هل تعاني من عملية اختراق لجهازك؟
ar
المنصة
لماذا سنتينل وان؟
الخدمات
الشركاء
الموارد
حول
ar
احصل على إصدار تجريبي

الذكاء الاصطناعي السلوكي: نهج غير محدود لحماية المؤسسة

by SentinelOne

بقلم ليزا فاس

يستيقظ كبير مديري أمن المعلومات كل صباح على قراءة العناوين الرئيسية التي تتضمن اسم شركته.

لكن ليس النوع الجيد من العناوين الرئيسية. بل هو ذلك النوع من العناوين التي تدور حول أن بيانات الشركة يتم تسريبها على موقع Pastebin وهو بمثابة كابوس تعرضت له الكثير من الكيانات. وهذا ما تعرضت سنغافورة له في عام 2018، حيث تعرّض 1.5 مليون سجل صحي خاص بالمواطنين، بما في ذلك سجلات رئيس الوزراء لي هسين لونج للسرقة من قبل المتسللين.

ولربما لم تتعرض أنظمة الشركة في الواقع لهجوم من قبل المتسللين أو إحدى مجموعات التهديد على مستوى الدول. ربما تدور العناوين الرئيسية حول موظف طائش لا يمكن الوثوق به؛ أي ما هو معروف في العلاقات العامة على أنه “موظف سيء النية تصرف بشكل غير قانوني وخان ثقة صاحب العمل”. على سبيل المثال، موظف متعاقد على إدارة تكنولوجيا المعلومات  وقد استولى على المجال الخاص بعميله، وطالب بفدية قدرها 10000 دولار وعندما رفضت الشركة الدفع، قام بإعادة توجيه الموقع إلى موقع للمراهقين[sexual orientation][bodypart].com.

هناك عدد لا يحصى من عمليات تبادل المواقع للمحتويات والتي تؤدي كلها إلى الشعور باليأس من توفر الأمان السيبراني، عندما يظهر اسم الشركة في عناوين (سيئة) التي غالباً ما تؤدي إلى مكالمة من مكتب التحقيقات الفيدرالي أو تتبعها أسئلة كـ من وماذا وكيف التي يعوّل عليها الصحفيين وكذلك وكلاء النيابة، ولكن الأكثر أهمية بالنسبة لـ (مركز عمليات الأمان) بالشركة هو كيفية وقوع الهجمات، ومن المسؤول عن ذلك وكيفية معالجة المشكلة إذا لم يتم حلها بعد. هذه هي الأحداث التي في كثير من الأحيان لا يتم التعرف عليها لأنه من الصعب استخلاصها من بين فيض البيانات التي تتضمن نشاطاً مشبوهاً ومبتذلاً على حد سواء: نوع البيانات التي تعد شاذة للنظام ولكنها غير ضارة والتي تقود فرق العمل إلى إجراء محاولات لا طائل منها.

هذه الأحداث المعقدة، غالباً ما تبدأ من النهاية الطرفية في نظام الشركة. وقد تكون النهاية الطرفية هي المكان حيث قام أحد الموظفين بتوصيل جهاز USB وجده في موقف للسيارات، كنوع من الفضول لمعرفة ما الموجود عليه. أو ربما قامت إحدى الموظفات بفتح مرفق PDF ضار استلمته في رسالة بريد إلكتروني.

من المنطقي أن ننتبه إلى نقاط النهاية، حيث إنها موضع الكثير من الهجمات، لنصل إلى رؤية. وفقاً لاستطلاع أجراه معهد SANS في عام 2018، أفاد بأن 42٪ من المشاركين بوجود حالة استغلال واحدة على الأقل من خلال النهاية الطرفية أدت إلى الكشف عن بيانات أو نقل البيانات بشكل غير مصرح به أو تعطيل للأعمال. بالإضافة إلى أن التشفير لا يعيق طريق الوصول إلى نقاط النهاية. تعد النهايات الطرفية هي الأماكن التي يتوفر فيها نشاط الشبكة والعمليات، والتي يمكنك فيها إجراء مراقبة خارجية للأجهزة. على سبيل المثال من الذي قام بتوصيل جهاز USB؟ … ومتى، وأين؟

عدد كبير جداً من نقاط البيانات، بدون إجابات كافية

الأمر ليس كما لو أننا لا نملك بالفعل إمكانية مراقبة النهاية الطرفية التي ستعطينا الإجابات. لقد حصلنا على رؤية أعمق بكثير للهجمات مما كان لدينا في السنوات السابقة من خلال تفعيل منصات حماية النهاية الطرفية، والتي هي بمثابة منتجات تعتمد على أثر الفيروسات ولكنها كانت غافلة تماماُ عن البرامج الضارة المستندة إلى الذاكرة أو الحركة الجانبية داخل الشبكة أو البرامج الضارة الخالية من الملفات أو الهجمات الأولية المباغتة.

ولكن تكمن المشكلة هنا أنه قد يوفر نظام حماية النهاية الطرفية الأساسي الحماية لنقاط النهاية، ولكنه لا يوفر للمؤسسات رؤية للتهديدات. وكان الجيل الأول من أدوات الكشف عن تهديدات النهاية الطرفية والرد عليها نتاجاً ثانوياً للحاجة إلى الرؤية التي لم تقدمها أنظمة حماية النهاية الطرفية الأساسية ببساطة. هذا الجيل من نظام الكشف عن تهديدات النهاية الطرفية والرد عليها أو ما يطلق عليه نظام الكشف عن تهديدات النهاية الطرفية والرد عليها السلبي، وفر لنا من ناحية أخرى البيانات وليس السياق. لدينا أجزاء من الصورة الكاملة، ولكن ليس لدينا صورة كاملة لتجميعها معاً.

إذا كنت تنظر إلى مثال لعملية مراقبة نهاية طرفية سلبية مضمنة، فقد ترى أن سجلات أحداث “ويندوز” (Windows) التقطت اختراق جهاز USB والذي أدى إلى  إطلاق إطار عمل PowerShell من لوحة مفاتيح افتراضية، وأن الهجوم قد يكون قد استخدم تقنيات متقدمة مثل مسح السجلات، وقام بتثبيت تقنية الباب الخلفي لتحقيق إمكانات وصول مستمرة، وأنه تطرق إلى سرقة بيانات الاعتماد واستخدامها لتسجيل الدخول بنجاح، لكن للأسف في مرحلة ما فشل في تسجيل الدخول، وقام بتصعيد الامتيازات، ومسح السجلات، وأضاف بنجاح مستخدم محلي جديد ثم تم الاعتراف بهذا المستخدم كمسؤول للمجموعة وتستمر الأحداث بهذا الشكل. حظاً سعيداً في محاولة اكتشاف ذلك.

ربما بدا ذلك رائعاً في الإصدار التجريبي، ولكن ماذا عن الاستخدام اليومي؟ من يستطيع أن يجعل كل شيء منطقياً؟ ربما مجموعة صغيرة من المحللين الأمنيين المهرة، ولسوء الحظ هناك عدد قليل جداً منهم. بالإضافة إلى ذلك، لهم منا كل التعاطف، فهم بحاجة إلى الراحة والنوم أيضاً. وهذا يعني أنه عندما يحدث هجوم في منتصف الليل، فسوف يستمتع هؤلاء المهاجمين بزمن مكوث أطول بكثير قبل وصول المحللين إلى العمل ومحاولة حل جميع الأسئلة عما حدث وأين حدث وكيف حدث ومن الذي أحدثه.

ما يدور في ذهن كبير مديري أمن المعلومات ليس الحرص على تجميع كل جزء من البيانات غير المتصلة الناتجة عن هجوم ما. ولكنه أشبه بلعبة Clue: هل كان العقيد “ماسترد” في قاعة الاستقبال، أم متعاقد بحوزته جهاز USB، أم مجموعة تهديدات ترعاها دولة ما؟ هل تم التخفيف من حدة الخطر حتى الآن، و إذا كان الأمر كذلك، فإلى متى استمر نشاطه؟ أي من المحللين القليلين للغاية في مركز عمليات الأمان يقوم بتحليل ذلك الكم الهائل من البيانات التي تفيض من الكشف السلبي عن تهديدات النهاية الطرفية والرد عليها؟

ما هو الذكاء الاصطناعي السلوكي وكيف يمكن أن يساعدك؟

ماذا يحدث بعد حدوث هجوم؟ يمكن أن يسير الأمر في اتجاهين؛ وأنت على الأرجح معتاد على الاتجاه الأول وهو اتجاه صعب إلى حد كبير؛ حيث يتعين على المحللين الأمنيين التدقيق في جميع التنبيهات والحالات غير المعتادة الناتجة عن الكشف السلبي عن تهديدات النهاية الطرفية والرد عليها. هذه التحقيقات تتطلب زمناً ومهارة؛ فهي سلعة نادرة، نظراً إلى مدى صعوبة العثور على الموظفين الذين لديهم الخبرة لتشغيل منصات الأمان والدراية بكيفية تمييز الغث من الثمين، أي عمليات الاختراق الحقيقية من الأخطاء العشوائية، وتدريبهم والاحتفاظ بهم.

ويمكن أن يتخذ الأمر اتجاه آخر، وهو ملائم بما فيه الكفاية حيث ينطوي على المحتويات من خلال وضع سياق لجميع نقاط البيانات المتباينة في وصف مختصر. تُطلق عليه شركة سنتينل وان اسم ActiveEDR، وهو نموذج ذكاء اصطناعي سلوكي لا يحرر المؤسسة فقط من الاعتماد على مهارات المحللين التي يصعب العثور عليها، ولكن يقوم بذلك على مدار الساعة ويسجل ويضع سياقاً حول كل ما يحدث على كل جهاز يتصل بالشبكة.

يُنشئ محرك الذكاء الاصطناعي السلوكي التابع لشركة سنتينل وان ما يُطلق عليه “سجلات الأحداث”: وهو مجموعة من الآثار التتابعية التي تمكن المؤسسة من تتبع بداية الحوادث لمعرفة من المسؤول عن مؤشر الخرق. إنه حل من حلول الكشف عن تهديدات النهاية الطرفية والرد عليها، لكنه ليس الحل السلبي للكشف عن تهديدات النهاية الطرفية والرد عليها الذي قد تعرفه بالفعل. تتبنى المدرسة القديمة لحلول الكشف عن تهديدات النهاية الطرفية والرد عليها البحث عن نشاط معزول ومن ثم محاولة ربطه بآخر ثم آخر وآخر في محاولة طويلة الأمد ومتعددة المهارات باعتبارها محاولة ما بعد الحقيقة لفهم الصورة الكاملة.

تقنية ActiveEDR من سنتينل وان تجعل الجهاز يقوم بالعمل بدلاً من المحلل، من خلال تتبع كل شيء على الجهاز وسياقه وتحديد الأفعال الضارة في الزمن الحقيقي، وأتمتة الردود المطلوبة. عندما يرغب المحلل في المشاركة، تمكنه تقنية (ActiveEDR) من اصطياد التهديدات بسهولة من خلال السماح بعمليات بحث كاملة من برنامج تحكم واحد بعمليات الإدخال/الإخراج واحد.

على عكس الحلول الأخرى للكشف عن تهديدات النهاية الطرفية والاستجابة لها، فإن حل (ActiveEDR) لا يعتمد على الاتصال السحابي لإجراء الكشف، مما يقلل بشكل فعال من زمن مكوث التهديد إلى زمن التشغيل. لا يحتاج عميل الذكاء الاصطناعي على كل جهاز إلى الاتصال السحابي لاتخاذ قرار. حيث يستكشف باستمرار ما يحدث في النهاية الطرفية، وإذا اكتشف سلوكاً ضاراً، فإنه لا يمكنه فقط تخفيف خطر الملفات والعمليات الضارة؛ ولكن يمكنه أيضاً إيقاف سجل الأحداث بأكمله بل والقيام بعكسه تلقائياً.

لماذا يعد (ActiveEDR) هو الأفضل في إيقاف الهجمات ذات الملفات والهجمات بدون ملفات؟

لقد اكتشف المهاجمون مؤخراً طريقة لتقليل اعتمادهم السابق على الملفات بحيث لا يتركوا أي آثر، وذلك باستخدام برامج ضارة في الذاكرة،  بلا ملفات للتهرب من جميع الحلول الأمنية الأكثر تطوراً. ولكن لأن (ActiveEDR) يتتبع كل شيء، فإنه يمنحك طريقة للكشف عن المهاجمين الذين قد يكون لديهم بالفعل بيانات اعتماد في بيئتك والذين قد يفعلون أشياء مثل اتباع أسلوب التخفي عن الضحية LotL: وهو مصطلح يصف الهجمات بدون برامج ضارة، التي تستخدم الأدوات المحلية الخاصة بالنظام والتي تعد مشروعة تماماً للقيام بعملهم غير المشروع، مما يؤدي إلى دمجهم في الشبكة والاختباء بين العمليات المشروعة للقيام بعملية اختراق خفية.

الذكاء الاصطناعي السلوكي: سيناريو من الواقع

إليك سيناريو حقيقي لكيفية عمله؛ يتصل بك مكتب التحقيقات الفيدرالي لإعلامك أن بيانات اعتمادك موجودة على موقع (Pastebin). تريد أن تعرف كيف وصلوا إلى هناك، لذلك يمكنك البحث في وحدة الرؤية العميقة لاصطياد التهديدات. تعد الوظيفة الإضافية (Deep Visibility) إحدى مخرجات تقنية  Storylines التابعة لسنتينل وان وهي تقدم خاصية الاصطياد السريع للتهديدات من خلال تمكين المستخدمين من البحث عن المراجع، وفي هذا المثال، المرجع هو موقع (Pastebin).

باستخدام (Storyline)، يقوم كل عميل ذكاء اصطناعي لنهاية طرفية مستقلة ببناء نموذج للبنية الأساسية للنهاية الطرفية الخاصة به وسلوك التشغيل في الزمن الحقيقي ويقوم بتعيين معرف (Storyline) له: معرف معطى لمجموعة من الأحداث ذات الصلة. من خلال البحث على موقع (Pastebin)، ستجد معرف (Storyline) الذي يمكن أن يقودك بسرعة إلى جميع العمليات والملفات وسلاسل الرسائل والأحداث والبيانات الأخرى ذات الصلة التي تتطابق مع هذا الاستعلام الواحد. تعمل الوظيفة الإضافية (Deep Visibility) بإرجاع بيانات كاملة سياقية تمكنك من أن تفهم سريعاً السبب الجذري وراء التهديد، بما في ذلك كل سياقه وعلاقاته وأنشطته.

يمكن لكل عميل إجراء عملية تنظيف من هجوم، إما تلقائياً أو يدوياً أو يمكن العودة إلى الحالة السابقة للنظام أو يمكن فصل اتصاله بالشبكة أو يمكن تنفيذ أوامر shell عن بُعد في النظام. يمكن أن يتم ذلك تلقائياً، كما هو الحال بنقرة واحدة بسيطة. يتم تنفيذه في ثوان ولا يعتمد على السحابة ولا يتطلب تحميل البيانات بحيث يمكن للبشر مراجعته بدقه. ليست هناك حاجة لتحليلات السحابة، لأن كل ذلك يتم على العميل.

تحل الأتمتة قدر الإمكان مشاكل متعددة؛ أولاً: من خلال التعرف على السلوك الضار، فإنها تتعرف بسهولة على الهجمات المستندة إلى الملفات دون الحاجة إلى استخدام الأثر. كما يمكنها منع الهجمات بلا ملفات والتنبؤ بها.

تعمل حماية النهاية الطرفية لسنتينل وان في مرحلة ما قبل التنفيذ لوقف هجوم قبل تشغيله، سواء كان ذلك في شكل ملف (PDF) مزور أو مستند (Word) أو ما إلى ذلك. الخطوة الأولى هي تحليله، لمعرفة ما إذا كان به شيء غريب. إذا كان كذلك، سيتم عزله. بعد ذلك، إذا اجتاز الرمز الاختبار الأول وبدأ في التشغيل، فسوف تبحث خاصية (ActiveEDR)، وهي آلية لاصطياد التهديدات الآلية المستقلة التي تتضمن الكشف والاستجابة بالعميل، عن سلوكيات غير معتادة وغريبة. على سبيل المثال، يبحث عن أشياء مثل شخص ما يفتح ملف (Word)، واندفع خارج إطار عمل (PowerShell) ووصل إلى الإنترنت لجلب شيء ما. في معظم الحالات، هذا ليس سلوكاً جيداً أو طبيعياً. ستستعرض تقنية (ActiveEDR) السلوك أثناء تنفيذه، وستتبع كل ما يحدث في نظام التشغيل كمجموعة من الأحداث، من البداية إلى النهاية، سواء كان ذلك لمدة ثانية واحدة أو شهر أو أكثر. تقيّم هذه التقنية باستمرار نوع السلوك لمعرفة ما إذا كان ينطوي عليه الخطر بطريقة ما.

تدخل الإنسان مع مساعدة الذكاء الاصطناعي السلوكي

هذا جيد، لكنه لا يكفي لأنه لا يوجد أحد يمكنه الإمساك بزمام كل الأمور. وهنا تكمن أهمية إمكانات اصطياد التهديدات الخاصة بتقنية (ActiveEDR) الميزة التي تجعل سنتينل وان نهجاً متفوقاً لصد الهجمات التي تتضمن ملفات والتي بدون ملفات.

لنفترض أنك اكتشفت أن جهازاً واحداً قد اتصل بموقع (Pastebin) عدة مرات. سيؤدي النقر على معرف (Storyline) في وحدة تحكم سنتينل وان إلى توجيهك إلى الأحداث الكاملة للهجوم، مع كل السياق ذي الصلة، وإنشاء رسم تخطيطي عالي المستوى لأصل الهجوم وجدول زمني لشجرة العمليات يوضح العمليات التي تمت: تم فتح مستند (Microsoft Word)، ونتج عنه انبثاق ويندوز (Windows PowerShell)، مما أدى إلى انبثاق سبع عمليات أخرى. تتضمن تقنية (Storyline) كذلك الوسائط الكاملة لسطر الأوامر، وهو ما يحتاجه الباحثون لفهم الهجوم بشكل كامل. وتوفر السياق الكامل للهجوم، ومع توفر السياق، لا يتم التوصل إلى كل ذلك من خلال فريق استجابة كاملة للحوادث، ولكن بدلاً من ذلك من خلال استعلام واحد فقط.

 

إصدار تجريبي من سنتينل وان ActiveEDR
إعادة تعريف تتبع التهديدات.
شاهد الآن

من الواضح أن وجود مساعد الذكاء الاصطناعي في متناول اليد في الواقع، عميل ذكاء اصطناعي مقيم على كل جهاز يتصل بالشبكة، يوفر الكثير من الزمن. إنه يخفف عن المؤسسة عبء الاضطرار إلى الاعتماد على الأشخاص فقط لتحليل أشياء قد تكون غير ذات أهمية على الإطلاق في بعض الأحيان.

أرح بالك من كل شيء، لقد وصلنا

ألم يحن الزمن للتوقف عن إجهاد نفسك؟ الآن، يمكنك ذلك.

يمكن ضبط الذكاء الاصطناعي السلوكي لمعالجة التهديدات تلقائياً – وهذا تغيّر خطير في مجرى الأمور. إن هذه التقنية قادرة على اتخاذ قرار بشأن الجهاز، دون الاعتماد على السحابة أو على البشر لمعرفة ما يجب القيام به. إذا تم تعيين (ActiveEDR) على “الكشف”، فسوف تتلقى تحذيرات سياقية. ولكن بالتبديل إلى “الحماية”، سيتم ببساطة حظر مستند (Word) الضار. لا حاجة لتدخل بشري. عندما يحاول أحد المستخدمين فتح ملف (Word)، يتم الكشف عن الخطر وحظره وحذفه بسرعة. من خلال تعيين (ActiveEDR) على خاصية “الحماية”، سيُظهر محتوى الهجوم أن الهجوم لم يلحق أضرار كبيرة: فقد تم حظره قبل أن يتمكن من التوغل خارجياً.

وبالنظر إلى أن عملاء الذكاء الاصطناعي السلوكي قد تم تضمينهم في كل جهاز من أجهزة نقطة النهاية، فإنه يمكن إيقاف السلوك الضار على الفور. في وقت لاحق، إذا قررت أنه لا ينبغي حظر شيء ما، فمن السهل بدء عملية الرجوع إلى الحالة السابقة. وعلى عكس البشر، فإن تقنية الذكاء الاصطناعي السلوكي (ActiveEDR) من سنتينل وان، لا تحتاج إلى الراحة، ولا تعرف مواعيد الانصراف من العمل.

الواقع وراء المعالجة التلقائية باستخدام الذكاء الاصطناعي السلوكي: لن يكون هناك نقل غير مصرح للبيانات ولا استغلال للعناوين الرئيسية ولا مكالمات من مكتب التحقيقات الفيدرالي.

إذا كنت ترغب في معرفة المزيد حول الذكاء الاصطناعي السلوكي من سنتينل وان وكيف يمكن أن يساعد في حماية مؤسستك، اتصل بنا أو اطلب إصدار تجريبي مجاني .