در عصر حاضر، هوش مصنوعی (AI) به یکی از ستونهای اساسی در حوزه امنیت سایبری تبدیل شده است. با وجود اینکه هوش مصنوعی و یادگیری ماشین (ML) از مدتها پیش در امنیت اطلاعات مورد استفاده قرار میگرفتهاند، اما همچنان تحقیق و آزمایشهای گستردهای در این زمینه انجام میشود. دلیل اصلی این تحقیق و توسعه بیپایان، پیچیدگیهای جدیدی است که روز به روز در تهدیدات سایبری پدیدار میشوند. سازمانها برای مقابله با این تهدیدات باید بدون افزایش چشمگیر در بودجه یا نیروی انسانی، کارایی خود را بالا ببرند. اینجاست که هوش مصنوعی به کمک آنها میآید و بار تحلیلگران امنیتی را به میزان قابل توجهی کاهش میدهد.
نقش هوش مصنوعی در تشخیص تهدیدات
در حوزه تشخیص تهدیدات سایبری، هوش مصنوعی میتواند نقش مهمی ایفا کند. دو روش کلی و اصلی در این زمینه وجود دارد که از آنها برای تشخیص تهدیدات استفاده میشود:
- تشخیص حملات بر اساس نمونههای آموزشی: در این روش، مدلهای یادگیری ماشین با نمونههای مختلفی از ایمیلهای فیشینگ، فایلهای مخرب و فعالیتهای مشکوک آموزش داده میشوند. این کار باعث میشود مدل بتواند موارد مشابه را به خوبی تشخیص دهد. با این حال، این مدلها نیاز به بروزرسانی و آموزش مداوم دارند، زیرا تهدیدات جدید ممکن است از الگوهای متفاوتی نسبت به تهدیدات پیشین استفاده کنند. علاوه بر این، برخی از حملات که از ابزارهای قانونی فناوری اطلاعات (LotL) استفاده میکنند، ممکن است توسط این مدلها بهخوبی شناسایی نشوند.
- تشخیص ناهنجاری: در این روش، هوش مصنوعی بر اساس فعالیتهای عادی یک سیستم آموزش میبیند و ناهنجاریهایی را که ممکن است نشانه حمله باشند، تشخیص میدهد. برای مثال، اگر یک کارمند در یک زمان نامتعارف به دادههای حساس دسترسی پیدا کند، سیستم به عنوان یک ناهنجاری آن را ثبت خواهد کرد. با این حال، تشخیص ناهنجاریها نیز مشکلات خاص خود را دارد. از جمله اینکه نیاز به جمعآوری و ذخیرهسازی مقادیر زیادی از دادههای تلهمتری دارد و هوش مصنوعی باید به طور مداوم بهروزرسانی شود تا با تغییرات زیرساخت فناوری اطلاعات همگام باشد. همچنین، این روش همچنان با میزان بالایی از نتایج مثبت کاذب (FP) همراه است که میتواند باعث افزایش بار کاری تحلیلگران انسانی شود.
چالشهای استفاده از هوش مصنوعی در امنیت سایبری
هوش مصنوعی در تشخیص حملات سایبری عملکرد خوبی دارد، اما هرگز نمیتواند به تنهایی و بدون دخالت انسان بهطور کامل عمل کند. یکی از چالشهای اصلی این است که وقتی تلاش میکنیم دقت تشخیص تهدیدات را افزایش دهیم و موارد مثبت واقعی (TP) بیشتری داشته باشیم، تعداد موارد مثبت کاذب نیز به طرز چشمگیری افزایش مییابد. این امر منجر به افزایش بار کاری انسانها میشود، چرا که تحلیلگران باید این نتایج مثبت کاذب را بررسی کنند. از سوی دیگر، اگر بخواهیم تعداد موارد مثبت کاذب را کاهش دهیم، این خطر وجود دارد که برخی از تهدیدات واقعی از چشم سیستم دور بمانند.
بنابراین، هوش مصنوعی یک ابزار مفید برای تشخیص تهدیدات است، اما نباید آن را به عنوان راهحلی کامل و مستقل در نظر گرفت.
هوش مصنوعی به عنوان همکار تحلیلگران امنیتی
هوش مصنوعی میتواند در نقش یک همکار به تحلیلگران امنیتی کمک کند. به جای اینکه تمامی مسئولیت تشخیص و مقابله با تهدیدات را بر عهده بگیرد، میتواند با کاهش بار کاری تحلیلگران و انجام وظایف سادهتر، مانند تجزیه و تحلیل هشدارها و اولویتبندی آنها، نقش موثری ایفا کند.
- فیلتر کردن نتایج مثبت کاذب: هوش مصنوعی با بررسی هشدارها و الگوهای تحلیلگران، میتواند نتایج مثبت کاذب را فیلتر کند. این کار به تحلیلگران اجازه میدهد تا تمرکز خود را بر روی موارد مهمتر معطوف کنند. برای مثال، در برخی از سیستمهای مدیریت تهدید، هوش مصنوعی میتواند بار کاری مراکز عملیات امنیتی (SOC) را تا 25 درصد کاهش دهد.
- اولویتبندی هشدارها: یکی دیگر از قابلیتهای هوش مصنوعی، ارزیابی احتمال خطرناک بودن یک رویداد است. هشدارهایی که احتمال بالایی دارند که به فعالیتهای مخرب مرتبط باشند، برای تحلیل دقیقتر به کارشناسان ارسال میشوند.
- تشخیص ناهنجاریهای پیچیده: هوش مصنوعی همچنین میتواند با بررسی دادههای مختلف، به سرعت ناهنجاریها را در زیرساختها شناسایی کند و تحلیلگران را از وقوع تهدیدات بالقوه مطلع سازد.
- تشخیص رفتار مشکوک: برخی از سناریوهای مشکوک به طور خاص برای استفاده از هوش مصنوعی مناسب هستند. برای مثال، شناسایی دسترسی غیرمعمول به فایلها یا استفاده از حسابهای کاربری از شبکههای غیرمعمول، مواردی هستند که هوش مصنوعی میتواند آنها را بهتر از قوانین ثابت تشخیص دهد.
مدلهای زبان بزرگ و نقش آنها در امنیت سایبری
مدلهای زبان بزرگ (LLM) که به یکی از موضوعات داغ در هوش مصنوعی تبدیل شدهاند، در امنیت سایبری نیز مورد استفاده قرار میگیرند. اگرچه این مدلها ممکن است توسط مجرمان سایبری برای ایجاد ایمیلهای فیشینگ یا بدافزار مورد سوءاستفاده قرار گیرند، اما از سوی دیگر میتوانند برای بهبود امنیت سایبری نیز مورد استفاده قرار گیرند.
برخی از کاربردهای مدلهای زبان بزرگ در امنیت سایبری عبارتند از:
- ایجاد توضیحات دقیق درباره تهدیدات سایبری
- تهیه پیشنویس گزارشهای امنیتی
- جستجوی اطلاعات در آرشیو دادهها از طریق چت
- تحلیل اولیه کدهای منبع
- کمک به تحلیل خطوط فرمان پیچیده
اگرچه این فناوریها هنوز در مرحله آزمایش هستند و نتایج یکسانی از آنها به دست نیامده است، اما بدون شک پتانسیل بالایی برای بهبود کارایی تحلیلگران و کاهش زمان مورد نیاز برای انجام وظایف امنیتی دارند.
نتیجهگیری
به طور کلی، هوش مصنوعی در امنیت سایبری ابزاری مهم و کارآمد است، اما نباید آن را جایگزین کامل نیروی انسانی در نظر گرفت. هوش مصنوعی بهویژه در تشخیص تهدیدات معمولی و وظایف تکراری مؤثر است، اما برای مقابله با تهدیدات پیچیده و جدید، نیاز به تحلیلگران انسانی همچنان احساس میشود. از طرفی، کاربرد مدلهای زبان بزرگ و سایر تکنیکهای جدید هوش مصنوعی نشان میدهد که آینده امنیت سایبری با کمک این فناوریها میتواند بسیار هوشمندتر و کارآمدتر باشد.
ترجمه:
پیشگامان تجارت امن ایرانیان