اكتشف فريق "آزور" الأمني، التابع لشركة "مايكروسوفت"الأمريكية، قبل عامين؛ نشاطاً مشبوهاً في استخدام الحوسبة السحابية لأحد متاجر التجزئة الكبيرة، فقد حاول أحد مسؤولي الشركة تسجيل دخوله من رومانيا، وهو عادةً يسجله من نيويورك. ولم يكن هذا المسؤول مسافراً، بل كانت هذه محاولةً من هاكر لاقتحام النظام. وسرعان ما نبَّهت مايكروسوفت عميلها، وأُحبط الهجوم، قبل أن يتعمق الدخيل في النظام.
وأدت هذه الحادثة إلى ظهور جيل جديد من برمجيات الذكاء الاصطناعي، التي تتكيف مع أساليب قراصنة الإنترنت المستمرة في التطور.
تكنولوجيا قديمة
وتسعى كل من "مايكروسوفت"وشركة "ألفابت" التابعة لـ"غوغل"، وشركة "أمازون"، والكثير من الشركات الناشئة؛ للتخلي عن استخدام التكنولوجيا القديمة "المستندة إلى القواعد" والمصمَّمة للاستجابة لأنواع معينة من عمليات القرصنة، إذ تتجه هذه الشركات نحو خوارزميات التعلم الآلي التي تستوعب كميات هائلة من البيانات المتعلقة بعمليات تسجيل الدخول، وسلوك المستخدم، والهجمات السابقة بهدف الكشف عن المهاجمين، وردع القراصنة.
ويقول دون سونج، الأستاذ في "مختبر بيركليز لأبحاث الذكاء الاصطناعي" بجامعة كاليفورنيا: "يعدُّ التعلم الآلي أسلوباً قوياً جداً لتحقيق الأمن- فهو يتسم بالمرونة- في حين أنَّ الأنظمة التي تستند إلى القواعد تتصف بالجمود"، وأضاف "يتطلب تغيير الأنظمة القديمة الكثير من العمل اليدوي، في حين أن التعلم الآلي تلقائيٌّ وديناميكيٌّ، ويكتسب المعلومات بسهولة".
قدرة القراصنة على التكيف
يُعرف قراصنة الإنترنت بقدرتهم على التكيف، لذا فهم يملكون القدرة على استخدام التعلم الآلي لإحداث أضرار جديدة، والتغلب على أنظمة الدفاع الحديثة. فعلى سبيل المثال، يمكنهم اكتشاف الطريقة التي تتبعها الشركات في تدريب أنظمتها، واستخدام هذه البيانات للتهرب من الخوارزميات أو إتلافها.
وفي المقابل، تدرك شركات الخدمات السحابية الكبيرة أنَّ أعداءها من قراصنة الإنترنت أشبه بهدف متحرك يصعب اصطياده، لكنهم يأملون أن تساعد التكنولوجيا الجديدة في قلب الموازين لصالحهم.
ويقول ستيفن شميدت، رئيس أمن المعلومات في شركة أمازون: "سنشهد تطور القدرة على تحديد أيِ تهديد في وقت مبكر من دورة الهجوم، ما يقلل من إجمالي الضرر، ويمكّننا من إعادة الأنظمة إلى حالة ملائمة"، ويعترف شميدت باستحالة صدِّ جميع الهجمات، لكنه يقول، إنَّ هذا القطاع "سيتطوَّر بشكل متزايد في حماية الأنظمة، وسيُصعِّب من مهمة المهاجمين أكثر فأكثر".
واستخدمت فرق الأمن السيبراني، قبل خوارزميات التعلُّم الآلي، أدوات أكثر صرامة، فمثلاً، إذا حاول شخص يعمل عادةً من مقر الشركة تسجيل الدخول من موقع مختلف، فإنَّها تحظره من الدخول، بالإضافة إلى حظرها رسائل البريد الإلكتروني غير المرغوب بها، لاحتوائها على أخطاء إملائية مختلفة لكلمة معينة.
وفي العادة تؤدي هذه الأنظمة الوظيفة المطلوبة منها، إلا أنَّ هذه الأنظمة تعيق الكثير من المستخدمين المخولين، وأي شخص لم يتمكن من استخدام بطاقة الائتمان أثناء السفر يعرف ذلك. ووفقاً لمارك روسينوفيتش، الرئيس التنفيذي للتكنولوجيا في فريق "آزور" ، يبلغ احتمال ظهور نتيجة إيجابية خاطئة في نظام مايكروسوفت لحماية العملاء من عمليات تسجيل الدخول المزيفة ما نسبته 2.8%. وقد لا تبدو هذه النسبة مرتفعة، لكنها غير مقبولة، وذلك لأنَّ عملاء شركة مايكروسوفت الكبار، يسجلون أعداداً هائلة من عمليات الدخول.
معايير متباينة للحماية
لتحقيق تقدم في تحديد المستخدمين المخوَّلين من غيرهم، تدرس التقنية المستخدمة في مايكروسوفت البيانات التي تستخدمها كل شركة، بهدف تخصيص معايير الأمان حسب السلوك الإلكتروني للعميل واستخداماته السابقة. ومنذ طرح هذه الخدمة، تمكَّنت الشركة من خفض معدَّل ظهور النتائج الإيجابية الكاذبة إلى 0.001 %. فمن خلال هذا النظام تمَّ الكشف عن الدخيل في رومانيا.
وتقع مسؤولية تدريب خوارزميات الأمن الإلكتروني على عاتق أشخاصٍ، مثل رام شانكار سيفا كومار (Ram Shankar Siva Kumar)، الذي يشغل منصب مدير في مايكروسوفت، ويُلقَّب بـفارس البيانات أو (Data Cowboy). وبدأ سيفا كومار (Siva Kumar) العمل في مايكروسوفت قبل ست سنوات، بعد إنهاء دراسته في جامعة "كارنيجي ميلون" (Carnegie Mellon)، وقبوله إجراء مقابلة ثانية مع الشركة.
وفي الوقت الحالي، يدير سيفا كومار (Siva Kumar)، فريقاً يتألف من 18 مهندساً، يعملون جميعاً على تطوير خوارزميات التعلم الآلي، ويحرصون على ضمان سرعة وذكاء هذه الخوارزميات في إحباط عمليات القرصنة، وعملها بسلاسة مع الأنظمة البرمجية للشركات التي تدفع مبالغ طائلة مقابل خدمات الحوسبة السحابية من مايكروسوفت.
ويعد سيفا كومار واحداً من الأشخاص الذين يتم استدعاؤهم؛ إن كشفت الخوارزميات أي هجوم. وذات مرة، أيقظه زملاؤه في منتصف الليل، ليكتشف أنَّ "فريق الهجوم" التابع لشركة "مايكروسوفت" هو المسؤول عن إطلاق الإنذار.
ولا شك أنَّ التحدي كبير، فملايين الأشخاص يسجلون الدخول إلى البريد الإلكتروني "جي ميل" (Gmail) التابع لـ"غوغل" (Google) يومياً. وفي هذا الخصوص، يقول مارك ريشر (Mark Risher)، مدير المنتجات الذي يساهم في صدِّ الهجمات عن مستخدمي غوغل (Google)، "تزداد باستمرار كمية البيانات التي يجب الاطلاع عليها، للتأكد من أنَّ مَن يسجل الدخول هو صاحب الحساب نفسهن وليس قرصاناً، لكنها تزداد على نحو يفوق قدرة البشر، وليس من الممكن مواجهته بكتابة القواعد".
وترصد غوغل حالياً الاختراقات الأمنية حتى بعد قيام المستخدم بتسجيل الدخول بنجاح، ويفيد ذلك في الكشف عن القراصنة الذين يبدون مستخدمين حقيقيين في البداية. ومع قدرة التعلم الآلي على تحليل بيانات مختلفة، لم يعد الكشف عن عمليات تسجيل الدخول غير المصرح به أمراً بسيطاً. إذ تراقب غوغل (Google) جوانب السلوك المختلفة خلال فترة الاستخدام، ففي البداية، يبدو أنَّ المستخدم هو صاحب الحساب الأصلي، لكنه في وقت لاحق يبدي علاماتٍ، تدلُّ على أنَّه ليس الشخص الذي يدعيه، مما يتيح لبرمجيات غوغل (Google) إخراجه من الحساب، قبل إلحاق المزيد من الضرر.
أنظمة خاصة للعملاء والموظفين
وإلى جانب استخدام التعلُّم الآلي لتأمين شبكاتها، والخدمات السحابية الخاصة بها، تقدم شركتا "أمازون" و"مايكروسوفت" هذه التكنولوجيا لعملائها. وتستخدم خدمة "أمازون ماسي" التعلم الآلي للعثور على بيانات العملاء الحساسة في شركة مثل "نتفلكس" ، ثم تعمل على مراقبة هوية من يصل إلى البيانات، ووقت وصوله، وتُنبَّه الشركة في حال وقوع أي نشاط مشبوه.
وتراقب "أمازون غارد ديوتي" أنظمة العملاء، بحثاً عن أي نشاط مؤذٍ أو غير مصرح به. وفي الكثير من الأحيان، ترصد هذه الخدمة قيام الموظفين بأنشطة لا ينبغي لهم فعلها أثناء العمل، كتداول عملة البتكوين.
وتستخدم شركة التأمين الهولندية "إن إن غروب إن في" خدمة "مايكروسوفت أدفانس ثريت بروتكشن" لإدارة عمليات دخول موظفيها، البالغ عددهم 27 ألفاً، وشركائها إلى أنظمتها، ومنع دخول أي شخص آخر. وفي وقت سابق من هذا العام، عرض ويلكو جانسن ، مدير خدمات مكان العمل في الشركة، للموظفين ميزة جديدة في برمجيات الحوسبة السحابية في "مايكروسوفت أوفيس" التي تحظر الرسائل التي ينتحل فيها مرسل البريد دور مسؤول تنفيذي، ويوجه الأوامر لمستقبل الرسالة بتحويل الأموال، أو مشاركة المعلومات الشخصية.
وبعد مرور تسعين دقيقة من عرض الميزة، اتصل مركز العمليات الأمنية للإبلاغ عن محاولة شخص ما شنَّ الهجوم نفسه على الرئيس التنفيذي لشركة "إن إن غروب". ويقول جانسن: "كان يمكن لهذه الميزة أن تمنع حدوث هذه الهجمة بالفعل"، وأضاف، "يجب أن نكون متأهبين على الدوام، وستساعدنا هذه الأدوات على رؤية الأمور التي لا يمكننا تتبعها يدوياً ".
لا تعمل الأنظمة الأمنيَّة للتعلم الآلي في جميع الحالات، وبالأخص عند عدم توافر بيانات كافية لتدريبها. في حين ينتاب الباحثون والشركات القلقَ من الاحتمالية المستمرة لتعرُّض هذه الأنظمة لهجمات القراصنة.
على سبيل المثال، يستطيع قراصنة الإنترنت محاكاة أنشطة المستخدِم لخداع الخوارزميات التي تتفحص سلوك المستخدم المعتاد، كما يمكن أن يعبث القراصنة بالبيانات المستخدمة لتدريب الخوارزميات وتشويهها، من أجل أن تخدم غاياتهم الخاصة، ويطلق على هذه العملية اسم "التسمم".
لذلك ينبغي على الشركات الحفاظ على سرية معايير الخوارزميات الخاصة بها وتغيير صيغها بانتظام، بحسب ما يرى باتيستا بيجيو ، البرفسور في مختبر تمييز الأنماط والتطبيقات التابع لجامعة كالياري في سردينيا، إيطاليا.
كما تظهر هذه التهديدات حتى هذه اللحظة، في الأوراق البحثية أكثر من الواقع. لكن من المحتمل أن يتغير ذلك، كما كتب بيجيو في دراسة له في عام 2018: "الأمن السيبراني هو سباق تسلُّح، وهذا يشمل أمن أنظمة التعلم الآلي، وتمييز الأنماط".