כולם יודעים שהטכנולוגיה התפתחה במהירות עצומה בשנים האחרונות. ההטמעה של רשתות תקשורת בתשתיות קריטיות, כמו רשתות חשמל ורשתות תשתיות תעבורה, הפכה אותן לחשופות יותר מאי פעם להתקפות סייבר. מדובר בהתקפות רבות עם תוצאות קטסטרופליות, שבוצעו לאחרונה על מתקנים קריטיים, והדבר מחייב מציאת דרכים חדשות להגן על תשתיות אלה.
במקביל, בשנים האחרונות, טכנולוגיות בינה מלאכותית (AI) הפכו לכלי חשוב בהגנה מפני התקפות סייבר. זרמים גדולים של מידע יכולים לעבור במהירות ובכמויות וגורמים לקושי בזיהוי התקפות סייבר בזמן אמת ובצורה יעילה. מערכות המבוססות על בינה מלאכותית מאפשרות תהליכים אוטומטיים של זיהוי וניתוח, ומספקות כלים יעילים להתמודדות עם התקפות חדשות ומתקדמות.
שתי התקפות ענק חמורות על מתקני תשתית ואנרגיה, שאירעו בשנים האחרונות, היו מזוהות היום באמצעות בינה מלאכותית:
* התקפת Colonial Pipeline: במאי 2021, תוקפים חדרו לרשת הבקרה של חברת Colonial Pipeline והשביתו את מערכות ההפעלה שלה באמצעות תוכנה זדונית. הדבר גרם להשבתה של מערכת הצינורות של החברה, שמספקת דלקים למספר מדינות במזרח ארה"ב. התקפה זו גרמה למצב חירום סביבתי והורדת הספקת החשמל.
* התקפת SolarWinds: ההתקפה החמורה נעשתה באמצעות פריצה לתוך תוכנת ORION והטמעת קוד זדוני בתוך עדכוני התוכנה שנשלחו ללקוחות. עקב כך, התוקפים הצליחו לקבל גישה לרשתות של מאות ארגונים ברחבי העולם, כולל גורמים ממשלתיים וצבאיים.
סגירת פרצות וחולשות בארגון
הפעלת AI להגנה על תשתיות קריטיות כוללת מספר שלבים:
* שלב ראשון: איסוף מאגרי מידע ונתונים מרחבי הרשתות הקריטיות. זה כולל איסוף מתקפות סייבר קודמות, מתבניות פעולה של התוקפים ונתונים סטטיסטיים כלליים. מאגרים אלה כוללים מידע היסטורי של התקפות קודמות, מידע ממקורות חיצוניים, כמו מודלים אזרחיים וארגונים בין-לאומיים, כגון CISA ו-ICS CERT, ונתונים אמינים מתוך הרשת הפנימית של הארגון.
* שלב שני: תהליך הכנת הנתונים והתחזוקה של איכותם. זה כולל עיבוד וניתוח מתקדם של הנתונים באמצעות אלגוריתמי AI מתקדמים.
* שלב שלישי: תקופת למידה ויצירת מודלים של AI. מודלים שיכולים לזהות תבניות חדשות ומתקדמות של התקפות, להעריך רמות סיכון וליצור דפוסי זיהוי אוטומטיים, שיסייעו בזיהוי תקיפות בזמן אמת.
* שלב אחרון: שלב המבצעיות. לאחר הזיהוי, מערכת ההגנה מתחילה לפעול באופן אוטומטי או להמליץ פעולות לביצוע.
בניגוד לכלים הקיימים, כגון חומות אש - להם סט חוקים מוגדר מהקמת הרשת - בינה מלאכותית יכולה להמשיך ללמוד את הרשת ולסגור פרצות במהלך חיי הארגון.
לייצר התקפה רב-ממדית
בימים אלו מוקמת מעבדה על-ידי ISD, בניהולו של הח"מ. המעבדה תחקור ותיתן מענה למערכות בקרה החשופות לתקפות סייבר. הרעיון למעבדה החל במהלך הקמת האקטון לפתרון השאלה: האם ניתן להגן באמצעותAI על התקפות סייבר? השלב הראשון היה לנסות ולבצע התקפה חדשה רב-ממדית על-ידי AI. במעבדה הוזנו מסד נתונים של כל הפרוטוקולים הידועים של מערכות בקרה, הבקרים הידועים וכן מסד נתונים גדול של התקפות סייבר למכונת לומדת AI בשפות שונות. כך בדקנו האם ניתן לייצר התקפות חדשות.
סוגי ההתקפות כללו פקודות לא חוקיות (Illegal commands),פקודות פגומות (Corrupted commands) ופקודות תקולות (Malformed commands). השלב הבא היה לנסות לייצר התקפה רב-ממדית המבוססת על ההתקפות הללו. מצאנו שהמערכת יודעת ליצור התקפות מגוונות המתחילות בהאזנה לרשת, זיהוי דפוסי התנהגות, הסתננות לרשת והחדרת קוד. אם בעבר התוקף היה צריך להסניף את הרשת, ללמוד את ההתנהגות וליצור פוגען מותאם לרשת - היום AI עושה זו בקלות רבה ובמהירות רבה.
סינון בתוך התשתית
מעבדת הבינה מלאכותית (AI) מתפקדת בכמה דרכים:
1. זיהוי איומים - AI למדה וממשיכה ללמוד את התבניות והדפוסים של התקפות סייבר היסטוריות ומשתמשת בזהויות אוטומטיות כדי לזהות איומים חדשים. באמצעות שימוש ב-Machine learning, AI יכולה לזהות תבניות חריגות, פעולות חשודות וסימנים של התקפה.
2. סינון וחסימת תעבורה זדונית - AI משמשת כמנגנון לזיהוי תעבורה זדונית ומסננת אותו באופן אוטומטי. בהתבסס על תקופת הלמידה, יצרנו מודלים המבוססים על נתוני עבר אל מול התעבורה נוכחית כדי לזהות דפוסים מתוך התעבורה ולחסום גישה בהתאם.
3. זיהוי תוכנות זדוניות - AI יכולה לשפר את יכולת הזיהוי של תוכנות זדוניות, אשר פרוסות על אנליזה רב-ממדית של קוד. AI יכולה לזהות מידע רב-ממדי ולהשוות התנהגות תוכנה לעומת התנהגות רשת.
4. מלכודות דבש - אחד השימושים החשובים של AI הוא יצירת סביבה חופפת וירטואלית. המערכת יכולה לייצר משאבים צדדיים למערכת האמיתית, אך ללא יכולת גישה אמיתית. על-ידי שימוש בכתובת IP ושיטות אחרות המסיטות את כיוון התוקפים מעודדים את התוקפים לתקוף את המשאבים הצדדיים, כאשר בזמן זה המערכת אוספת מידע על התוקפים.
בנוסף, AI מכניסה רעש ויוצרת סינון בתוך התשתית. היא עוקבת אחר פעילות חשודה ומבחינה בין פעולות רגילות לבין פעולות זדוניות.
שימוש ב—AI הכרחי, אך אין להסתמך עליה לבדה
לאחר כל זה עולה השאלה היכן הגבול עוצר? מניסיוני כחוקר סייבר, לאחר שהפעלנו מספר מנגנוני AI, צפיתי באפשרויות האין-סופיות ליצירת התקפה. ההתקפות הקשות ביותר לאיתור הן התקפות רב-ממדיות. לדוגמה, שכבת האפליקציה ושכבת הרשת. פוגען המדמה מפעיל אשר יושב מול מחשב בקרה, יכול לבצע פעולות אשר לא יזוהו כחריגות על-ידי מערכות ההגנה של המחשב. אך אם יושוו עם התעבורה ברשת, אנו נגלה כי פעולות אלה הן חריגות וזדוניות. שימוש ב-AI יזהה דפוסים אלה.
שימוש ב-AI להגנה מפני התקפות הוא הכרחי, אך אין להסתמך עליה לבדה.
עם התקדמות הטכנולוגיה נוצר תהליך מואץ של פיתוח התקפות סייבר ומנגד פיתוח הגנות על מתקפות אלה. המנצח הוא המהיר מבין השניים. לשני הצדדים אין את המותרות להיות איטיים. שימוש ב-AI מייצר התקפות חדשניות ויצירתיות, כמו גם הגנות מפניהם.
עדיין מוקדם להישען על מערכות לומדות לצורך הגנה קרובה להרמטית של ארגון. לארגון חייב להיות סט כלים נוקשים של אמצעי הגנה, כאשר AI צריכה להיות הרובד המהיר הנוסף לזיהוי והגנה. מערכות ההגנה המסורתיות אמורות להוות הבסיס להגנה, עם סט חוקים נוקשה. מנגנוני ה-AI צריכים לקחת את סט החוקים הללו וליצור מהם סטים מתקדמים יותר ויותר.
אז מה צופן לנו העתיד? להערכתי, עד שנת 2035 עיקר מערכות ההגנה וההתקפה יתבססו על מערכות AI.
הכותב הוא חוקר סייבר למערכות בקרה לארגונים ממשלתיים ובין-לאומיים. מייסד חברת הסייבר ICS Security וממציא מוצר ההגנה SPARTA. בעל פטנט רשום. מבצע הערכות סיכונים לתשתיות קריטיות
לאתר >>> אילן שעיה
בשיתוף ISD
