تكنولوجيا

كيف يتداخل الذكاء الاصطناعي والتعلم الآلي وأمن نقطة النهاية – CloudSavvy IT

شترستوك / VS148

مع ظهور تهديدات إلكترونية جديدة كل يوم ، تحتاج أنظمة الأمان ، خاصة تلك التي تستخدمها الشركات ، إلى التعديل. ولكن ماذا لو كان بإمكان برنامج أمان نقطة النهاية أن يلعب دورًا مباشرًا في تحسين نفسه ، بدلاً من طلب تحديثات الشركة المصنعة دائمًا؟

ما هو أمان نقطة النهاية وكيف يعمل؟

أمان نقطة النهاية هو عملية حماية نقاط نهاية الشبكة (مثل أجهزة المستخدم والحسابات عبر الإنترنت). نقطة النهاية هي مدخل الشبكة ، وتوصيلها بالإنترنت المفتوح والأجهزة الأخرى. نظريًا ، من خلال الحماية الكاملة لنقاط النهاية المادية والرقمية ، يجب أن تكون شبكتك بالكامل محصنة ضد التهديدات الخارجية.

من خلال مراقبة البيانات التي تدخل وتخرج من الشبكة من خلال نقاط النهاية الخاصة بها للعثور على التهديدات ، يمكن لبرنامج أمان نقطة النهاية حماية نقاط وصول متعددة في نفس الوقت ، ومنع التهديدات في الوقت الفعلي. تشبه طريقة عملها طريقة عمل برامج مكافحة الفيروسات المتقدمة. ومع ذلك ، فإن مجرمي الإنترنت يصممون خطط هجوم جديدة إما مباشرة أو من خلال البرامج الضارة. على الرغم من أن برامج مكافحة الفيروسات التقليدية تعتمد على تحديد الفيروسات التي تم تحديدها مسبقًا ، إلا أنها لا تستطيع منع هجمات يوم الصفر والهجمات الإلكترونية القادمة.

التحول من منع التهديدات إلى الكشف والاستجابة

قدرت دراسة صادرة عن معهد Ponemon في أوائل عام 2020 أن حوالي 42٪ من جميع الهجمات الإلكترونية في العام المقبل ستكون هجمات يوم الصفر. يؤدي الافتقار إلى الأساليب القابلة للتحديد وراء الهجمات إلى صعوبة اكتشاف البرامج الأمنية لنقاط النهاية التقليدية واعتراضها في وقت مبكر. بالإضافة إلى إيجاد طريقة للتعامل مع ما يقرب من نصف الهجمات المستقبلية ، تدرك الشركات أيضًا تدريجيًا أن الهجمات الإلكترونية لا مفر منها. لقد خلق هذا الفهم حاجة جماعية لتحويل نموذج أمان الشبكة النموذجي من منع التهديدات إلى اكتشاف التهديدات والاستجابة لها ، حتى يتمكنوا من التخفيف من ضرر هجمات الشبكة دون إيقافها تمامًا.

الهدف هو اكتشاف العلامات التي تتوافق عادةً مع هجوم وشيك ، بغض النظر عما إذا كانوا من الداخل أم لا. يقوم برنامج الأمان بمسح البيانات الواردة بحثًا عن برامج ضارة معروفة. هذا هو المكان الذي فشلت فيه برامج مكافحة الفيروسات التقليدية ، لكن الذكاء الاصطناعي والتعلم الآلي تدخلا.

البيانات والتعلم الآلي والذكاء الاصطناعي

باستخدام مراقبة الشبكة ، سيتم تسجيل كل حدث أمني أو ثغرة أمنية ناتجة عن أخطاء في النظام أو سلوك غير لائق للمستخدمين في ملف السجل. بمرور الوقت ، قد تُظهر نقاط بيانات محددة في ملف السجل علامات حمراء واضحة واتجاهات أمان ، مثل السلوك غير الطبيعي قبل الهجوم ، مثل حركة المرور الزائدة والتغييرات غير الضرورية في أذونات وإعدادات الوصول. ومع ذلك ، فإن مثل هذه البيانات الثرية والمعقدة مفيدة فقط بعد التصنيف والتحليل الشامل ، وتصفية ضوضاء الخلفية وإدخالات السجل الروتينية ، ولها أهمية قليلة أو معدومة لأمن الشبكة.

لا يُعد الذكاء الاصطناعي والتعلم الآلي عنصرين أساسيين في وظائف برامج أمان نقطة النهاية ، لكنهما يمكّنان الذكاء الاصطناعي من التطور والتكيف مع التهديدات الأمنية الجديدة دون تدخل بشري. نظرًا لأن الخطأ البشري يلعب دورًا مهمًا في عيوب أمان الشبكة ، فإن التعلم الآلي واستراتيجيات النمو يمكن أن تجعل المنتجات أكثر دقة وخالية من المخاطر. في الأمن السيبراني ، تعتمد البيانات والذكاء الاصطناعي والتعلم الآلي على بعضها البعض.

من خلال توفير المعلومات لخوارزميات التعلم الآلي التي تحدد الكائنات ، يبدأ النظام تدريجيًا في تحديد الاختلافات بين نشاط الشبكة الآمن ونشاط الشبكة المشبوه ، بالإضافة إلى الإشارات وسلوك المستخدم التي تؤدي إلى حدوثها. بالإضافة إلى ذلك ، من خلال تضمين بيانات كافية حول الاستجابات الأمنية السابقة ، يمكن أن تبدأ أنظمة التعلم الآلي والذكاء الاصطناعي في تحديد الحلول الممكنة للتهديدات وتنفيذ الحلول الأكثر ملاءمة في وقت قياسي.

أدى هذا التكامل الدقيق للبيانات والذكاء الاصطناعي والتعلم الآلي مع أمان نقطة النهاية إلى اكتشاف نقطة النهاية ونظام الاستجابة (EDR). لا يتطلب EDR أجزاء متعددة للعمل بشكل مستقل ، ولكنه يجمع بين أنواع مختلفة من التقنيات لتوفير طريقة أمان شاملة لاكتشاف التهديدات والاستجابة تلقائيًا.

EDR في العمل

لا يقتصر استخدام EDR على مراقبة نقاط الوصول للشبكة بحثًا عن الفيروسات الواردة أو تسرب البيانات. يمكن لوظائف المراقبة والكشف أن تتعمق في الشبكة للبحث عن التهديدات المحتملة والثغرات الأمنية.

تهديد من الداخل

تهديدات المطلعين هي تهديدات أمنية خبيثة للمؤسسة من الداخل. يمكن أن يكون الجاني أي شخص من الموظفين الحاليين والسابقين إلى شركاء الأعمال والمقاولين المستقلين. نظرًا لأن هؤلاء الأشخاص يتمتعون عادةً بحقوق وصول داخلية ومعلومات حول المنظمة ، فإن برامج الأمان المستخدمة فقط لحماية نقطة الوصول ليست مفيدة جدًا. ومع ذلك ، باستخدام تحليل السلوك وبيانات السجل ، يمكن لـ EDR اكتشاف السلوك الضار من داخل الشبكة. يمكن أن تتخذ الإجراءات المناسبة للرد وإرسال التنبيهات إلى أقسام تكنولوجيا المعلومات والأمن.

البرمجيات الخبيثة المليئة بالملف

على الرغم من أن برامج الحماية التقليدية لمكافحة الفيروسات ونقاط النهاية يمكنها منع الفيروسات المعروفة ، إلا أنها لا تكفي عندما لا يكون التهديد هو وجود برامج ضارة في الملف ليتم فحصها. البرمجيات الخبيثة الخالية من الملفات هي برامج ضارة لا تستخدم أو تحتوي على ملفات قابلة للتنفيذ ، ولكن بعض الأكواد تكون مخفية مباشرة في ذاكرة الجهاز. لا تحتوي البرامج الضارة التي لا تحتوي على ملفات على جميع الوظائف اللازمة لشن هجوم مثل معظم الفيروسات ، ولكنها بدلاً من ذلك تستخدم مضمار السباق ومكونات النظام للدفاع عنها ، وتعمل من خلال البرامج النصية وبرامج الأمان المشروعة لإخفاء وجودها.

يمكن أن يعتمد EDR على القدرة على مراقبة هذا النمط وتحديده باستمرار ، ومنع هجمات البرامج الضارة بدون ملفات من خلال اكتشاف التغييرات الصغيرة في سجلات البيانات والسلوك الذي تتعرض له نقاط النهاية أو الأجهزة.

خطأ بشري

الغالبية العظمى من تسرب البيانات والهجمات السيبرانية الناجحة ناتجة عن خطأ بشري ، حيث يفشل الموظفون أو المقاولون في ممارسة أمان الشبكة الجيد عند استخدام معدات عملهم ، مما يؤدي إلى ثغرات أمنية يسهل على المتسللين استغلالها ومع ذلك ، بمساعدة وظائف مراقبة الشبكة ، والتعرف على الأنماط ، وتحليل السلوك التي تعتمد على الذكاء الاصطناعي ، يمكن أن تساعد في الكشف عن الخروقات الأمنية في الأنظمة التي يتسبب فيها الموظفون عن غير قصد على الفور تقريبًا (بدلاً من أسابيع). ناهيك عن أن EDR يمكن أن يقلل الوقت المستغرق لاكتشاف التهديدات المستمرة المتقدمة (ADT) ، والتي تستهدف الموظفين الذين ظلوا مطمئنين لفترة طويلة.

نقاط النهاية غير الآمنة بطبيعتها

تعد أجهزة إنترنت الأشياء (IoT) أكثر أهمية بالنسبة لمعظم المؤسسات والمكاتب أكثر من أي وقت مضى ، ولكنها عادةً ما تكون الحلقة الأضعف في الأمان. على الرغم من أنه من غير الملائم إبقاء أجهزة إنترنت الأشياء في وضع عدم الاتصال في بيئة عمل مزدحمة وسريعة الخطى ، فإن توصيلها بالإنترنت يشكل خطرًا أمنيًا. بعد كل شيء ، وجد تقرير NETSCOUT’s 2018 Danger Intelligence Report أن أجهزة إنترنت الأشياء تعرضت للهجوم بعد خمس دقائق فقط من الاتصال بالإنترنت.

بالنسبة لنقاط النهاية غير الآمنة جوهريًا ، من المهم الاعتماد على الإمكانات التي يجب أن يوفرها اكتشاف التهديدات في الوقت الفعلي ومراقبتها EDR. بالنسبة لمعظم أجهزة إنترنت الأشياء ، فهي ليست مصممة للأمان ولكن للراحة وسهولة الاستخدام ، على وجه الخصوص.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى