ظهر لاعب جديد مثير للاهتمام في مجال أمن الفضاء الإلكتروني (الأمن السيبراني)، وهي شركة تحمل اسم "كرونيكل". تعود أهميتها إلى كونها جزءاً من الشركة الأم لشركة جوجل، حيث انبثقت عن حاضنة "ألفابيت" الخلّاقة، والتي تعرف باسم إكس X. ففي الأسبوع الماضي، وعبر تدوينتين مختلفتين على موقع ميديوم Medium، تم الإعلان عن أن كرونيكل سيتركز عملها على مساعدة الشركات في فهم بياناتها الأمنية الخاصة بها، و"إيقاف الهجمات السيبرانية قبل أن تتسبب بالأضرار"، وذلك وفقاً للمدير التنفيذي للشركة.
في عصرٍ كثرت فيه إصابة الحواسيب على مستوى العالم بفيروسات مثل "واناكري"، أو ظهرت فيه نقاط الضعف في المعالجات الحاسوبية مثل "ميلتداون" و"سبيكتر"، لا شك أن ظهور شركة شبيهة بجوجل توجه تركيزها ومواردها إلى الأمن السيبراني يعتبر أمراً جيداً. ولكن المعلومات المتوفرة حول كيفية عمل مثل هذه الشركة لا تزال محدودة.
وفي إحدى مقالات المدونة الخاصة بالشركة، يقول أحد مؤسسي الشركة ورئيسها التنفيذي "ستيفن جيليت" أن أحد محاور الشركة سيكون عبارة عن "منصة جديدة للمعلومات والتحليلات في مجال الأمن السيبراني، نأمل لها أن تتمكن من مساعدة الشركات على إدارة وفهم ما يخصها من البيانات المتعلقة بأمن المعلومات بشكل أفضل". ويضيف بأن بعض الشركات بدأت بتجربة نسخة أولية من هذه المنصة بالفعل. كما أن نظامهم سيستخدم التعلم الآلي، وهو أحد أنواع الذكاء الاصطناعي.
بالرغم من أن الشركة لا تقوم بمشاركة المعلومات التفصيلية إلى جانب ما هو علني أساساً، إلا أن التعلم الآلي يمثل أداة قوية لفهم الكم الهائل من بيانات الأمن السيبراني التي تقوم كل شركة بجمعها.
يقول شومان جوزماجومدر، الرئيس التنفيذي لشركة "شيب سيكيوريتي" والرئيس السابق لقسم عمليات النقر الاحتيالي في جوجل: "أعتقد أن فكرة استخدام بيانات جوجل لتتمكن من تحسين الأمن السيبراني على مستوى بيئات العمل المترابطة عبر الإنترنت حول العالم؛ تعد تطبيقاً مباشراً للمعلومات التي لا يمتلكه أحد إلا جوجل".
الغرق في بحر من البيانات
ستسعى كرونيكل لمساعدة الشركات على فهم "التنبيهات الأمنية" الصادرة على دفاعاتها الداخلية، والتي قد يصل عددها إلى عشرات الآلاف كل يوم، وذلك بحسب تفسير جيليت للشركة. يقول جيليت في تدوينته: "من المفارقة أن تكاثر حجم البيانات الصادرة عن عشرات منتجات أمن المعلومات التي تضعها مؤسسة نموذجية كبيرة الحجم قيد الخدمة؛ يصعّب على فرق العمل كشف التهديدات واستقصاءها بدلاً من جعل ذلك أكثر سهولة". كما تخزين كل تلك البيانات يعدّ أمراً مكلفاً أيضاً.
وبحسب برايان بارنو، الأستاذ المساعد في علوم الحاسوب في جامعة كارنيجي ميلون؛ فقد تكون البيانات المتعلقة بنشاط الشبكة الحاسوبية للشركة على شكل سجلات من الأحداث. فعلى شبكة حاسوبية معينة، قد تمثل الأحداث ببساطة عمليات تسجيل الدخول التي يقوم بها الأشخاص على حواسيبهم صباحاً، أو عمليات الاتصال التي تجري بين الحواسيب، أو الملفات التي يقوم الأشخاص بتحميلها من الإنترنت. يمكن لسجلات الأحداث هذه أن تتضمن تنبيهات أمنية أيضاً، كمحاولات تسجيل الدخول الفاشلة. كما أن برامج مكافحة الفيروسات تقوم بتوليد الإشعارات، مثلما تفعل أجهزة أمن المعلومات الأخرى. يعتقد بارنو أن كرونيكل قد تهتم بتحليل بيانات من هذ النوع.
يضيف بارون؛ بأن الخطوة التالية هي القيام "بكشف الشذوذ"، وهي عملية يتم فيه تفحص البيانات واكتشاف الفرق بين حركة البيانات العادية وحركة البيانات الشاذة.
أطلق العنان للذكاء الاصطناعي
في المرحلة الحالية، يمكن للتعلم الآلي أن يلعب دوراً كبيراً، والذي يمكنه استخلاص المعرفة من حشود البيانات. يقول بارنو: "غالباً ما يقضي محللو أمن المعلومات الكثير من وقتهم ليقولوا؛ حسناً، ها نحن لدينا كل هذا الكم من التنبيهات، وعلينا أن نفرزها بطريقة ما". فالهدف هو فصل التهديد الحقيقي عن حركة البيانات العادية.
يتفوق التعلم الآلي في القدرة على التعلم من البيانات، وأحد الأمثلة التقليدية على ذلك؛ هو تعليم خوارزمية تعلّم معينة كيف يبدو شكل القط عبر تزويدها بعدد هائل من صور القطط، ثم تركها تكتشف قواعدها الخاصة بشأن مظاهر القطط، وذلك بدلاً من محاولة برمجة هذه القواعد بشكل صريح. يمكن لتلك الخوارزمية بعد ذلك أن تميز ما تعتقد بأنه حيوانات ملتحية عندما تظهر في صور جديدة.
في حالتنا هذه، ليس هناك بيانات تعود لحيوانات أليفة مكسوة بالفراء. بل هناك معلومات مثل التنبيهات الأمنية، كما يقول جيليت في تدوينته، أو ربما مثل سجلات الأحداث تلك. يقول بارنو إن المهندسين يميلون إلى تدريب نظامهم على "الأشياء الجيدة"، حيث يعرضون له كيف تبدو حركة البيانات العادية لكي يقدر على التعلم من ذلك، لأن معظم حركة البيانات تكون من النوع الحميد.
يقول بارنو؛ "أنت تتدرب غالباً على تمييز ما هو جيد، وتقول في قرارة نفسك: إن كل شيء لا أعرف بأنه جيد، ربما يكون سيئاً". ربما تعمل كرونيكل على تدريب خوارزمياتها للتعرف على الإشارات الخاصة بحركة البيانات الجيدة، أو حركة البيانات السيئة، أو كليهما معاً. (تمثل شركة "فايروس توتال" التي استحوذت عليها جوجل في 2012 جزءاً من الشركة، والذي يتركز عمله على كشف البرمجيات الخبيثة). باختصار، كرونيك عبارة عن منصة عمل تم تصميمها لإجراء تحليل سريع لحالة الأمن السيبراني الذي يخص شركة معينة. (في سياق مماثل، قامت شركة جديدة أخرى بإنشاء نظام للذكاء الاصطناعي تم تصميمه لمساعدة محللي المعلومات من نمط وكالة الاستخبارات المركزية على فهم التقارير المختلفة وغيرها من البيانات).
يقول بارنو إن بإمكان النظام أيضاً أن يسرّع العملية المضنية التي يتم فيها تجميع البيانات المتعلقة بما حدث حتى بعد وقوع خطب ما، مثلما يحدث مع حاسوب يصاب ببرمجية خبيثة.
ولكن بارنو، الذي يهتم بأمن الحواسيب والتشفير، يدعو إلى توخي الحذر، حيث يضيف: "تاريخياً، لطالما كان توظيف التعلم الآلي بشكل فعال جداً لحل المشاكل الأمنية يمثل تحدياً حقيقاً". وذلك لأن التعلم الآلي يجيد تحديد ما يسميه بارنو "الحالة العادية". فإذا كان المساعد الرقمي، مثل سيري أو أليكسا، قادراً على فهم ما تقوله بنسبة 99%، فهذا أمر مقبول عملياً. أما في مجال أمن المعلومات، فيقول بارنو أن تحقيق نسبة 99% لا يجدي نفعاً.
ويقول بارنو أخيراً: "إن نقطة ضعف الكشف عن الشذوذ دائماً ما تكون حاضرة. فمهاجمو الشبكات الحاسوبية يقولون في قرارة أنفسهم ببساطة: حسناً، سأكون في غاية الحذر عندما أصمم هجومي، لكي يبدو وكأنه نشاط عادي".