الذكاء الاصطناعي في خدمة أمن الشبكات. الجزء الأول

في عام 2017 ، أعلن قسم الشبكات في Aruba التابع لشركة Hewlett Packard Enterprise عن Aruba 360 Secure Fabric ، وهو حل شامل لأمن الشبكات. يحمي هذا الحل شبكة الشركة بزاوية 360 درجة من التهديدات من خارج الشبكة وداخلها في محيط أمان متغير باستمرار ، مع ظهور الأجهزة اللاسلكية والخدمات السحابية.



تم بناء الحل على أساس العديد من المكونات الرئيسية. بادئ ذي بدء ، إنها بنية تحتية آمنة وموثوقة. تم تصميم معدات الشبكات أروبا منذ البداية من حيث أقصى قدر من الأمن. يمكن أن توفر وحدات التحكم الحديثة معالجة عالية السرعة (حتى 100 جيجابت / ثانية) لحركة مرور الشبكة ، مع مراعاة وظيفة الفحص الدقيق للحزم (DPI). ويرتبط بذلك ظهور البروتوكول المتخصص للرصد المتقدم (AMON) ، والذي تم تصميمه لنقل كمية كبيرة من المعلومات المتنوعة بين وحدات تحكم WLAN ونظام التحكم ويعمل كمصدر إضافي للمعلومات لأنظمة الأمن.

المكون التالي لمصنع Aruba 360 هو نظام التحكم في الوصول إلى البنية التحتية Aruba ClearPass ، الذي ينتمي إلى عائلة منتجات البرامج تحت اسم التحكم في الوصول إلى الشبكة (NAC). هذا المنتج يستحق دراسة تفصيلية ونخطط لتكريس سلسلة منفصلة من المقالات له. دعنا نبدأ بفحص لماذا من المستحيل في الظروف الحديثة الاعتماد فقط على محيط أمان الشبكة ومن أين تأتي الحاجة إلى أنظمة SIEM.

تم بناء محيط الأمان على أساس التكامل العميق لحلول الشركاء الموجودة على الواجهة مع الشبكات غير الآمنة وقطاع DMZ. هذه هي الأجهزة التي توفر جدار الحماية ، وتحليل التوقيع على البيانات المرسلة ، والعمل مع حركة المرور المشفرة ، وتدقيق التشفير ، إلخ.

من الصعب على المهاجمين التغلب على أنظمة الأمان الكلاسيكية المذكورة أعلاه التي تحرس محيط شبكات الشركات ، لذلك غالبًا ما يختارون نهجًا مختلفًا للهجمات. يمكن بناء هجوم على أساس إدخال وتوزيع كود خبيث من خلال معدات موظفي الشركة. يمكن للمستخدم الشرعي أن يفقد أو يترك جهاز شركته دون مراقبة ، وأن يتصل بشبكات WiFi العامة غير الآمنة. هناك خيار شائع آخر لإنشاء نقطة بداية للهجوم ، وهو إرسال ارتباط زائف للمستخدم أو إرسال مرفق بريد إلكتروني ضار إليه ، مما يسمح لك بحقن الشفرة الضارة في الكمبيوتر الخاص بمستخدم شرعي. في الآونة الأخيرة ، نرى في كثير من الأحيان أمثلة على الإجراءات الخبيثة باستخدام أجهزة إنترنت الأشياء ، ونقاط ضعفها الرئيسية هي الإعدادات "الافتراضية" والبرامج القديمة ذات الثغرات المعروفة (على سبيل المثال ، بالكاد يقوم أي شخص بتثبيت تصحيحات على كاميرات IP التي تعمل بنظام Windows 95 أو MS DOS).

في بعض الأحيان يمكن لموظف في منظمة ما أن يصبح مهاجمًا ويبدأ في جمع بيانات الشركة القيمة لغرض الابتزاز أو الربح التجاري. في العام الماضي ، انتشرت برامج الفدية مثل WannaCry و Pyetya بنشاط. قبل ظهور برامج الفدية ذاتية الانتشار ، انتشرت البرامج الضارة بثلاث طرق: عن طريق التنزيل من المواقع أو عبر البريد الإلكتروني أو من الوسائط المادية ، مثل أجهزة USB الخبيثة. لذلك ، من أجل إصابة جهاز أو نظام ببرنامج فدية ، كان التدخل البشري مطلوبًا إلى درجة أو أخرى.

لقد تعلم المهاجمون استخدام تقنيات الهندسة الاجتماعية وفي المستقبل سوف تتحسن هذه المهارات فقط. وفقًا للمحللين ، إذا كانت المنظمة تعتمد فقط على التكنولوجيا لإصلاح الثغرات الأمنية ، فإن هذا لن يحل سوى 26٪ من المشاكل. إذا كانت المنظمات تستخدم سياسات فقط لحل المشاكل الأمنية ، فإن هذا سيزيل فقط 10٪ من المشاكل ؛ وإذا كانوا يستخدمون تدريب المستخدم فقط - 4٪ فقط. لذلك ، من الضروري التحكم في جميع جوانب الأمن الثلاثة معًا. أضف إلى ذلك نقصًا حادًا في موظفي تكنولوجيا المعلومات المؤهلين ، القادرين على معالجة المعلومات حول أحداث الشبكة في أقرب وقت ممكن وإصدار حكم صحيح بشكل لا لبس فيه على حالة الأمان.

في هذه الحالة ، يمكن أن تأتي أنظمة SIEM (المعلومات الأمنية وإدارة الأحداث) لإنقاذها ، وهي مصممة لجمع مجموعة واسعة من أحداث أمن المعلومات ومساعدة مراكز أمان الشبكة (SOC) على تحليل الأحداث وبناء التقارير. لكن حتى ، كما اتضح ، لا يمكنهم إعطاء الصورة الكاملة بسبب تعقيد معالجة المعلومات من قبل البشر والعدد الكبير من الإيجابيات الخاطئة. وفقًا لتقرير تحليلي للشركات الصغيرة التي يقل دخلها عن 100 مليون دولار ، يستغرق التحقيق في الحادث حوالي 10 دقائق. في الشركات التي يبلغ عدد الموظفين فيها من 1001 إلى 5000 ، في 26 شركة من أصل 85 مستجيبًا ، يمكن أن يستغرق وقت التحقيق في حادثة من 20 دقيقة إلى ساعة. قد تكون الاستنتاجات الرئيسية من هذه الإحصاءات أنه إذا قضى كل محلل الكثير من وقت عمله في التحقيق في حادث أمني ، وقد يكون هناك 10 أو أكثر من هذه الحوادث ، فإن التحقيق في الحوادث الأمنية يمكن أن يستنفد جميع الموارد البشرية المتاحة.

وفقًا للتقرير نفسه ، يمكن لأنظمة SIEM إنشاء ما يصل إلى 10000 حدث في الدقيقة ، والتي تتضمن إنذارات خاطئة وتتطلب أحيانًا تحليلًا فوريًا للأفراد. إن فصل الإشارة عن الضوضاء ليس بالكلمات الفارغة في حالة أنظمة SIEM. في هذه الحالة ، قد تأتي الأنظمة ذات الذكاء الاصطناعي بمساعدة الأقسام الأمنية. يتبع!