إن موضوع الذكاء الاصطناعي ، الذي نشأ في الستينيات ، يشهد الآن طفرة مجنونة. تغلب أجهزة الكمبيوتر على لاعبي الشطرنج ومحبي Go ، وأحيانًا يكونون أكثر عرضة للتشخيص مع طبيب ، والشبكات العصبية (هذه المرة لا تتعلق بعقول مهندسي الدعم الفني) تحاول جدية حل المشكلات التطبيقية المعقدة ، وفي مكان ما هناك في الأفق ، هناك الذكاء الاصطناعي العالمي الذي يلوح في الأفق - شيء سيحل محل قريبه التطبيقي.
لا يظل أمن المعلومات أيضًا خارج حدود الضجيج حول الذكاء الاصطناعى (أو تطوره - هنا يقرر كل شخص نفسه). على نحو متزايد ، نسمع عن المناهج والحلول الضرورية التي يتم التوصل إليها ، وحتى (أحيانًا ما تكون خجولة وغير مؤكدة ، وأحيانًا بصوت عالٍ ، ولسوء الحظ ، ليست معقولة جدًا) حول النجاحات العملية الأولى في هذا المجال. بالطبع ، لن نتعهد بالكلام عن أمن المعلومات ، لكننا سنحاول معرفة ما هي الإمكانات الحقيقية لاستخدام الذكاء الاصطناعي في منطقة SOC (مركز العمليات الأمنية) ذات الصلة بنا. من يهتم بالموضوع أو يريد فقط التسلل في التعليقات - مرحبًا بك في cat.
كتابة AI لمهام IS ، أو ليست جميع AIs مفيدة بنفس القدر
هناك العديد من الأساليب لتصنيف الذكاء الاصطناعي - من حيث أنواع النظم ، والموجات التطورية لتطوير الاتجاه ، وأنواع التدريب ، إلخ. سننظر في هذا المنشور في تصنيف أنواع الذكاء الاصطناعي من وجهة نظر النهج الهندسي. في هذا التصنيف ، تنقسم الذكاء الاصطناعي إلى 4 أنواع.
1. المنهج المنطقي (نظام خبير الكمبيوتر) - تشكل الذكاء الاصطناعي في المقام الأول كنظام لإثبات الحقائق المعقدة. يفسر النظام أي هدف ناشئ كمهمة يجب حلها بطرق منطقية. وفقًا للمصادر ، يستخدم نظام IBM Watson ، المشهور لجميع محبي الشطرنج الروس ، أساليب مماثلة في عمله.
جوهر هذا النهج هو أن النظام في معظمه له واجهاتان رئيسيتان: للحصول على المعلومات (حيث يتم التدريب بواسطة خبير في مجال الموضوع) ولحل مشكلة (حيث تستخدم المعرفة والتقنيات التي تم الحصول عليها لحل المشكلات المنطقية والعملية).
غالبًا ما يتم أخذ هذا النهج في الاعتبار عند الحديث عن احتمالات استخدام الذكاء الاصطناعي في أمن المعلومات ، لذلك سنقوم بفحصه لمزيد من الدراسة التفصيلية في المستقبل.
2. النهج الهيكلي - عندما تكون إحدى المهام الهندسية الرئيسية لمنظمة العفو الدولية هي مضاهاة الدماغ البشري بقدرته على هيكلة المعلومات وتحليلها. في الواقع ، تتدفق البيانات التي يتم توفيرها للنظام والتعليقات المقدمة إليه (والتي تساعد الكثير من الأشخاص العاديين ، بما في ذلك محللو SOC) ، تتعلم وتحسن خوارزميات اتخاذ القرارات الداخلية.
نظرًا لاحتمالية الحصول على تغذية مرتدة مفصلة ، غالبًا ما تستخدم هذه الأساليب فيما يتعلق بمصفوفات البيانات المنظمة المشروطة. هذا هو معالجة الصور ، وتخصيص البيانات ، ووضع علامات على محتوى الصوت / الفيديو أو غيرها من المعلومات. في معظم التطبيقات المعروفة ، فإن النظام ، على الرغم من أنه ليس خبيرًا بحتًا ولا يحتاج إلى وضع اكتساب المعرفة ، إلا أنه يتطلب عملًا كبيرًا من المشغل لتشكيل تدفق تغذية مرتدة مستقر وذي مغزى. هناك تشابه في عمل الدماغ البشري: لكي "تنمو" الذكاء الاصطناعى ، يجب تعليمها ما هو جيد وما هو سيء ، ما هو ساخن ، ما هو بارد ، أين أمي وأين غريب.
3. النهج التطوري - زراعة الذكاء الاصطناعي في عملية تبادل المعرفة بين البرامج الأكثر بساطة وتشكيل بنية أكواد جديدة وأكثر تعقيدًا. تتمثل مهمة التطور في المقام الأول في إنشاء "نظرة مثالية" والتكيف مع بيئة عدوانية جديدة ، والبقاء على قيد الحياة ، من أجل تجنب مصير الديناصورات الحزينة.
في رأيي ، فإن فرص مثل هذا النهج الذي يقودنا إلى الذكاء الاصطناعي ، والقادر على حل مشاكل أمن المعلومات أو المشاركة في أنشطة شركة نفط الجنوب ، ضئيلة. من المؤكد أن بيئتنا السيبرانية عدوانية تمامًا ، حيث تحدث الهجمات يوميًا وبأعداد كبيرة ، لكن خيار تهيئة الظروف لبيئة نظم المعلومات لدعم وتحفيز النهج التطوري يبدو غير مرجح. الأشخاص الذين لديهم رأي بديل حول القضية مرحب بهم للغاية للتعليق.
4. نهج المحاكاة - إنشاء محاكي للأفعال في منطقة الدراسة من خلال ملاحظات طويلة الأجل للموضوع المحاكاة. لتبسيط ، تتمثل المهمة في قراءة جميع معلمات الإدخال وبيانات المخرجات (نتائج التحليل ، والإجراءات ، وما إلى ذلك) بحيث يمكن للآلة بعد بعض الوقت أن تنتج نفس النتائج تمامًا مثل الكائن قيد الدراسة ، وربما البث نفس الأفكار إذا كان الكائن شخص.
على الرغم من جاذبية ربط Big Brother بمحلل SOC ، يبدو أن نهج IB ليس له فائدة تذكر. بادئ ذي بدء ، نظرًا لصعوبة جمع المعرفة الجديدة وفصلها في مجال أمن المعلومات عن الآخرين (يكون الشخص ضعيفًا ويسعده أن يشتت انتباهه عن طريق سياقات خارجية حتى في عملية العمل) ، ويرجع ذلك إلى قصور في أدوات المراقبة (لم يتم تطوير مجموعات وقراءة المعلومات بشكل خاص حتى الآن. إلى الله).
إذا نظرت بشكل متكامل إلى جميع الطرق الموصوفة ، خاصة فيما يتعلق بتطبيقها لمهام تحليلات SOC ، فمن الملاحظ وجود ميزة شائعة: من أجل التطوير الصحيح ، يحتاج الطفل إلى الذكاء الاصطناعي - مع الأساليب والإجابات الصحيحة والبيانات الأكثر تنظيماً التي ستشرح له كيف يجب عليه في المستقبل قم ببناء القرارات الخاصة بك واتخاذها ، أو علمه كيفية استخدام واجهات المعلومات الخارجية. علاوة على ذلك ، في حالتنا ، ينبغي أيضًا هيكلة هذه الواجهات وأتمتة: إذا كان بإمكان محلل SOC تلقي معلومات حول التهديد أو الأصل عن طريق الهاتف ، فلن يعمل هذا الرقم مع AI.
في الحالة العامة ، فإن جزءًا من عمليات أمان المعلومات (اكتشاف الاحتيال وحماية تطبيقات الويب وتحليل حقوق وبيانات اعتماد المستخدمين) يدعم حقًا مبدأ الأعداد الكبيرة والهيكل "المنطقي". في حالة اكتشاف الحادث ، كل شيء أكثر تسلية.
AIIs هذا ، أو قدرات الذكاء الاصطناعي في سياق عمليات SOC
الآن دعونا نحاول "الهبوط" في النهج المنطقية والهيكلية للذكاء الاصطناعي في عمليات SOC الرئيسية. نظرًا لتقليد التفكير المنطقي البشري في كلتا الحالتين ، فمن الجدير أن نبدأ في طرح سؤال: ما الذي سأفعله ، كمحلل في شركة نفط الجنوب ، لحل هذه المشكلة أو الحصول على إجابة من مكان ما - تلقائيًا؟ دعنا نذهب من خلال العمليات الرئيسية لشركة نفط الجنوب:
1. عملية جرد أو جمع المعلومات حول الأصول. مهمة كبيرة بما فيه الكفاية ، بما في ذلك بالنسبة لمنظمة العفو الدولية ، والتي يجب أن تتلقى سياقًا حول كائنات الملاحظة وبمساعدتها في التعلم.
من الناحية النظرية ، هذا مجال خصب لمنظمة العفو الدولية. عندما يظهر نظام جديد ، يمكنك "المقارنة" بشكل موثوق به مع جيرانه (من خلال تحليل حركة مرور الشبكة ، وهيكل البرامج والتواصل مع عناوين IP الأخرى) ومن هذا المنطلق ، يمكنك افتراض غرضه وفئته ومعلومات تخزينه الرئيسية. وإذا أضفت سياق الإنشاء هناك ("تم كتابة النظام بواسطة Vasya ، وفاسيا في شركتنا متخصص في إدارة مستندات تكنولوجيا المعلومات ، وأنظمة العشرة الأخيرة التي أنشأها كانت إدارة المستندات" أو "في نفس الوقت ، تم إنشاء 4 أنظمة أخرى تشير بوضوح إلى الغرض") وما إلى ذلك) ، ثم إجراء حساب المخزون والأصول يبدو ممكنا لمهمة منظمة العفو الدولية.
الفروق الدقيقة الناشئة أو المشكلات الخارجيةفي الممارسة العملية ، نلاحظ وجود قدر كبير من الانتروبيا بين العملاء ، حتى في إطار نظام أعمال منفصل. هنا وميزات عمل مهندس معين ، وتكوين تفاعل معدّل قليلاً لهذا النظام ، وبرامج إضافية. وأيضًا بالنسبة لعمليات المراقبة وإدارة الحوادث ، من المهم بالنسبة لنا أن نفهم ما إذا كان النظام منتجًا أم اختبارًا ، وما إذا كان يتم تحميل البيانات القتالية إليه أم لا ، وعشرات المشكلات الصغيرة التي عادة ما يكون من السهل توضيحها عبر الهاتف ومن الصعب عزلها تمامًا عن تدفقات المعلومات.
ب. لمعالجة هذه المشكلة ، من الضروري في مرحلة ما تهيئة بيئة معقمة مشروطة لا نزال نعرف من فيها ومن هي المهام التي يجري حلها. عمليات حتى الإنشاء الأساسي لنموذج الأصول لمعظم العملاء ... حسنًا ، بشكل عام ، لن نتحدث عن أشياء حزينة ، أنت نفسك تعرف كل شيء.
ومع ذلك ، نلاحظ الوعد باستخدام الذكاء الاصطناعى في هذه المهمة "يوما ما" والمضي قدما.
2. عملية إدارة الضعف. بالطبع ، نحن لا نتحدث عن المسح الآلي الأساسي وتحديد نقاط الضعف وعيوب التكوين (هنا ليست هناك حاجة حتى ML في بيثون ، وليس مثل AI على Powerpoint - كل شيء يعمل على الخوارزميات الأساسية). تتمثل المهمة في وضع نقاط الضعف المحددة على خريطة الأصول الفعلية ، وتحديد أولوياتها وفقًا لخطورة وقيمة الأصول المعرضة للتهديد ، وقم بتكوين خطة ... وإليك النهاية. إن اكتشاف أي من الأصول يستحق حقًا مهمة لا يستطيع حتى حارس الأمن المباشر اكتشافها. عادة ما تموت عملية تحليل المخاطر وتقييم الأصول في مرحلة تقييم قيمة المعلومات أو مواءمة هذا التقييم مع العمل. في روسيا ، سلك أكثر من عشرة شركات هذا الطريق.
ولكن ، ربما ، في الوضع الميسر (عندما يتم تقدير تكلفة المورد أو خطورته بمقياس نسبي 10 أو 100 نقطة) ، يمكن بالتأكيد حل المشكلة. علاوة على ذلك ، تعيدنا مشكلات الأتمتة أولاً وقبل كل شيء إلى العنصر السابق - المخزون. بعد ذلك ، يتم حل المشكلة عن طريق التحليل الإحصائي الكلاسيكي ، دون حيل منظمة العفو الدولية المعقدة.
3. تحليل التهديد. عندما اخترعنا أخيرًا كل الأصول ، وفهمنا جميع أخطاء التكوين ونقاط الضعف المحتملة ، سيكون من الجيد وضع موجهات الهجوم المعروفة وتقنيات المهاجم في هذه الصورة. سيتيح لنا ذلك تقييم احتمال أن يكون المهاجم قادرًا على تحقيق الهدف. من المثالي إضافة إحصائيات حول اختبار الموظفين للقدرة على تحديد التصيّد وقدرات خدمة IS أو SOC لاكتشاف الحوادث (حجم الجزء المتحكم فيه من البنية التحتية ، وعدد وأنواع سيناريوهات الهجوم السيبراني المراقبة ، وما إلى ذلك).
هل تبدو المهمة قابلة للحل؟ شريطة أن تمكنا في المرحلتين السابقتين ، هناك نوعان من الفروق الدقيقة.
1. تقنيات وأساليب لمهاجمة المهاجم تتطلب أيضا تفسير آلة الإدخال. ولا يتعلق الأمر بتهديدات IoCs التي يتم تحليلها وتطبيقها بسهولة ، ولكن أولاً وقبل كل شيء ، عن مهاجمي TTP (التكتيكات والتقنيات والإجراءات) ، والذي يستلزم سلسلة من الشروط الأكثر تعقيدًا ("ما نوع المدخلات التي أكون عرضة لها؟"). حتى التحليل الأساسي للتقنيات المعروفة لمصفوفة ميتري تؤكد أن شجرة الأحداث ستكون متفرعة للغاية ، ومن أجل اتخاذ قرار صحيح بشأن أهمية التهديد ، يتطلب كل شوكة خوارزمية.
2. في هذه الحالة ، فإن الدماغ العصبي الاصطناعي يعارضه تمامًا الطبيعي - المهاجم. واحتمال غير قياسي ، غير موصوف أو لا يقع مباشرة في إجراءات TTP ، هناك الكثير للغاية.
4. الكشف / الكشف عن التهديدات الجديدة / الحالات الشاذة ، إلخ. عندما يتحدث الناس عن استخدام الذكاء الاصطناعى في SOCs ، فإنهم عادة ما يعنون هذه العمليات في الواقع ، لم يتم إصلاح قوة الحوسبة غير المحدودة ، وعدم وجود تركيز محط اهتمام ، بحيرة البيانات - ما هو الأساس الذي تقوم به منظمة العفو الدولية لاكتشاف الحالات الشاذة والتهديدات الجديدة ، من قبل؟
تكمن المشكلة الرئيسية في أنك بحاجة إلى القيام على الأقل بتجميع الأنشطة من خلال الهياكل الوظيفية / التجارية وأصول المعلومات (العودة إلى النقطة 1) ، وإلا فلن يحتوي دفق البيانات الضخم بأكمله في بحيرة البيانات على السياق المطلوب للكشف عن الحالات الشاذة. يقتصر استخدام الذكاء الاصطناعى في هذا المجال على مجموعة محددة بوضوح من المهام التطبيقية ؛ وفي الحالة العامة ، سوف ينتج الكثير من الإيجابيات الخاطئة.
5. تحليل الحوادث هو "وحيد القرن" لجميع محبي الأتمتة في قضايا SOC: يتم جمع جميع البيانات تلقائيًا ، ويتم فلترة أجهزة الإنذار الخاطئة ، واتخاذ قرارات مستنيرة
، ويتربص باب Narnia في كل خزانة ملابس .
لسوء الحظ ، هذا النهج لا يتوافق مع مستوى الفوضى الكون الذي نراه في تدفق المعلومات من المنظمات. يمكن أن يتغير حجم الحالات الشاذة المكتشفة يوميًا - ليس بسبب الحجم المتزايد للهجمات الإلكترونية ، ولكن بسبب تحديث وتغيير مبادئ برنامج التطبيق ، وتغيير وظائف المستخدم ، وحالة CIO ، ومرحلة القمر ، إلخ. لكي تعمل بطريقة ما مع الحوادث التي يتم تلقيها من Data Lake (وكذلك من UBA ، NTA ، وما إلى ذلك) ، سيحتاج محلل SOC ليس فقط إلى الاستمرار لفترة طويلة و google باستمرار الأسباب المحتملة لمثل هذا السلوك الغريب للنظام ، ولكن أيضًا لديك عرض كامل لنظم المعلومات: لرؤية كل عملية قيد التشغيل والتحديث ، كل تعديل في السجل أو إشارات تدفق الشبكة ، لفهم جميع الإجراءات التي يتم تنفيذها في النظام. حتى لو كنت قد نسيت أي مجموعة كبيرة من الأحداث التي ستثيرها ، وعدد أوامر زيادة تكلفة ترخيص أي منتج يستخدم في عمل شركة نفط الجنوب ، فلا تزال هناك تكاليف تشغيل هائلة للحفاظ على مثل هذه البنية التحتية. في واحدة من الشركات الروسية التي عرفناها ، تمكنا من "تمشيط" جميع تدفقات الشبكة ، وتمكين أمان المنفذ ، وتكوين NAC - بكلمة واحدة ، القيام بكل شيء في Feng Shui. سمح ذلك بإجراء تحليل عالي الجودة والتحقيق في جميع هجمات الشبكات ، ولكن في نفس الوقت زاد عدد مسؤولي الشبكات الذين يدعمون هذه الحالة بنحو 60٪. ما إذا كان حل IB الأنيق يستحق مثل هذه التكاليف الإضافية - كل شركة تقرر وتقيّم نفسها بنفسها.
لذلك ، فإن جهاز الاستقبال الهاتفي ، والتواصل مع المسؤولين والمستخدمين ، والفرضيات التي تتطلب التحقق في المدرجات ، وما إلى ذلك ، تظل هي الرابط الضروري في تحليل الحوادث. وهذه المهام لمنظمة العفو الدولية سيئة التفويض.
بشكل عام ، حتى الآن نقول الاستخدام الصارم لمنظمة العفو الدولية في تحليل الحوادث ، "أنا لا أصدق ذلك" ، لكننا نأمل حقًا في أن نتمكن في المستقبل القريب من منح منظمة العفو الدولية على الأقل جردًا للأصول وإدارة الثغرات الأمنية.
6. الرد والاستجابة للحوادث. الغريب ، في هذا الجزء ، يبدو أن استخدام الذكاء الاصطناعي هو نموذج قابل للحياة إلى حد ما. في الواقع ، بعد التحليل النوعي والتصنيف وتصفية الإيجابيات الخاطئة ، كقاعدة عامة ، من الواضح بالفعل ما يجب القيام به. نعم ، وفي عمل العديد من شركات نفط الجنوب ، يمكن تنفيذ قواعد اللعب الأساسية للاستجابة والحظر ، ليس حتى من قبل IBs ، ولكن بواسطة متخصصي تكنولوجيا المعلومات. هذا مجال جيد للتطوير المحتمل للذكاء الاصطناعى أو أبسط الطرق للتشغيل الآلي.
ولكن ، كما هو الحال دائمًا ، هناك فروق دقيقة ...
أ. مرة أخرى ، أؤكد أنه من أجل العمل الناجح لمنظمة العفو الدولية في هذه المرحلة ، من الضروري أن يكون الشخص السابق محللًا ، ويجب أن يتم ذلك على أكمل وجه ممكن. هذه ليست دائما مهمة سهلة.
ب. من جانب تكنولوجيا المعلومات والأعمال ، ستواجه رفضًا حادًا لأتمتة حتى قواعد التشغيل الأساسية للاستجابة (حظر عناوين IP والحسابات ، عزل محطة العمل) ، لأن كل هذا محفوف بالتوقف عن العمل وتعطل العمليات التجارية. وعلى الرغم من أن هذا النموذج لم يتم اختباره بنجاح من خلال الممارسة والوقت - على الأقل في الوضع شبه اليدوي على الضوء الأخضر من المحلل ، فقد يكون من السابق لأوانه الحديث عن نقل الوظائف إلى جهاز.
الآن دعونا نلقي نظرة على الوضع ككل. لم يتم عزل بعض العمليات حتى الآن لصالح الذكاء الاصطناعى ، وبعضها يتطلب تطوير وصيانة سياق البنية التحتية الكامل. يبدو أن وقت تبني هذه التقنيات على نطاق واسع لم يحن بعد - والاستثناء الوحيد هو مهمة تحسين جودة اكتشاف الحوادث من خلال تحديد الحالات الشاذة. ومع ذلك ، هناك سبب للاعتقاد بأن مهام SOC المدرجة هي ، من حيث المبدأ ، قابلة للأتمتة ، مما يعني أنه على المدى الطويل ، يمكن أن تجد AI مكانها هناك.
سكاينيت ليست مستعدة للفوز
في النهاية ، أود أن أبرز بضع لحظات مهمة للغاية ، في رأينا ، لحظات تسمح لنا بالإجابة على سؤال شائع: "هل يمكن لمنظمة العفو الدولية أن تحل محل لي السطر الأول / الأمر الأول المتمثل في صيد التهديدات / SOC؟"
أولاً ، حتى في الصناعات الكبيرة والأنظمة الأوتوماتيكية ، حيث يتم إعطاء معظم الوظائف للآلات ، فإن المشغل موجود دائمًا. يمكن ملاحظة ذلك في أي من قطاعات اقتصادنا. تكون مهام المشغل بهذا المعنى بسيطة بشكل قاطع - من خلال عاملها البشري ، تقضي على "عامل الماكينة" وتثبيت الموقف بأيديهم في حالة حدوث عطل / انتهاك / انتهاك لصحة العملية. إذا قمنا بأتمتة مهام SOC أو تشغيلها عبر الإنترنت ، فستكون هناك حاجة تلقائيًا لاجتذاب متخصص متخصص قوي قادر على تقييم التأثير الناتج عن خطأ الجهاز وفعالية الإجراءات المتخذة بسرعة. لذلك ، من غير المرجح أن يؤدي التشغيل الآلي وتطوير الذكاء الاصطناعي ، حتى في المستقبل ، إلى رفض تغيير واجب على مدار الساعة.
ثانياً ، كما رأينا ، تتطلب أي منظمة العفو الدولية بطريقة أو بأخرى تجديد المعرفة والتغذية الراجعة. علاوة على ذلك ، في حالة SOC ، لا يتعلق الأمر فقط بتغيير متجهات الهجوم أو سياق المعلومات الخارجية (والتي يمكن أن تكون من الناحية النظرية جزءًا من حزم التدريب / الخبراء ، إلخ) ، ولكن أولاً وقبل كل شيء ، سياق المعلومات الخاصة بحوادثك ومؤسستك وعملياتك التجارية. لذلك ، لن تكون منظمة العفو الدولية قادرة على استبدال محللي الخبراء المتفرغين في منظمة العفو الدولية أيضًا. على الأقل في المستقبل القريب.
وبالتالي ، في رأينا ، يمكن اعتبار أي نهج لدمج الذكاء الاصطناعى في SOC في المرحلة الحالية فقط عناصر لأتمتة العمل مع السياق وحل بعض المهام الفرعية التحليلية. هذه العملية المعقدة مثل توفير أمن المعلومات ليست جاهزة بعد للنقل الكامل للروبوتات.