریتم از اطلاعات اضافه فراهم شده توسط داده‌های آموزش یا به صورت مجزا برای هوشمندتر شدن ماشین بهره می‌برد.

یادگیری با نظارت و یادگیری فاقد نظارت، هر دو نقش مهمی در یادگیری ماشین دارند. یادگیری با نظارت اغلب برای مجموعه داده‌هایی با ناهنجاری‌های مشخص (مخصوصا اگر هدف استفاده از یادگیری ماشین برای پیش‌بینی ناهنجاری‌های نامشخص باشد) ضروری هستند. برای مثال، در زمینه امنیت، دستیابی به داده آموزش با کیفیت بالا دشوار است و این مساله به دلیل تعداد زیاد وقوع هشدارهای اشتباه و عدم تولید پیام هشدار بوده و باید کاربران انسانی در مراکز عملیات امنیت (SOC) داده‌های آموزش را بازبینی کرده و تغییراتی را اعمال کنند (مانند تعیین مجموعه‌هایی مشخص از رویدادها به عنوان رویدادهای نمایشگر تهدیدات امنیتی درحالی‌که بقیه نامشخص هستند). انتظار می‌رود که انسان‌ها همیشه برای کاربرد یادگیری با نظارت در امنیت موردنیاز باشند.

 

با توجه به کاهش مداوم هزینه، استفاده از فضاهای ذخیره‌سازی بزرگ روز‌به‌روز میسرتر می‌شود. علاوه‌براین، هر ساله شاهد دو برابر شدن قدرت محاسباتی در دسترس هستیم. همه این پیشرفت‌ها در تکنولوژی، منجر به عملی شدن و در دسترس قرار گرفتن یادگیری ماشین شده است.

امروزه، یادگیری ماشین و هوش مصنوعی به کلماتی شعارگونه و متداول در فضای امنیت تبدیل شده‌اند. تیم‌های امنیتی نیازی فوری به روش‌های خودکار برای تشخیص تهدیدات و رفتارهای مخرب کاربر دارند و این نیاز منجر به افزایش علاقه به این موضوعات می‌شود. خودکارسازی برای تیم‌های امنیتی شدیدا حیاتی است. دلیل این امر این است که روش‌های پیش‌گیری موجود مصون از خطا نبوده و بسیاری از روش‌های تشخیص موجود متکی بر تحقیقات و تصمیم‌گیری دستی برای یافتن تهدیدات پیشرفته، رفتار مخرب  کاربر و دیگر مشکلات جدی هستند.

تحلیل‌گران امنیت با تعداد زیادی هشدارهای اشتباه[4] و عدم تولید پیام هشدار[5] مواجه هستند. امروزه، با توجه به گسترش استفاده از دستگاه‌های موبایل، فضاهای ذخیره‌سازی ابری و اینترنت اشیا، که همه آن‌ها هشدارهای اشتباه را افزایش می‌دهند، سطح تهدید به‌طور نمایی افزایش یافته است. تیم‌های امنیتی به شدت درگیر هشدارها هستند. سرعت عمل آن‌ها به حدی نیست که بتوانند با فعالیت‌هایی که باید تجزیه و تحلیل شوند همگام باشند در نتیجه، آن‌ها قادر به شناسایی تهدیدات نوظهور نیستند.

متاسفانه، امنیت بیشتر به معنای امنیت بهتر نیست. در حقیقت استراتژی امنیتی بیشتر سازمان‌ها، که عبارت است از استفاده از تکنولوژی‌های مختلف در لایه‌های متعدد، نه تنها نشان‌دهنده ناکارایی این استراتژی بوده بلکه بسیار پیچیده و هزینه‌بر است.

Keith Weiss مدیرعامل شرکت Morgan Stanley در این‌باره می‌گوید که "علی‌رغم اینکه شرکت‌ها در سالیان گذشته بیشتر به مساله امنیت پرداخته‌اند، تلفات وابسته به جرائم سایبری در پنج سال گذشته نزدیک به دو برابر شده است". بهبود سرعت تشخیص به معنای بهبود دقت و کارایی است و این مساله نیازمند راه‌کارهایی برای هوشمندتر کردن تکنولوژی‌های تشخیص است. این همان جایی است که هوش مصنوعی و یادگیری ماشین مفید واقع می‌شود.

در مقایسه با انسان، یادگیری ماشین توانایی‌های بسیار بهتری در تشخیص و پیش‌بینی انواع مشخصی از الگوها ارائه می‌کند. تکنولوژی‌های امنیتی می‌توانند از یادگیری ماشین برای شناسایی الگوها در داده‌های خود استفاده کنند که این مهم، تصمیم‌گیری‌های سریع‌تر و دقیق‌تر را ممکن کرده و به تصمیم‌گیری‌ها توسط انسان کمک می‌کند. با استفاده از یادگیری ماشین، تکنولوژی‌های امنیتی می‌توانند فراتر از رویکردهای مبتنی بر قاعده، که نیازمند دانش قبلی درباره الگوها هستند، عمل کنند. برای مثال، تکنولوژی‌های امنیتی با استفاده از یادگیری ماشین می‌توانند الگوهای معمول فعالیت در محیط یک شبکه را برای تشخیص انحرافات یاد بگیرند. این انحرافات، احتمالا نشانه تهدید بوده و باید آن‌ها را هر چه سریع‌تر شناسایی کرد. این مهم می‌تواند منجر به جلوگیری از وقایع زیادی شده و همچنین، تاثیر وقایع رخ داده را نیز، با هر چه سریع‌تر متوقف کردن آن‌ها، کم کند.

گزارشی اخیرا منتشر شده توسط شورای ملی علوم و فناوری آمریکا (NSTC)، با بیان این مطلب، تاکید می‌کند که:

"استفاده از هوش مصنوعی می‌تواند سرعت موردنیاز در تشخیص و واکنش به تهدیدات سایبری (که به طور مداوم در حال توسعه هستند) را فراهم کند. فرصت‌های زیادی برای هوش مصنوعی و به ویژه سیستم‌های یادگیری ماشین برای کمک به مقابله با پیچیدگی‌های فضای سایبری و پشتیبانی از تصمیم‌گیری‌های موثر انسانی در پاسخ به حملات سایبری وجود دارد."

تاثیرگذاری یادگیری ماشین وابسته به دسترسی به مجموعه‌هایی بزرگ، با کیفیت و غنی از داده‌های ساختاریافته از فعالیت‌های شبکه در طول تعداد زیادی از نقاط پایانی است. عبارت قدیمی "ورودی اشتباه خروجی اشتباه" به طور کامل این موقعیت را توضیح می‌دهد. در صورتی که داده‌های غیرصحیح، غیر شفاف، سازمان‌نیافته و ناقص به الگوریتم‌های یادگیری ماشین به عنوان ورودی داده شود، این الگوریتم‌ها قادر به تولید نتایج دلخواه نخواهند بود. به عبارت دیگر، وجود الگوریتم‌های یادگیری ماشین لزوما به معنی هوشمندانه و مفید بودن آنچه آن‌ها یاد می‌گیرند، نیست. اگر درس‌های اشتباهی به این الگوریتم‌ها یاد داده شود، در آینده آن‌ها پاسخ‌های اشتباهی خواهند داد.

انتظار و واقعیت

در یک دنیای کامل، یادگیری ماشین یک راه جادویی برای برطرف کردن چالش‌های امنیتی سازمان شما خواهد بود. یادگیری ماشین منجر به خودکارسازی کامل عملیات امنیت شده و دیگر نیازی به دخالت انسان‌ها نخواهد بود. این ابزار، رفتار کاربران، سیستم‌ها و Application‌ها را با جزئیات دقیق یاد گرفته و شناسایی بلادرنگ و رسیدگی به مواردی مانند "جعل هویت کاربران" و دیگر مشکلات را ممکن می‌سازد.

بسیاری از ارائه‌دهندگان محصولات امنیتی ادعا می‌کنند که دستیابی به هوش مصنوعی در امنیت مساله‌ای سهل‌الوصول است. اما این ادعا صحیح نبوده و هنوز هیچ محصولی به طور موثر قادر به استفاده از روش‌های یادگیری ماشین و دستیابی به هوش مصنوعی در زمینه امنیت نیست. احتمالا دستیابی به این هدف به زمان و پیشرفت چشم‌گیری نیاز خواهد داشت. هر چند که تجزیه و تحلیل و شناسایی ممکن است خودکارسازی شود اما انسان‌ها هنوز برای پاسخ‌گویی و بازیابی (برای مثال، تصمیم‌گیری در مورد اینکه یک مشکل گزارش شده یک هشدار اشتباه است، ارتباط با افراد تحت تاثیر، و هماهنگ‌سازی فعالیت‌ها با دیگر سازمان‌ها) موردنیاز هستند. محصولات امنیتی امروزی قادر به تماما خودکارسازی SOC و حذف کامل نیاز به تحلیل‌گران امنیت، افراد پاسخ‌گو به وقایع و دیگر کارکنان SOC نیستند.

هر چند که استفاده از یادگیری ماشین در امنیت یک راه حل جادویی نیست که همه مشکلات را حل کند، اما کاربرد یادگیری ماشین در حل چالش‌های امنیتی ارزش بسیار زیادی دارد. دستیابی به هوش مصنوعی به طور چشم‌گیری منجر به کاهش فعالیت‌های موردنیاز به انجام از طرف کارکنان بسیار ماهر (که حقوق و مزایای بالایی دریافت می‌کنند) شده و پاسخ‌گویی به وقایع را بسیار سریع‌تر، موثرتر، کاراتر و دقیق‌تر می‌کند. با این حال، به جای تلاش برای دستیابی به اهداف غیرواقعی و غیرقابل‌دسترس در حال حاضر، نیازمند پیشرفت‌هایی کوچک اما ممکن هستیم. برای مثال، به کار بردن یادگیری ماشین برای تشخیص الگو، با هدف متصل کردن خودکار یک مدل تهدید از شش هفته قبل به یک مورد مشابه امروزی، یک هدف واقع‌بینانه است.

در حال حاضر، استفاده از یادگیری ماشین بیشتر در تشخیص تهدید از طریق یادگیری الگوهای فعالیت‌های نرمال و تشخیص ناهنجاری‌ها ممکن است: پیش‌بینی یک الگوی جدید، تغییر در یک الگوی موجود، یا حذف یک الگو. با توجه به حجم روزافزون فعالیت‌ها در سیستم‌ها و Applicationهای امروزی، قابلیت‌های تشخیص الگو و پیش‌بینی یادگیری ماشین بسیار ارزشمند شده‌اند.

 

quz2

مزایای یادگیری ماشین

  • یادگیری الگو
  • تشخیص ناهنجاری
قابلیت‌های پیش‌بینی
quz

تنها 15 الی 20 درصد از تهدیدها ناشناخته هستند. این همان جایی است که یادگیری ماشین به کار می‌آید.

با این حال، نقصی که در یادگیری ماشین وجود دارد این است که این ابزار به تنهایی فاقد درک زمینه‌ای امنیت برای تشخیص مهم یا نامهم بودن ناهنجاری‌هاست. یادگیری ماشین می‌تواند تشخیص دهد که یک کاربر به روشی نامعمول عمل می‌کند، اما رفتار غیرمعمول لزوما خوب یا لزوما بد نیست. برای مثال، اتصال یک کاربر برای اولین بار به سرور ممکن است یک ناهنجاری باشد اما آیا این یک فعالیت مخرب است؟

در سایر زمینه‌ها، یادگیری ماشین به خودی خود به خوبی عمل می‌کند زیرا به داده‌هایی عاری از ناهنجاری نگاه کرده و به هیچ دانش اضافه‌ای برای پیش‌بینی روند نیاز ندارد. در زمینه امنیت، ناهنجاری‌های بی‌خطر زیادی وجود دارد، بنابراین توانایی تشخیص ناهنجاری‌ها، علی‌رغم مهم بودن، توضیحی کامل درباره آنچه اتفاق افتاده، ارائه نکرده و قادر به ارائه پیش‌بینی صحیح در مورد آنچه اتفاق خواهد افتاد، نیست.

بهتر است به قابلیت‌های تشخیص ناهنجاری یادگیری ماشین به عنوان یک ابزار در جعبه ابزار خود نگاه کنید. فرض کنید 80 الی 85 درصد از تهدیدات توسط پلت‌فرم SIEM شما قابل‌تشخیص باشند. در این صورت، 15 الی 20 درصد از تهدیدات توسط SIEM شما ناشناخته و غیرقابل‌تشخیص هستند. این همان جایی است که یادگیری ماشین وارد می‌شود.

برای تشخیص موثر تهدیدات، باید از الگوریتم مناسب برای هر نوع تهدید استفاده کرد. سایر ابزارها، اطلاعات زمینه‌ای موردنیاز را فراهم می‌کنند. یک راهکار SIEM قادر است اطلاعات را از ابزارهای زیادی مانند سیستم‌های منابع انسانی (HR)، راه‌کارهای مدیریت هویت، اسکنرهای آسیب‌پذیری و سیستم‌های مدیریت دارایی دریافت، تجمیع و همبسته کند. یادگیری ماشین و دیگر ابزارها، در صورت استفاده با هم، اطلاعات موردنیاز برای اولویت‌بندی فعالیت‌های انسانی را تولید می‌کنند. بدون اولویت‌گذاری ناهنجاری‌های زیادی وجود دارند که امکان بررسی همه آن‌ها و شناسایی موارد واقعا مهم وجود ندارد.

به کارگیری یادگیری ماشین در امنیت

یادگیری ماشین می‌تواند فرصت‌های بالقوه‌ی زیادی، مانند موارد زیر، برای بهبود عملیات امنیت شما ارائه کند:

تشخیص تهدید

  • تشخیص و پیش‌بینی تهدید: تجزیه و تحلیل فعالیت‌های ناهنجار در راستای تشخیص تهدیدهای نوظهور و توقف آن‌ها قبل از دستیابی حمله‌کنندگان به نتایج دلخواه.
  • مدیریت خطر: نظارت و همچنین تحلیل فعالیت کاربر، محتویات و پیکربندی‌های دارایی، اتصالات شبکه و دیگر ویژگی‌های دارایی‌ها برای ایجاد و نگهداری پروفایل‌های ریسک پویا[6] برای همه دارایی‌های تجاری.
  • اولویت‌بندی اطلاعات آسیب‌پذیری: استفاده از اطلاعات به دست آمده درباره دارایی‌های سازمان و آسیب‌پذیری‌هایی که فعالانه مورد بهره‌برداری قرار می‌گیرند برای اولویت‌گذاری کاهش اثر این آسیب‌پذیری‌ها.
  • جمع‌آوری هوش تهدید: پالایش اطلاعات موجود در ورودی‌های هوش تهدید برای بهبود کیفیت.

پاسخ‌گویی به تهدید و بازیابی

  • بررسی رویدادها و پاسخ‌گویی: بازبینی و تجزیه و تحلیل اطلاعات درباره رویدادها و حوادث برای شناسایی گام‌های بعدی و سازمان‌دهی جریان کاری و فرایندهای پاسخ‌گویی به رویدادها.
  • Forensics: تکمیل اطلاعات Forensic موجود با شناسایی اطلاعات اضافی که احتمالا مرتبط بوده و به طور بالقوه ارزش تحقیق دارند.
  • فریب و جهت‌دهی اشتباه: یادگیری درباره محیط‌های موجود و توسعه تکنیک‌های هوشمند برای فریب و به اشتباه انداختن حمله‌کنندگان (تا آن‌ها به اهداف خود نرسند).
quz0

تا زمانی که بستر امنیتی لازم برای درک اهمیت هر ناهنجاری در دسترس باشد، UEBA یک کاربرد کاملا مناسب برای یادگیری ماشین است.

 

 

[1] Machine learning

[2] Artificial intelligence

[3] Data science

[4] False positive

[5] False negative

[6] Dynamic risk

 

منبع

محصولات و خدمات حوزه امنیت اطلاعات و امنیت شبکه

دارای تاییدیه از مراجع معتبر داخلی و خارجی | نصب در مراکز معتبر | با افتخار تولید ایران


مشاوره با کارشناسان امنیت اطلاعات و امنیت شبکه

شرکت APK (امن پردازان کویر) در راستای اهداف خود آماده است تا به سازمانها ، شرکتها و واحدهای صنعتی مشاوره تخصصی در حوزه امنیت اطلاعات و امنیت شبکه را بصورت رایگان ارایه نماید

نظرات (0)

هیچ نظری در اینجا وجود ندارد

نظر خود را اضافه کنید.

  1. ارسال نظر بعنوان یک مهمان ثبت نام یا ورود به حساب کاربری خود.
0 کاراکتر ها
پیوست ها (0 / 3)
مکان خود را به اشتراک بگذارید

شبکه‌های اجتماعی

عضویت در خبرنامه

مطالب شگفت انگیز ، در صندوق ورودی شما

بروزترین مقالات در زمینه های :امنیت اطلاعاتامنیت شبکهعملیات امنیت
عملیات امنیت

شرکت امن‌پردازان کویر (APK) از شرکت‌های پیشگام کشور در حوزه‌ی ارائه خدمات امنیت س

عملیات امنیت

انتخاب یکی از گزینه‌های "همکاری با یک MSSP برای مدیریت امنیت" یا "خر

عملیات امنیت

امروزه به هر قسمت از امنیت که نگاه کنیم با اصطلاحات یادگیری ماشین

عملیات امنیت

کاربرد یادگیری ماشین در تجزیه و تحلیل رفتار کاربران و موجودیت‌ه

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر

Search