בינה מלאכותית (כמעט) אנושית
כתב: רעמסס גאלגו.
ההתפתחויות בתחום הבינה המלאכותית מייצגות זינוק ענק ביכולת להתמודד עם בעיות מורכבות הדורשות ביצועים שהם מעבר ליכולת האנושית. אחרי הכול, כבר בזמן המהפכה התעשייתית פותחו מכונות כדי להרחיב את המאמצים האנושיים ולהעצים את היכולות של כוח העבודה – שבאותה התקופה היו פיזיות. בעידן הדיגיטלי, הטכנולוגי וההיפר-מקושר שלנו, מטרת המכונות היא להאיץ את מהירות ניתוח הנתונים ולהכפיל את האפשרויות להשתמש במידע לקבלת מסקנות והחלטות זריזות יותר. תסמכו עליי, אני לא מכיר שום אנליסט בתחום אבטחת הסייבר שיכול להתמודד עם כמויות מסיביות של נתונים, עם מאות אלפי מקורות מידע בשנייה, אבל אני מכיר כמה אלגוריתמים שיכולים לעשות זאת (והם אכן עושים זאת) כחלק מ-'עבודתם' היומיומית. ההתייחסות להיבטים האתיים והחברתיים של הבינה המלאכותית ראויה למאמר בפני עצמו.
חשוב להדגיש כי בינה מלאכותית היא למעשה "משמעות העל", מטריה שמכילה חמישה תת תחומים, שאחד מהם הוא לימוד המכונה. לממד זה, שמיושם בעיקר, ובאופן ברור, בתחום אבטחת הסייבר, יש בתורו ארבעה מצבים הראויים להסבר: מבוקר (Supervised), בלתי מבוקר (Unsupervised), למידת חיזוק (Reinforcement Learning) ולמידה עמוקה (Deep Learning). אף על פי שלכל אחד מהם יש את הייחודיות שלו, ויכול הייתי לכתוב (כמעט) ספר על כל אחד מהם, לצורך מאמר זה – היישום של כל זה באבטחת סייבר – אתמקד בשניים: לימוד מכונה בלתי מבוקר ולמידת חיזוק.
הראשון, לימוד מכונה בלתי מבוקר, לא מחייב את מדען הנתונים "לתייג" את מערך הנתונים ואת האלגוריתם כמסוגלים באופן "קסום ואוטומטי" להחליט מהם המשתנים שנדרש כדי לקבוע האם השערה היא נכונה או לא. מודול זה אידיאלי למציאת חריגות, דפוסי התנהגות, ולכן הוא מסוגל אפילו להסיק את התנועות הבאות של התוקף ו/או כל יחיד בקהילה. לימוד מכונה בלתי מבוקר הוא הנפוץ ביותר כרגע בשל יכולתו לספק חיזוי על ידי שימוש בכמויות גדולות של מידע ממקורות שונים, עם עומסי נתונים מסיביים, (כמעט) בזמן אמת ותוך שימוש עמוק מאוד בסטטיסטיקה.
בעזרת למידת חיזוק, כפי שהשם מרמז, האלגוריתם מסוגל ללמוד מהטעויות שלו ולעשות זאת באופן אינטנסיבי, תוך שהוא מתקן את מצבו כדי שתמיד יציע את הגרסה הטובה ביותר של עצמו. כתפיסה, זה דבר מעניין ביותר, מכיוון שזה מרמז שהוא נמצא במצב שיפור מתמיד, תמיד. בעולם אבטחת הסייבר, יישום התפיסה הזו באסטרטגיות ההגנה, כך שהמכונה יכולה ללמוד מטעויותיה וגם ללמוד מחדש, לדוגמה, מדיווחים חיוביים שגויים, מצטייר כקפיצת דרך איכותית וכמותית. האם אתם יכולים לדמיין פתרון שיכול לחזות את השלב הבא של התקפה מכיוון שהוא הוכשר ו/או ראה שיטות שונות לחילוץ מידע, מה שמכונה TTP – טקטיקה, טכניקות ונהלים, ולפעול בהתאם עוד לפני שזה קורה? אתם יכולים להפסיק לדמיין, כי זה כבר קיים וזה משנה מהותית את המאמצים האנושיים בהגנה בתחום אבטחת הסייבר.
טכנולוגיות משלימות להשגת נראות ושליטה מלאה בסביבה
במיקרו פוקוס אנחנו מתגאים בכך שיש לנו טכנולוגיות לימוד מכונה שמשלימות פיתוחים קיימים כדי להשיג נראות ושליטה מלאה בסביבה. המהנדסים שלנו פיתחו בקרות אבחון, מניעה ותיקון באמצעות טכנולוגיית ה-Interset שלנו, שמביאה לידי ביטוי את המושגים המוזכרים במאמר זה. הדבר מספק נקודות מבט נוספות לפריסת דור חדש של מרכזי ניהול אבטחה (Next Gen Security Operation Center). מרכז אבטחה שכזה, אוטומטי ומאורגן, יכול להשתמש במודיעין איומים ממגוון מקורות (כולל אגמי מידע רבים), להסיק מהו הצעד הבא של עבריין הרשת, וכתוצאה מכך להציע מערכת חסינה יותר להגנה ושמירה על הסביבה.
כל זה, לפני שמגיעים ללמידה עמוקה, נועד, למעשה, לממש חיקוי של הדרך בה המוח האנושי עובד, הדרך בה לפי ההערכה כ-100 מיליארד נוירונים במוח של אדום בוגר פועלים בשכבות שונות כדי להעביר מידע ולקבל החלטות, בדיוק באותו אופן בו המוח שלנו שולח דחפים אלקטרומגנטיים או זרמים חשמליים.
אנחנו חיים בתקופה מרתקת בשדה אבטחת הסייבר, בה כלים מעצימים את היכולת האנושית. אנחנו חיים בתקופה נהדרת, בה הבינה המלאכותית הופכת מצד אחד לפחות ופחות מלאכותית ומצד שני לאינטליגנטית יותר. פחות ופחות מכונה ויותר אנושית. או כמעט.
הכותב הינו מנהל אבטחה, סיכון ומשילות גלובלי במיקרו פוקוס. CCSK, CGEIT, CISM, CISSP, COBIT, ITIL, SCPM, Six Sigma Black Belt.