גיא כספי - במה טובה יותר למידה עמוקה על לימדת מכונה באבטחת סייבר

התקפות סייבר רחוקות מלהיות סוגיה חדשה - אבל הן איום שהולך וגדל במהירות. ככל שהנפח והסוג של הטכנולוגיות המשמשות עסקים וצרכנים ממשיכים להתרחב, כך 'שטח פני ההתקפה' - משמע שגיאות התצורה, הפגיעויות, טעויות האנוש וכל חולשת אבטחה אחרת שמגדילה את הפוטנציאל להתקפת סייבר מוצלחת - גדל באופן אקספוננציאלי. כדי לעמוד בקצב של סביבת האיומים, ארגונים צריכים לחשוב מחדש על הגישה שלהם לאבטחה.

גיא כספי: "אתגר אבטחת הסייבר מתגבר"

לפי AVTest, מדי שעה מזוהים יותר מ־18,000 תוכנות זדוניות חדשות או יישומים לא רצויים. פירוש הדבר יותר מ־400,000 איומים חדשים ביום. לא משנה כמה גדול הארגון או כמה אנשים מונה צוות אבטחת ה־IT - נפח איומים כזה פשוט גדול מדי לכל תהליך ידני או התערבות אנושית. ארגונים חייבים להיות מסוגלים להכניס כמה שיותר אוטומציה לתהליך כדי לעמוד בקצב.
אולם מדובר באתגר שהוא יותר מאשר עניין המדרגיות. מה שחשוב עוד יותר הוא היכולת לזהות ולעצור באופן פרואקטיבי מתקפות לפני שהן מתרחשות. שלל כלי אבטחת סייבר מבטיחים לעזור לארגונים להתאים את הכלי לגודל הארגון כדי לנהל את נפח האיומים, ולהפריד את האות מהרעש כדי לזהות אירועי אבטחה שיש להעביר לצוות אבטחת ה־IT. אבל כלים כאלה מייצרים לעיתים קרובות כמות עצומה של התראות ותוצאות כוזבות, ויוצרים יותר עבודה לצוות אבטחת ה־IT במקום שיעצרו מתקפות.

הבעיה שעומדת בפני ארגונים היא שרוב אבטחת הסייבר היא תגובתית. הכלים שהם תלויים בהם כדי להגן על הסביבה שלהם מסתמכים על חתימות או על סימנים לפגיעה כדי לזהות איומים. המשמעות היא שהכלים האלה אינם יעילים נגד מתקפות "אפס ימים" או איומים לא מוכרים אחרים, מכיוון שהם טובים רק בזיהוי איומים שכבר ידועים וזה לוקח לחברות האלו דקות, שעות ואף ימים לזהות איום ולנטרל אותו בגלל השימוש בטכנולוגיית למידת מכונה מיושנת והצורך בתישאול הענן בזמן ארוע.

אבטחת סייבר ברשתות נירוניות עמוקות או מה שמכונה גם למידה עמוקה Deep Learning

זו משפחת אלגורתמים שיכולה וכבר משנה את כללי המשחק. למידה עמוקה היא תת־תחום של למידת מכונה. אלגוריתמים של למידת מכונה מצוינים לניתוח נתונים כדי לפתור בעיות - אבל יש להם מגבלות רבות ו-2 מרכזיות: למידת מכונה דורשת מומחה תוכן או בסייבר המון אנליסטים שינתחו ידנית התקפות רבות ביום, משימה בלתי אפשרית, הם צריכים לחלץ מאפיינים מכל התקפה שבסופו של דבר מייצרים מהם וקטור לאגוריתם - אירוע מאוד קשה עד בלתי אפשרי. אם רק תנסו לחשוב על 5 תכונות שמבדילות בין כלב ולחתול וניתו להגדיר אותן למכונה תראו כמה זה קשה עד בלתי אפשרי, שלא לומר שמדובר בתוכנה זדונית עם אלפי מאפיינים.

אלגוריתמים של למידה עמוקה יפתרו את אותה בעיה באמצעות רשתות נירונים עמוקות, שהן סוג של ארכיטקטורת תוכנה בהשראת המוח האנושי (אם כי אלה רשתות שונות מרשתות של נירונים ביולוגיים). רשתות הנירונים המלאכותיות בנויות משכבות מרובות של משתנים, שיודעים להתאים את עצמם למאפייני הנתונים המשמשים אותם לאימון, וכך הרשתות לומדות לבצע משימות כמו סיווג תמונות או המרת קול לטקסט.

למידה עמוקה היא תחום צעיר יותר, עם 5-6 חברות יחידות בעולם שהצליחו לרשום פטנטים ולפתח מסגרת במשפחת אלגוריתמים זו. בין החברות בתחום - גוגל, דיפ אינסטינקט, פייסבוק, אמזון וטסלה. יש מעט מאוד רשתות נירונים של למידה עמוקה, ורק אחת מהן משמשת להתמודדות עם האתגרים הנוכחיים באבטחת סייבר. רשת הלמידה העמוקה הזו שייכת ל־Deep Instinct.

מה שרואים ב 3 שנים האחרונות במשטחי ההתקפה - מבחינת התחכום, המורכבות והטכניקות של התקפות סייבר - זו ליגה אחרת חדשה לגמרי של איומי ייחוס.

ה־APTs והאיומים המורכבים יכולים לחמוק בקלות מרוב פתרונות האבטחה בשוק. רוב כלי אבטחת הסייבר הקיימים מחכים למתקפה לפני שהם מגיבים - מה שמאלץ את הארגון להגיב בדחיפות לאירוע אבטחה מתמשך. אין ספק שזו בעיה.

Deep Instinct פרסמה לאחרונה את הדוח הדו־שנתי שלה Voice of SecOps, שמצא כי לצוותי אבטחת IT לוקח בדרך כלל כ־24 שעות להגיב לאירוע סייבר מרגע שזוהה. זהו יום שלם של פעילות זדונית שנמשכת לאחר שכבר זוהתה ככזו.

"כל הרעיון מאחורי Deep Instinct" הוא לחזות ולמנוע לפני ההדבקה - לפני שמשהו יעבור למחשב האישי, למכשיר הנייד, לטאבלט, לשרת או לכל התקן אחר".

Deep Instinct עושה שימוש בלמידה עמוקה להשגת המניעה. הפתרון שלנו מנתח קבצים ווקטורים לפני הביצוע, וכך שומר על הלקוחות מוגנים ב"זמן אפס". לדבריו מהירות היא קריטית בסביבת האיומים הנוכחית, ואף שפתרונות רבים מבטיחים זמן אמת - זמן אמת הוא מאוחר מדי.

כוחה של למידה עמוקה

בסדר, אבל מהי בעצם למידה עמוקה? במה היא טובה יותר מלמידת מכונה רגילה וכיצד היא משפרת את אבטחת הסייבר?

אמחיש בעזרת דוגמה פשוטה "אם אציג לכם 100 תמונות של חתול וכלב, סביר שתצליחו לזהות איזו תמונה מראה חתול ואיזו מראה כלב, בדיוק של 100%. הסיבה לכך היא שלמדתם ועבדתם כמות עצומה של נתונים לאורך החיים, ולכן אתם יודעים מה זה חתול ומה זה כלב.

אבל איך אתם יודעים? אף שאנשים טובים מאוד בלזהות בקלות מתי מדובר בחתול ומתי בכלב, אם תבקשו מהם לתאר 5 תכונות שמגדירות מה מבחין בין חתול לכלב, מעטים האנשים שיצליחו לחשוב ולו על תכונה אחת כזו. הכוונה לתכונה מוחלטת שתעבוד בכל פעם. בסוף זה מסתכם ביכולת לזהות הבדלים עדינים ולהפעיל שיקול דעת כדי לזהות במדויק ובאופן שמתבסס על מה שכבר למדתם וצברתם לאורך כל החיים. בני האדם גרועים מאוד בתיאור תכונות ובחילוץ מאפיינים נכונים כיוון שאנחנו נולדנו לחשוב באופן לינארי וברור וכאשר נושאים שאינם לינארים מוצגים לנו ותבניות האיבחון וההתנהגות לא ברורות קשה לנו מאוד לחלץ אותן.

זה בדיוק מה שאנחנו עושים עם רשתות נירוניות. אנחנו מחקים את המוח ואת האופן שבו אנו חושבים על-ידי חשיפת רשת הנירונים העמוקה לכמות עצומה של נתונים - כמות נתונים שאף למידת מכונה אחרת בעולם לא יכולה לעבד ולעכל, כדי שהמערכת תלמד ותשתפר מדי יום ותוכל להתנהל באופן כמעט עצמאי, ללא צורך במומחי סייבר ותוכן לזהות איומים מכל סוג שהוא.
אם להמשיך את האנלוגיה, דמיינו שהזיהוי אם מדובר בחתול או בכלב היה מהלך תגובתי, כמו באבטחת סייבר. נניח שאתם יודעים לזהות חתולים אפורים, אבל אז מגיע חתול חום ופשוט אין לכם מסגרת התייחסות שתאפשר לכם לדעת שמדובר בחתול! רק כאשר מישהו אחר ינתח אותו ויצרף לו חתימה או אינדיקטור תדעו גם אתם לזהות אותו כחתול. תסכימו שזה מסורבל מאוד ולא יעיל ואם אנחנו מדברים על 400 אלף איומים חדשים מדי יום זה כבר הופך לבלתי אפשרי.

אבטחת סייבר פרואקטיבית עם למידה עמוקה

האוטומציה היא קריטית להגנה בשל הנפח האדיר ומנעד האיומים הרחב שארגונים מתמודדים איתם - אך למידת מכונה סטנדרטית היא מוגבלת מדי, עדיין דורשת המון כוונון, התערבות 24/7 אנושית בשלב התוכן ויכולות ניתוח הדאטה מוגבלת למעט מאוד אחוזים מסהכ המידע, יש צורך לעבד נתונים בענן מה שמייצר שיהוי ארוך בתגובה ועוד... אל מול למידה עמוקה או רשתות נירוניות עמוקות שמנתחות 100% מהמידע ומבצעות את החישוב במהירות "על קולית" ועל המכשיר עצמו ללא תשאול בענן מה שמאפשר להן לזהות איומים במהירות שיא בטרם ייכנוס לארגון. למידה עמוקה עושה את הקפיצה הנוספת קדימה בזכות היכולת להמשיך להתפתח וללמוד לאורך זמן, וכך לדעת לזהות ולחסום מראש גם איומים שעדיין לא הופיעו בעבר בדיוק כמו למידה התרחשת במוח שלנו שיודע לזהות ולקטלג דברים שלא ראינו קודם בזכות העובדה שנחשפנו להמון דאטה כל יום.

לקריאת ראיונות נוספים עם גיא כספי