“البيانات الكبيرة” ودورها في منع التهديدات السيبرانية النشطة
بقلم “فينود فاسوديفان”، الشريك المؤسس و المدير التنفيذي للمعلومات لدى شركة بالاديون
أصبح استخدام البيانات كبيرة جنبا إلى جنب مع تحليلات الأمن سلاحا رئيسيا في مكافحة الجريمة الإلكترونية. لقد فشلت آليات الكشف التقليدية في الوقت الراهن في اثبات كفايتها فيما يتعلق بتوفير الحماية الأمنية المرجوة, و يرجع ذلك بسبب الزيادة في عدد الهجمات “المجهولة”. دعونا نلقي نظرة على بعض الأمثلة لفهم كيفية أن إستخدام البيانات الكبيرة جنبا إلى جنب مع النماذج التحليلية يمكن أن يساعد في حل هذا التحدي.
كشف المجهول
هناك طريقة سهلة لفهم كل متطلبات البيانات كبيرة والتحليلات ,هو أن ننظر إلى تطور الفيروسات والبرمجيات الخبيثة والكشف عنها. حتى أصبحت أداة البرامج الأتوماتيكىة (APT) -ذات الصلة بالبرمجيات الخبيثة- حجر الزاوية فيما يتعلق بالهجمات الخطرة، واستندت عمليات الكشف عن البرامج الضارة على التوقيعات. في الوقت الذي كان فيه المزيد من “المعطيات المعروفة”، حيث تستطيع الحلول الأمنية رصد و كشف الأنماط الحالية باستخدام التوقيع. و منذ ظهور( APT) واستخدام البرمجيات الخبيثة المتطورة لاختراق الشركات الكبيرة والمؤسسات الحكومية، أصبحت الهجمات “المجهولة” هي المهيمنة في الوقت الحالي.
واليوم، أصبحت البرمجيات الخبيثة والهجمات الأخرى معقدة ومتطورة بحيث بات محاولات الكشف عنها من خلال الأنماط المعروفة لا يجدي نفعا. إن توافر التشفير السري والحشو التقني من أجل إنشاء تعليمات برمجية مخصصة جنبا إلى جنب مع مزيد من الذاكرة جعلت من عمليات التوقع من أجل الكشف ,عملية عفا عليها الزمن .ولقد ظهرت أساليب بديلة عندما فشلت التوقيعات والتحليلات من توظيف “تقنيات الكشف عن مجريات الأمور” للكشف عن البرامج الضارة باستخدام أسلوب ( sandbox) كطريقة اختبار. وكان هذا النهج ناجحاً للغاية حتى بدأ مبدعوا البرمجيات الخبيثة كتابة أكواد لإيقاف عمليات منع تنفيذ البرامج الضارة في ( sandbox).
وتأتي الخطوة التالية في استخدام البيانات الكبيرة. وكمثال على ذلك، فإن “نقاط النهاية” (end points) المصابة يمكن أن ترسل إرشادات بشكل عكسي إلى خوادم التحكم و القيادة و التي لم تعد بعد مدرجة من ضمن القوائم السوداء المعروفة. وهذه البيانات متوفرة في الخادم الفرعي (proxies) ولكن من الصعب الكشف عنها عن طريق إستخدام التوقيعات منذ أن أصبحت البرمجيات الخبيثة – المكتوبة بشكل جيد- غير ممكن القبض عليها أو كشفها مع التوقيع. ويمكن الكشف عنها بواسطة إستخدام تقنيات التجميع التي تعمل من خلال منصة البيانات الكبيرة نظرا للحجم الهائل من سجلات الخادم الفرعي.
و هناك مثال آخر هو الكشف عن البرمجيات الخبيثة المتقدمة من خلال تحليل الآثار المترتبة على مجموعات البيانات على “العمليات ومراقبة الأحداث” من نقطة النهاية. وهذا النوع من البيانات يوضع في مجموعات ضخمة في بيئة أي مؤسسة كبرى.و في هذا النهج، تتم مقارنة السلوكيات الشاذة لبعض نقاط النهاية إلى نقطة نهاية اخرى قرينة للكشف عن الحالات الشاذة التي تشير إلى البرمجيات الخبيثة. هذا الأسلوب يستدعي إجراء تحليل سريع لكميات ضخمة من البيانات فضلا عن إستخدام نماذج تحليلية لأنماط خط الأساس العادي في نقاط النهاية ضد الأنماط الغير عادية. إن إستخدام تكنولوجيا البيانات الكبيرة جنبا إلى جنب مع تحليلات نقطة النهاية يتيح التعرف السريع لأي إنحراف، وبالتالي يحدد الأنظمة المتأثرة بشكل أكثر دقة و سرعة.
الحركة الجانبية من القراصنة أو البرمجيات الخبيثة هي عبارة عن حالة يتم فيها استخدام اسلوب آخر و مختلف و التي تتطلب تحليلات على كميات كبيرة من البيانات. بمجرد حدوث التسلل من قبل البرمجيات الخبيثة للشركة او المؤسسة ، تتحرك البرمجيات الخبيثة أفقيا إلى أنظمة أخرى حتى تصل إلى جوهرة التاج. و بمجرد الحصول على ما يريدون، تبدأ عملية التسلل للبيانات من داخل المؤسسة لعصابات الجريمة الإلكترونية الخارجية. و هذا يعني أنه من أجل الكشف عن الحركة الجانبية يجب تحليل و التحقيق من مئات و اَلاف الحركات الجانبية و التي تتطلب مليارات من التحقيقات الأخرى. ويعد ذلك من المهام الصعبة و يختلف بشكل كبير عن الطرق التقليدية للكشف عن الهجمات التي تعتمد على تحديد حجم أكبر من هجمات على عدد أقل من الأصول مركز البيانات. و تتطلب تلك العملية إجراء كميات كبيرة من الأحداث و تحديد معين للسولكيات الشاذة في البيئة , و التي تحتاج قاعدة بطانة لدخول المستخدم العادي و الاَلة و كشف الإنحرافات من خلالها. هذه هي أحدي الزوايا التي لا تتطلب “البيانات الكبيرة” فحسب بل أيضا تستخدم آلة التعلم عبر “البيانات الكبيرة”.
ما تم ذكرة ليست سوى بعض الأمثلة. هناك العديد من مثل هذه الحالات التي تتطلب استخدام تحليلات يتم تطبيقها على مجموعات كبيرة من البيانات للكشف بشكل أفضل عن الهجمات المجهولة.
الانتقال إلى نموذج جديد مع البيانات الكبيرة والتحليلات الأمنية
شهدت اخر ثلاث سنوات تغيرات عميقة في منهجية الهجوم من عصابات الجريمة الإلكترونية. انتقلوا من الاستهداف المباشر للأصول ذات القيمة العالية لهجمات خفية غير مباشرة التي يصعب كشفها بطبيعتها. و تقوم صناعة أمن المعلومات بتطوير نفسها أيضا من أجل الكشف و الرد على تلك الهجمات العالية التأثير. إن وجود البيانات الكبيرة جنبا إلى جنب مع نماذج تحليلات الأمن سيكون لها دورا رئيسيا في الكشف عن تلك النوعية من الهجمات المتطورة. لم يعد الأمر مقتصرا على منع الهجمات فقط و لكنه للعمل على مزيد من علميات الكشف السريع و إحتواء أي عملية إختراق .و في هذا النموذج الجديد. تقود عمليات “تحليل الأمن للبيانات الكبيرة” سباقا في سبيل التنبؤ بالهجمات و الكشف الإستباقي للإنتهاكات، و العمل على الاحتواء السريع.