סגור
גג עמוד techtalk דסק

יישומי למידה עמוקה וצבא של נוירונים שמאבטח את מרחב הסייבר

התקפות סייבר הפכו לאיום שהולך וגדל במהירות, ומצריך התאמה של הטכנולוגיות המתמודדות עם האיום המתגבר. המילה האחרונה בתחום היא שימוש באלגוריתמים של למידה עמוקה. מהי בעצם למידה עמוקה? במה היא טובה יותר מלמידת מכונה, וכיצד היא משפרת את אבטחת הסייבר?

התקפות סייבר רחוקות מלהיות סוגיה חדשה - אבל הן איום שהולך וגדל במהירות. ככל שהנפח והסוג של הטכנולוגיות המשמשות עסקים וצרכנים ממשיכים להתרחב, כך 'שטח פני ההתקפה' – משמע שגיאות התצורה, הפגיעויות, טעויות האנוש וכל חולשת אבטחה אחרת שמגדילה את הפוטנציאל להתקפת סייבר מוצלחת – גדל באופן אקספוננציאלי. כדי לעמוד בקצב של סביבת האיומים, ארגונים צריכים לחשוב מחדש על הגישה שלהם לאבטחה.

אתגר אבטחת הסייבר מתגבר

לפי AVTest, מדי שעה מזוהים יותר מ־18,000 תוכנות זדוניות חדשות או יישומים לא רצויים. פירוש הדבר יותר מ־400,000 איומים חדשים ביום. לא משנה כמה גדול הארגון או כמה אנשים מונה צוות אבטחת ה־IT - נפח איומים כזה פשוט גדול מדי לכל תהליך ידני או התערבות אנושית. ארגונים חייבים להיות מסוגלים להכניס כמה שיותר אוטומציה לתהליך כדי לעמוד בקצב.
אולם מדובר באתגר שהוא יותר מאשר עניין המדרגיות. מה שחשוב עוד יותר הוא היכולת לזהות ולעצור באופן פרואקטיבי מתקפות לפני שהן מתרחשות. שלל כלי אבטחת סייבר מבטיחים לעזור לארגונים להתאים את הכלי לגודל הארגון כדי לנהל את נפח האיומים, ולהפריד את האות מהרעש כדי לזהות אירועי אבטחה שיש להעביר לצוות אבטחת ה־IT. אבל כלים כאלה מייצרים לעיתים קרובות כמות עצומה של התראות ותוצאות כוזבות, ויוצרים יותר עבודה לצוות אבטחת ה־IT במקום שיעצרו מתקפות.
הבעיה שעומדת בפני ארגונים היא שרוב אבטחת הסייבר היא תגובתית. הכלים שהם תלויים בהם כדי להגן על הסביבה שלהם מסתמכים על חתימות או על סימנים לפגיעה כדי לזהות איומים. המשמעות היא שהכלים האלה אינם יעילים נגד מתקפות "אפס ימים" או איומים לא מוכרים אחרים, מכיוון שהם טובים רק בזיהוי איומים שכבר ידועים וזה לוקח לחברות האלו דקות, שעות ואף ימים לזהות איום ולנטרל אותו בגלל השימוש בטכנולוגיית למידת מכונה מיושנת והצורך בתישאול הענן בזמן ארוע.

אבטחת סייבר ברשתות נוירוניות עמוקות או מה שמכונה גם למידה עמוקה Deep Learning

זו משפחת אלגורתמים שיכולה וכבר משנה את כללי המשחק. למידה עמוקה היא תת־תחום של למידת מכונה. אלגוריתמים של למידת מכונה מצוינים לניתוח נתונים כדי לפתור בעיות - אבל יש להם מגבלות רבות ו-2 מרכזיות: למידת מכונה דורשת מומחה תוכן או בסייבר המון אנליסטים שינתחו ידנית התקפות רבות ביום, משימה בלתי אפשרית, הם צריכים לחלץ מאפיינים מכל התקפה שבסופו של דבר מייצרים מהם וקטור לאגוריתם – ארוע מאד קשה עד בלתי אפשרי. אם רק תנסו לחשוב על 5 תכונות שמבדילות בין כלב ולחתול וניתו להגדיר אותן למכונה תראו כמה זה קשה עד בלתי אפשרי, שלא לומר שמדובר בתוכנה זדונית עם אלפי מאפיינים.
אלגוריתמים של למידה עמוקה יפתרו את אותה בעיה באמצעות רשתות נוירונים עמוקות, שהן סוג של ארכיטקטורת תוכנה בהשראת המוח האנושי (אם כי אלה רשתות שונות מרשתות של נוירונים ביולוגיים). רשתות הנוירונים המלאכותיות בנויות משכבות מרובות של משתנים, שיודעים להתאים את עצמם למאפייני הנתונים המשמשים אותם לאימון, וכך הרשתות לומדות לבצע משימות כמו סיווג תמונות או המרת קול לטקסט.
2 צפייה בגלריה
סייבר למידת מכונה למידה עמוקה אינטליגנציה מלאכותית
סייבר למידת מכונה למידה עמוקה אינטליגנציה מלאכותית
למידה עמוקה - ארכיטקטורת תוכנה בהשראת המוח האנושי
(צילום: שאטרסטוק)

למידה עמוקה היא תחום צעיר יותר, עם 5-6 חברות יחידות בעולם שהצליחו לרשום פטנטים ולפתח מסגרת במשפחת אלגוריתמים זו. בין החברות בתחום – גוגל , דיפ אינסטינקט, פייסבוק, אמזון וטסלה. יש מעט מאוד רשתות נוירונים של למידה עמוקה, ורק אחת מהן משמשת להתמודדות עם האתגרים הנוכחיים באבטחת סייבר. רשת הלמידה העמוקה הזו שייכת ל־Deep Instinct.
מה שרואים ב 3 שנים האחרונות במשטחי ההתקפה - מבחינת התחכום, המורכבות והטכניקות של התקפות סייבר - זו ליגה אחרת חדשה לגמרי של איומי ייחוס.
ה־APTs והאיומים המורכבים יכולים לחמוק בקלות מרוב פתרונות האבטחה בשוק. רוב כלי אבטחת הסייבר הקיימים מחכים למתקפה לפני שהם מגיבים - מה שמאלץ את הארגון להגיב בדחיפות לאירוע אבטחה מתמשך. אין ספק שזו בעיה.
Deep Instinct פרסמה לאחרונה את הדו"ח הדו־שנתי שלה Voice of SecOps , שמצא כי לצוותי אבטחת IT לוקח בדרך כלל כ־24 שעות להגיב לאירוע סייבר מרגע שזוהה. זהו יום שלם של פעילות זדונית שנמשכת לאחר שכבר זוהתה ככזו.
"כל הרעיון מאחורי Deep Instinct" הוא לחזות ולמנוע לפני ההדבקה - לפני שמשהו יעבור למחשב האישי, למכשיר הנייד, לטאבלט, לשרת או לכל התקן אחר".
Deep Instinct עושה שימוש בלמידה עמוקה להשגת המניעה. הפתרון שלנו מנתח קבצים ווקטורים לפני הביצוע, וכך שומר על הלקוחות מוגנים ב"זמן אפס". לדבריו מהירות היא קריטית בסביבת האיומים הנוכחית, ואף שפתרונות רבים מבטיחים זמן אמת - זמן אמת הוא מאוחר מדי.

כוחה של למידה עמוקה

בסדר, אבל מהי בעצם למידה עמוקה? במה היא טובה יותר מלמידת מכונה רגילה וכיצד היא משפרת את אבטחת הסייבר?
אמחיש בעזרת דוגמא פשוטה "אם אציג לכם 100 תמונות של חתול וכלב, סביר שתצליחו לזהות איזו תמונה מראה חתול ואיזו מראה כלב, בדיוק של 100%. הסיבה לכך היא שלמדתם ועבדתם כמות עצומה של נתונים לאורך החיים, ולכן אתם יודעים מה זה חתול ומה זה כלב.
אבל איך אתם יודעים? אף שאנשים טובים מאוד בלזהות בקלות מתי מדובר בחתול ומתי בכלב, אם תבקשו מהם לתאר 5 תכונות שמגדירות מה מבחין בין חתול לכלב, מעטים האנשים שיצליחו לחשוב ולו על תכונה אחת כזו. הכוונה לתכונה מוחלטת שתעבוד בכל פעם. בסוף זה מסתכם ביכולת לזהות הבדלים עדינים ולהפעיל שיקול דעת כדי לזהות במדויק ובאופן שמתבסס על מה שכבר למדתם וצברתם לאורך כל החיים. בני האדם גרועים מאד בתיאור תכונות ובחילוץ מאפיינים נכונים כיוון שאנחנו נולדנו לחשוב באופן לינארי וברור וכאשר נושאים שאינם לינארים מוצגים לנו ותבניות האיבחון וההתנהגות לא ברורות קשה לנו מאד לחלץ אותן.
2 צפייה בגלריה
גיא כספי כנס סייבר
גיא כספי כנס סייבר
גיא כספי כנס סייבר
(צילום: נופר חסון הנדלמן)
זה בדיוק מה שאנחנו עושים עם רשתות נוירוניות. אנחנו מחקים את המוח ואת האופן שבו אנו חושבים על ידי חשיפת רשת הנוירונים העמוקה לכמות עצומה של נתונים - כמות נתונים שאף למידת מכונה אחרת בעולם לא יכולה לעבד ולעכל, כדי שהמערכת תלמד ותשתפר מדי יום ותוכל להתנהל באופן כמעט עצמאי, ללא צורך במומחי סייבר ותוכן להות איומים מכל סוג שהוא.
אם להמשיך את האנלוגיה, דמיינו שהזיהוי אם מדובר בחתול או בכלב היה מהלך תגובתי, כמו באבטחת סייבר. נניח שאתם יודעים לזהות חתולים אפורים, אבל אז מגיע חתול חום ופשוט אין לכם מסגרת התייחסות שתאפשר לכם לדעת שמדובר בחתול! רק כאשר מישהו אחר ינתח אותו ויצרף לו חתימה או אינדיקטור תדעו גם אתם לזהות אותו כחתול. תסכימו שזה מסורבל מאוד ולא יעיל ואם אנחנו מדברים על 400 אלף איומים חדשים מדי יום זה כבר הופך לבלתי אפשרי.

אבטחת סייבר פרואקטיבית עם למידה עמוקה

האוטומציה היא קריטית להגנה בשל הנפח האדיר ומנעד האיומים הרחב שארגונים מתמודדים איתם - אך למידת מכונה סטנדרטית היא מוגבלת מדי, עדיין דורשת המון כוונון, התערבות 24/7 אנושית בשלב התוכן ויכולות ניתוח הדאטה מוגבלת למעט מאד אחוזים מסהכ המידע , יש צורך לעבד נתונים בענן מה שמייצר שיהוי ארוך בתגובה ועוד... אל מול למידה עמוקה או רשתות נוירוניות עמוקות שמנתחות 100% מהמידע ומבצעות את החישוב במהירות "על קולית" ועל המכשיר עצמו ללא תשאול בענן מה שמאפשר להן לזהות איומים במהירות שיא בטרם ייכנוס לארגון. למידה עמוקה עושה את הקפיצה הנוספת קדימה בזכות היכולת להמשיך להתפתח וללמוד לאורך זמן, וכך לדעת לזהות ולחסום מראש גם איומים שעדיין לא הופיעו בעבר בדיוק כמו למידה התרחשת במוח שלנו שיודע לזהות ולקטלג דברים שלא ראינו קודם בזכות העובדה שנחשפנו להמון דאטה כל יום.
הכותב, גיא כספי, הוא מייסד משותף ומנכ"ל דיפ אינסטינקט