خانه / مقالات / شبکه و امنیت / امنیت شبکه های کامپیوتری و هوش مصنوعی

امنیت شبکه های کامپیوتری و هوش مصنوعی

امنیت شبکه های کامپیوتری و هوش مصنوعی

یادگیری ماشین و تجزیه و تحلیل رفتاری می توانند در پیدا کردن سریع تر حملات به شما کمک کنند یا حتی قبل از رخداد، آنها را متوقف سازند.

فهمیدن اینکه تحت حمله هستید یا خیر و یا اینکه حفاظ های امنیتی شما مورد نفوذ قرار گرفته یا نه همیشه ساده نیست. اگر قادر به کشف یک نفوذ باشید، پیدا کردن آن حداقل ۱۰ روز طول می کشد ولی مطالعات نشان داده اند که یافتن نفوذ هایی که توسط افرادی خارج از کسب و کار یافت می شوند، اغلب بیش از ۱۰۰ روز طول می کشد.

در مواردی مانند تجارت الکترونیک، وب سایت های شرکت ها، ایمیل ها، کاربران موبایل و بخش های فرامرزی شرکت ها، شرکت شما هفت روز هفته و ۲۴ ساعت شبانه روز کار میکند با این وجود احتمالا تیم امنیت آی تی شما تنها در ساعات کاری کار می کند. به این ترتیب ۶۰ درصد مهاجمان قادر خواهند بود سازمانی را در چند دقیقه آلوده کنند. ولی تنها یک سوم کسب و کارها قادر هستند یک نفوذ را ظرف چند روز شناسایی کنند.
در گزارش سالانه امنیت سیسکو در سال ۲۰۱۶ کمتر از نیمی از کسب و کارهایی با آنها مصاحبه شده درمورد میدان آلودگی شبکه و پاکسازی پس از آن مطمئن بودند. هکرها به طور مداوم از اتوماسیون استفاده می کنند – از حملات توزیع شده انکار سرویس اجرا شده روی باتنت ها تا بسته های نفوذی که به آنها در تغییر نرم افزارهای مخرب کمک می کند – بدین ترتیب کشف آنها سخت تر است. آیا یادگیری ماشین به شما کمک می کند حملات را سریع تر پیدا کرده و سریع تر از عهده آنها برآیید؟
پروژه هایی وجود دارند که از یادگیری ماشین استفاده می کنند. از یادگیری عمیق برای نگاشت رفتار بدافزارها استفاده می شود تا بتوان حملات را در زمان واقع به قدری قابل اعتماد پیدا کرد تا جایگزین دیواره آتش شود. شاید اپلیکیشن هایی واقع گرایانه تر عمل کنند که یادگیری ماشین را به سیستم آنالیز لاگ خود برای استفاده از تجزیه و تحلیل رفتاری در تشخیص حملات و نفوذ ها اضافه کرده اند مانند Splunk.
بسیاری از سازمان ها از فقدان میدان دید رنج می برند؛ اگر نتوانید آن را ببینید نمی توانید در برابر آن از خود حمایت کنید. می توان داده های پرت را شناسایی کرد. Splunk به این صورت عمل می کند که کاربران مشابهی که رفتار مشابهی دارند دسته بندی می شوند سپس بررسی می شود که بین اینها داده پرتی وجود دارد که همیشه یکسان رفتار می کرده ولی اکنون رفتار متفاوتی دارد؟ این ناهنجاری است که به دنبالش می گردید.
با این برنامه می توان کاربران، کامپیوترها، آی پی آدرسها، فایلهای داده و برنامه های کاربردی را برای بررسی رفتار غیر عادی تجزیه و تحلیل کرد و مجبور به استخدام متخصصان یادگیری ماشین نیز نیستید. بسیاری از سازمان ها قدرت توسعه این امر را تنها با تکیه بر خود ندارند.
تنها پیدا کردن داده های پرت می تواند حجم زیادی داده برای بررسی روی دست شما باقی بگذارد. یک سازمان بزرگ ممکن است هزاران ناهنجاری در روز ببینید بنابراین باید از تجزیه و تحلیل های بیشتر برای مدیریت این ناهنجاری ها استفاده شود. انتظار می رود این ابزار روزانه ۵ تا ۱۰ تهدید را با جزئیات کافی که نشان دهنده اتفاقی که در شرف وقوع است نمایان کند .
اطلاعات حمله به سازمان امنیت داده می شود از نقطه شروع آلودگی – زمانی که مهاجم وارد شده، بردار اولیه حمله چه بوده، چه زمانی در این محیط پخش شده اند، به چه فایل ها، سرورها یا حساب های کاربری متصل شده اند؟ – و سپس فاز exfiltration است یعنی زمانی که داده به بیرون فرستاده شده است .. از بین همه این ناهنجاری ها و داده های شخصی، تصویر کاملی ایجاد می شود و به نحوی نمایش داده می شود که هر تحلیل گر امنیتی بتواند آن را درک کند.

به علاوه می توان از ویژگی های یادگیری ماشین Splunk برای عملیات و نظارت های هوشمندانه تر استفاده کرد مانند اینکه وبسایت خود را طوری تنظیم کنید که قبل از اینکه افزایش بارکاری مشکل ایجاد کند، به شما هشدار دهد به پهنای باند بیشتری نیاز دارد زیرا درخواست افزایش یافته است. در زمینه امنیتی Splunk بر ارائه راهکارهای کامل تمرکز دارد : کشف تقبل داخلی یا کشف حملات خارجی.

ابزار Microsoft’s Advanced Threat Analytics یک رویکرد یادگیری ماشین ساده را دربردارد – یادگیری درباره موجودیت هایی مانند حساب کاربری و دستگاه ها از طریق Active Directory، ترافیک شبکه و سیستم های اطلاعات امنیتی و مدیریت رویداد (SIEM) سپس استفاده از رفتار نرمال آنها برای اجرای آنالیز رفتاری – به علاوه شناسایی فعالیت های مشکوک که در یک Attack Timeline ارائه می دهد توصیه ها را برای غلبه بر مشکل کامل می کند.
مایکروسافت درباره این ابزار می گوید : همه داده های Active Directory و همه ترافیک ورودی و خروجی از کنترل گرهای دامین شما آنالیز می شود. خیلی موارد را می توان جعل کرد ولی ترافیک شبکه را نمی توان. گرافی ساخته می شود که نشان می دهد شما با کدام دستگاه ها تعامل داشته اید که منبع دسترسی شما هستند. رفتار نرمال یاد گرفته می شود و زمانی که یادگرفته شده به شما هشدار داده می شود. سیستم دام هایی برای گمراه کردن مهاجمان نیز ایجاد می کند.

ATA بر سه نوع فعالیت مشکوک تمرکز دارد. اولین مورد اشتباهات و پیکربندی های بدی است که در شبکه شما خطرات امنیتی ایجاد می کنند. مشکلات امنیتی وجود دارد که زندگی مهاجم را بسیار ساده تر می کند مانند استفاده از رمزهای هش نشده هنگام انتقال اطلاعات. ATA میتواند حملات متداول را در زمان واقع شناسایی کند از جمله حملات Pass-the-Ticket و Pass-the-Hash که به طور متداول برای انتقال از یک سیستم به سیستمی دیگر در شبکه شما مورد استفاده قرار می گیرند.
فعالیت سوم زمانی است که یادگیری ماشین وارد عرصه می شود. رفتار غیر عادی شناسایی می شود. همیشه یک بدافزار جدید، حملات جدید و .. وجود دارد ولی همه اینها بصورت رفتار غیر عادی خود را نشان می دهند زیرا حساب کاربری در شبکه رفتار متفاوتی از رفتار همیشگی نشان خواهد داد.

نیازی به اجرای یادگیری ماشین در شبکه خود برای به دست اوردن حفاظت نخواهید داشت. در حقیقت، سرویس های کلاد مانند Azure AD این توانایی را دارند که به شما کمک کنند از اطلاعات هویتی و ورود به سیستم کاربر به طرقی که در سازمان خود نمی توانید، حفظات کنید. محافظت از تک تک کاربران برای دور نگه داشتن مهاجمان از شبکه، عاملی کلیدی است؛ تقریبا همه نفوذهای داده به نظر می رسد از داده های هویتی معتبری شروع شده اند که به سرقت رفته اند یا فیشینگ شده اند. خطر داخلی دیگر لزوما از داخل سازمان نمی آید. مایکروسافت می گوید از سیستم های یادگیری ماشین بزرگ و تکنیک های سطح جهانی برای حفاظت از همه اطلاعات هویتی در مایکروسافت استفاده می شود، که شامل Azure Active Directory، Microsoft account system و Skype می باشد. از آنجایی که مایکروسافت یکی از بزرگترین سیستم های ایمیل دنیا را دارد به شدت هدف حمله قرار دارد. هر حمله ای که رخ می دهد از مایکروسافت نیز عبور می کند.
از انجایی که افراد در به خاطر سپردن رمزهای عبور خود مشکل دارند، این حملات تنها رمزهای عبور مربوط به سیستم های مایکروسافت را فاش نمی کند. اگر یکی از کارمندان شما از اطلاعات حساب های کاری خود برای ایجاد حسابی در یک سایت خرید استفاده کند و آن حساب فاش شود، مهاجمان از اطلاعات برای بررسی اینکه روی سازمان هم کار می کند یا خیر استفاده خواهند کرد. در این مرحله قبل از اینکه این اطلاعات هویتی علیه شرکت شما استفاده شود، این ابزار می تواند به شما بگوید که اطلاعات از دست رفته و باید از آن فرد محافظت کنید.

مایکروسافت روش های مورد استفاده توسط مهاجمان را نیز بررسی می کند. با اختلاف ناچیزی اعلام می شود که حمله از کجا می آید و شبیه چه حمله ای می باشد. وفق پذیری مهاجمان به این معنی است که مواردی که دیروز اهمیت داشتند احتمالا امروز دیگر اهمیتی ندارند و هیچ کس در فضای سازمان حجمی که ما برای یادگیری داریم ، در اختیار ندارد.
این حجم ده ها ترابایت در روز و ۱۳ بیلیون تراکنش لاگین است که غذای یادگیری ماشین مایکروسافت هستند که نسبت به آخرین حملات به روز بماند. این سیل عظیم از داده تنها بخشی از آنچه برای ساخت سیستمی مانند این مورد نیاز است، می باشد.
یک سیستم یادگیری ماشین به خوبی آموزش دیده و پیچیده سال ها زمان می برد و به میزانی تخصص در نظارت انسانی برای بررسی مواردی که سیستم قادر به شناسایی آنها نیست نیاز هست.

این مسئله از این حیث حاءز اهمیت می باشد که درباره چیزی بیش از کشف الگوها و اخطار بعدی به شما است. هدف پیشگیری است نه درمان. بسیاری از سیستم های یادگیری ماشین آنچه را رخ می دهد شناسایی می کنند. هدف اصلی ما متوقف کردن حملات از ورود است به همین دلیل است که سیستم های حفاظتی خود را آموزش می دهیم. روزانه نکات جدیدی درباره الگوهای جدید حملات یاد میگیرد و از سیستم برای تولید کد در سرورها استفاده می شود که به هر آنچه وارد می شود امتیاز می دهند. این امتیاز از حدود صدها عامل مختلف استفاده می کند از رشته های مرورگرهای کاربر تا زمان مورد نظر در روز.
امتیاز پایین به این معنی است که لاگینی بلاک شده یا برای آن حساب کاربری احراز هویت چند عاملی فعال شده است. ممکن است false positive مشاهده کنید، یعنی کاربران مجاز دچار مشکل شده اند.
تنها مقیاس داده نیست که تفاوت ایجاد می کند. ما به عنوان انسان تمایل بسیاری داریم که باور کنیم ظن ما صحیح است، ما به تئوری های خود بسیار وابسته هستیم ولی یادگیری ماشین اهمیتی نمی دهد.
حتی اگر موردی امروز یک سیگنال قدرتمند است اگر روزی کمرنگ شود، سیستم کاملا آن را کنار می گذارد و یک الگوی جدید انتخاب می کند. سیستم به واقعیت آنچه واقعا منجر به تفاوت می شود تکیه دارد نه شک ها و فرضیات ما.
گزارش های Azure AD Premium ( یا Microsoft’s Enterprise Mobility Suite) به شما این امکان را می دهد که بدانید چه زمان سیستم یادگیری ماشین فاش شدن اطلاعات هویتی شما را شناسایی کرده است. اطلاعات هویتی فاش شده، password hammering و .. همگی این الگوها قابل کشف هستند زیرا مهاجمان بصورت حجمی حمله می کنند. یادگیری ماشین می تواند با این مهاجمان وفق پیدا کند بدین ترتیب حفاظت واقعی به سازمان آورده می شود نه فقط شناسایی.
زمانی انتظار می رود که سیستم های یادگیری ماشین Azure AD و ATA شروع به کار با یکدیگر نمایند.
یک راه این است که همه داده های جمع آوری شده در کلاد قرار داده شوند و با داده هایی که بصورت در محل جمع می شوند در کنار هم به کار برده شوند تا بصورت یک منبع واحد درآیند.
چه از طریق کلاد وارد شوید چه “در محل” بالاخره زمان جدی گرفتن سیستم های امنیتی یادگیری ماشین فرا رسیده است، زیرا جلوتر بودن از هکرها روز به روز سخت تر می شود. گزارشات حاکی از آن است که مجرمین شروع به سرمایه گذاری بر روی سیستم های یادگیری ماشین کرده اند.

دیدگاهتان را ثبت کنید

آدرس ایمیل شما منتشر نخواهد شدعلامتدارها لازمند *

*

x

شاید بپسندید

امنیت کلاد - ماهنامه رایانه

پیاده سازی WAN امن در عصر کلاد…

در چند سال گذشته بسیاری از سازمان ها اتکای خود به اینترنت ...