هامش الخطأ أكبر مما يقوله البائع. وسيؤدي البريد الوارد الخاص بالوكيل قريبًا إلى تفاقم الأمور بشكل كارثي.
قبل أسبوعين من الانتخابات الرئيسية، تنشر المنظمة الانتخابية المحترمة أحدث بياناتها. يتقدم المرشح أ بثلاث نقاط. هامش الخطأ: زائد أو ناقص أربعة. الرصاص أقل من هامش الخطأ.
العنوان يقرأ “المرشح أ يؤدي”. يقوم الملايين من الأشخاص بتكوين آراء بناءً على رقم لا يمكن تمييزه إحصائيًا عن رمي العملة المعدنية.
والآن استبدل عبارة “نتيجة الانتخابات” بكلمة “هذه”. البريد الإلكتروني ضار” و”منظمة المسح” على منصة أمان البريد الإلكتروني.
عندما يقوم نظام أمان البريد الإلكتروني الخاص بك بوضع علامة على رسالة ما، هناك درجة احتمالية وراء هذا القرار. 0.73. 0.81. 0.67. تبدو هذه الأرقام دقيقة. إنهم ليسوا كذلك. يوجد خلف كل نتيجة فاصل ثقة يتم تحديده حسب جودة بيانات التدريب وعدد الأمثلة التي شاهدها النموذج لفئة الهجوم المحددة.
وعندما يكون كلاهما مرتفعا، يكون النطاق ضيقا والنتيجة كبيرة. وعندما يكون أي منهما منخفضا، يزداد الفاصل الزمني. ويقول النموذج إنه واثق بنسبة 73%، لكن لديه هامش خطأ لم يكشف عنه.
بالنسبة لأنواع الهجمات الضخمة والمستقرة مثل التصيد الاحتيالي الجماعي والبريد العشوائي، تكون بيانات التدريب وفيرة. لقد قام النموذج بفحص الملايين من الأمثلة المؤكدة. هامش الخطأ صغير. ومع ذلك، عندما يتعلق الأمر بالهجمات التي تجعل قادة الأمن مستيقظين في الليل، فإن الصورة مختلفة تمامًا.
الهجمات التي لم يتم تدريب نموذجك عليها من قبل
يعمل التصيد الاحتيالي المنافس في الوسط عن طريق إعداد العكس الوكيل بين الضحية وخدمة المصادقة الشرعية. يقوم الضحية بالنقر فوق الرابط، وإدخال بيانات الاعتماد الخاصة به، وإكمال تحدي MFA، والمصادقة بنجاح.
يلتقط الخادم الوكيل ملف تعريف الارتباط للجلسة المباشرة. أصبح لدى المهاجم الآن وصول موثق دون الحاجة إلى كلمة مرور. وزارة الخارجية ليست مكسورة. يتم تجنب هذا. حدث المصادقة وقع بشكل قانوني. لقد اعترض المهاجم للتو الأدلة.
وهذا ما يجعل هذا نوعًا مختلفًا من مشكلة اكتشاف تعلم الآلة. غالبًا ما يكون البريد الإلكتروني الذي يبدأ الهجوم نظيفًا تمامًا من جميع النواحي. قد تكون البنية التحتية للإرسال مشروعة. قد يكون عنوان URL عبارة عن رابط SharePoint حقيقي.
الهندسة الاجتماعية مناسبة للسياق. لا يوجد أي مرفق ضار، ولا حمولة مشبوهة، ولا يوجد مجال مسجل بالأمس. كل إشارة تم تصميم نماذج التعلم الآلي للتعرف عليها على أنها تشير إلى وجود بريد إلكتروني ضار مفقودة. يركز الهجوم بشكل خاص على هذه الإشارات لأن المهاجمين يفهمون بالضبط ما تبحث عنه النماذج.
مشكلة بيانات التدريب تجعل الأمر أسوأ. يبلغ عمر AiTM بضع سنوات فقط على النطاق التشغيلي. تعتبر العينة التي تم وضع علامة عليها من رسائل البريد الإلكتروني المؤكدة لـ AiTM صغيرة مقارنة بهجمات السلع.
والأسوأ من ذلك هو أن بيانات التدريب متحيزة بشكل منهجي: فالنماذج تتعلم بشكل أساسي من متغيرات AiTM التي تم اكتشافها في النهاية بواسطة طرق أخرى وتم وضع علامة عليها بأثر رجعي. المتغيرات المتطورة التي لم يتم اكتشافها لم تدخل أبدًا إلى مجموعة التدريب. لم يتم القبض عليهم، لذلك لم يتم وضع علامة عليهم، لذلك لم يتعلم النموذج منهم أبدًا.
من المحتمل أن تكون هذه مشكلة تتعلق بشاشة الناخبين التي تتداخل مع التصويت الانتخابي. إن منظمي الاستطلاعات الذين يصلون فقط إلى المجيبين على الهاتف لا يقومون بأخذ عينات من الناخبين. الأشخاص الذين يردون على الهواتف يحاولون. يحتوي كاشف AiTM الخاص بك على نفس العيب الهيكلي. إنه يصمم الهجمات التي يمكنه رؤيتها، وليس الهجمات التي كان عليه أن يلتقطها.
يُبلغ النموذج عن ميزة ثلاث نقاط مع هامش خطأ قدره أربع نقاط. لوحة المعلومات الخاصة بك ببساطة لا تظهر هامش عمود الخطأ.
قراراتك المتعلقة بتكنولوجيا المعلومات تحطم افتراضاتك
تتمثل الطريقة الثانية لتعلم الآلة في اكتشاف عمليات الاستيلاء على الحساب في اكتشاف الانحرافات السلوكية. أنشئ خطًا أساسيًا لما يبدو عليه كل حساب عادةً. ضع علامة على الانحرافات المهمة. تمت الموافقة على التحويل في الساعة 3:00 من حساب لا يعمل أبدًا في ذلك الوقت. زمن استجابة أقل من دقيقة من شخص يستغرق عادةً ساعات للرد. تسجيل الدخول من موقع جغرافي غير معروف متبوعًا مباشرة بالنشاط المالي.
كانت هذه إشارات موثوقة في عالم أبسط. العالم لم يعد بسيطا.
فكر في الشكل الذي يبدو عليه هذا من منظور النموذج الأساسي السلوكي. لدى البشر بصمة مميزة تراكمت على مر السنين: توقيت غير متناسق، وأخطاء مطبعية عرضية، وتأخير استجابة متغير. تبدو رسائل البريد الإلكتروني الواردة من هاتفك أثناء حركة المرور مختلفة عن رسائل البريد الإلكتروني المكتوبة على مكتبك. من الواضح أن التوقيع بشري.
يرسل وكيل Copilot استجابات مثالية نحويًا ومنسقة بشكل متسق مع تأخير أقل من دقيقة، بغض النظر عن الوقت من اليوم. يبدأ وكيل الجدولة على فترات زمنية محددة. يستجيب وكيل سير العمل المالي لتشغيل العبارات بدقة نموذجية في كل ساعة يتم فيها استيفاء الشرط. من منظور النموذج، يبدو البريد الوارد الآن وكأنه ثلاثة أو أربعة جهات فاعلة مختلفة تعمل من خلال حساب واحد.
من الناحية التشغيلية، يشبه هذا ما يبدو عليه الحساب المخترق مع طبقة الثبات التي قام المهاجم بتثبيتها.
يمكن للفرق الأمنية معالجة هذا الأمر جزئيًا. يمكنك تصنيف النشاط الذي ينشئه الوكيل بوضوح في مسار الاكتشاف الخاص بك، وتقسيم الخطوط الأساسية حسب نوع الممثل، وإنشاء ملفات تعريف سلوكية منفصلة لحركة المرور البشرية والآلية. بعض الفرق تقوم بذلك بالفعل.
ومع ذلك، لا يعمل هذا القيد إلا إذا تم جرد كل وكيل، وتم وضع علامة على كل عملية تكامل، وظلت التسميات محدثة عند إضافة الوكلاء وتحديثهم. ومن الناحية العملية، تتجاوز عمليات نشر الوكلاء وعي فرق الأمن. وحتى إذا دخل نشاط أحد العوامل إلى جسم الإنسان دون وضع علامات عليه، فسوف يتحد التلوث بصمت. يمتص النموذج سلوك الوكيل كسلوك إنساني. ما كان في السابق حالة شاذة يصبح الوضع الطبيعي الجديد. يتغير خط الأساس على التضاريس المهددة.
لا تزال هناك مشكلة هيكلية أكثر صعوبة: حتى مع وضع العلامات المثالية، فقد قمت بتوسيع تعريف “سلوك الحساب العادي” ليشمل الأنشطة الآلية خارج ساعات العمل والتي تكون مثالية نحويًا وبزمن انتقال أقل من دقيقة. إن المهاجم الحقيقي الذي يعمل بالتنسيق مع عملاء شرعيين يندرج الآن ضمن هذا التعريف الموسع. لقد ضاقت بالفعل المساحة السطحية للإشارة السلوكية.
ماذا يفعل القائمون على المقابلات الجيدون عندما تتعطل نماذجهم؟
إن أفضل المنظمات البحثية لا تتخلى عن النماذج الكمية عندما تتسع فترات الثقة. إنهم يفعلون شيئًا أكثر انضباطًا. إنهم يعترفون بوضوح بعدم اليقين في كيفية توصيل النتائج التي توصلوا إليها.
فبدلاً من الثقة في نموذج واحد، يقومون بالتثليث بناءً على مصادر بيانات مستقلة. تحمل بعض الإشارات وزنًا أكبر عند تشغيل النموذج خارج ظروف التدريب. والأهم من ذلك أنهم يتعاملون مع نتائج الاستطلاع على أنها احتمالات مسبقة، وليس استنتاجات. يخبرك النموذج بمكان البحث. لا يخبرك ماذا تختار.
لكني أريد أن أكون صادقًا بشأن ما يتطلبه هذا الأمر بالفعل، لأنه أصعب مما يبدو ولم تتمكن الصناعة من حله بعد.
للكشف عن الهجمات الموصوفة أعلاه، تعتبر الأسئلة التالية مهمة: هل طلب المصادقة منطقي بالنظر إلى من أرسله ومن استلمه وما هي العلاقة بينهما وما يتطلبه سير عمل المؤسسة عادةً في هذه المرحلة؟ هل تحديد مدى الاستعجال يتوافق مع الطريقة التي تواصل بها المقاول في الماضي؟ هل يمكن لأي شخص عاقل ومطلع يفهم سياق هذه المنظمة أن يجد هذه الرسالة الإلكترونية مشبوهة، حتى لو بدا كل سطح نظيفًا؟
هذه ليست أسئلة مطابقة للنمط. هذه أسئلة مبررة. ولم يتمكن أي شخص في الصناعة، بما في ذلك شركتي، من سد الفجوة بشكل كامل بين ما يمكن أن تفعله مطابقة أنماط تعلم الآلة وما يتطلبه المنطق السياقي. ونحن جميعا نسير في هذا الاتجاه من اتجاهات مختلفة. بعض الأساليب سوف تنجح. البعض لا. التقييم العادل هو أن المشكلة صعبة حقًا وأن الأدوات لا تزال قيد التحسين.
ما يمكن لقادة الأمن فعله الآن هو التوقف عن التعامل مع نتائج الكشف كأحكام. مطالبة مقدمي الخدمة بالكشف عن فترات الثقة إلى جانب درجات الاحتمالية. عمليات نشر وكيل الأداة كأحداث أمنية بنفس الدقة التي تطبقها على توفير المستخدم الجديد.
قم ببناء تحليلك الخاص بأثر رجعي لما حدث، لأن نمذجة الفجوة بين الكشف والواقع أكثر قيمة من تحسين الكشف الذي لديك بالفعل.
هامش الخطأ أكبر مما تظهره لوحة المعلومات. الخطوة الأولى هي جعلها مرئية.
فهم الأمن السيبراني بشكل أفضل مع أفضل دورات الأمن السيبراني عبر الإنترنت.
تم إنشاء المقالة كجزء من توقعات TechRadar بروتعرض قناتنا أفضل وألمع العقول في صناعة التكنولوجيا اليوم.
الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالتعاون، يمكنك العثور على مزيد من المعلومات هنا: https://www.techradar.com/pro/perspectives-how-to-submit
