التأمين المرن .. يكشف ويفهم سلوك المهاجم ويصده بإجراء لحظي

Business and technology concept. Graphical user interface.
“التأمين المرن” مفهوم جديد في أمن المعلومات، ظهر خلال الأشهر الماضية، ويقوم علي تأمين نظم وشبكات المعلومات والبيانات استنادا إلي فهم ومعرفة سلوك المهاجم في شن الهجمة، بمجرد بدء الهجمة أو رصد أولي الدلائل علي وقوعها، واستخدام الفهم اللحظي لسلوك المهاجم في التحول من الدفاع إلي الهجوم، استنادا إلي تطبيق قواعد حماية وتأمين، تمزج بين قواعد سابقة مستقرة محددة سلفا، وحالية قيد التشغيل، وثالثة جديدة ومبتكرة، يتم وضعها من وحي الفهم اللحظي لسلوك المهاجم وطبيعة الهجمة، ويشكل التأمين بهذه الطريقة نهجا مختلفا عن الكثير من أساليب ومنهجيات التأمين الحالية، التي لا تلقي بالا لمسألة تعلم وفهم سلوك المهاجم، وتستند دوما لقواعد ثابتة سابقة الإعداد والتجهيز.

حلقة جديدة في صراع خبراء أمن المعلومات ومحترفي الإجرام
يطبق قواعد حماية سابقة وحالية ومبتكرة لحظة وقوع الهجوم
يقلب الدفاع إلي هجوم استنادا “للفهم اللحظي” لسلوك المهاجم
من أوائل نظم وأدوات التأمين التي استندت لهذا النهج نظام امن معلومات طورته شركة “كرونيكل” لأمن المعلومات، التابعة لخدمة جوجل للحوسبة السحابية ” جوجل كلاود”، ويحمل اسم “كرونيكل ديتكت”، وعرض سونيل بوتي المدير العام ونائب الرئيس لهندسة أمن المعلومات بخدمة جوجل السحابية، جانب من تفاصيله، عبر المدونة الخاصة بخدمة جوجل للحوسبة السحابية cloud.google.com/blog، وتوحي التفاصيل المنشورة عن النظام، أن النهج الجديد يفسح المجال لمنح أداة التأمين حرية أوسع في الخيارات التي تقررها حيال الهجمات القائمة، ويجعل الاسبقية في التعامل مع الهجمة لما يمكن ابداعه من تكتيكات لحظية مبتكرة وجديدة، مستلهمة مما أمكن معرفته وفهمه عن سلوك المهاجم، وطريقته في الهجوم، وليس ما تم وضعه من إجراءات وقواعد مسبقة، ويلعب الذكاء الاصطناعي، وتقنيات تعلم الآلة الدور المحوري في تطبيق هذا النهج.
لغة برمجة متقدمة
بحسب ما عرضه عرض سونيل بوتي فإن نظام “كرونيكل ديتكت” المستند لنهج التأمين المرن، تم بناؤه بلغة برمجة تعرف باسم ” يارا ـ إل”، أو لغة وصف لغة سلوكيات التهديد، وهي لغة مفتوحة المصدر  متخصصة في مجال أمن المعلومات، ومستخدمة على نطاق واسع لكتابة القواعد القادرة على اكتشاف البرامج الضارة والخبيثة والفيروسات، وعمليات التلصص، وغيرها من هجمات المجرمين.
استخدمت ” يارا ـ إل” في وضع بناء برمجي كودي، يطلق عليه ” محرك القواعد”، قادر علي ابتكار ووضع قواعد اكتشاف وتشخيص وصد لحظية، تستند كلية إلي توصيف وفهم سلوك المجرمين، وتكتيكاتهم في الهجوم، ويأتي هذا التوصيف والفهم من خلال التحليل اللحظي لكميات ضخمة من البيانات المتداولة عبر الشبكة أو الأجهزة المطلوب حمايتها وتأمينها، سواء كانت تخص مستخدمي هذه الشبكة، أو المهاجمين.
من هنا يمكن القول أن البناء البرمجي المتمثل في” محرك القواعد”، يجعل قواعد رصد وصد الهجمات الأمنية، مرنة ومتغيرة على مدار الوقت، عكس ما هو سائد حاليا، لكونها تمزج بين القواعد القديمة وسابقة الإعداد، والقواعد الجديدة المبنية على آخر الحوادث والهجمات التي تعرض لها النظام، والقواعد اللحظية التي يتم وضعها بناء على التحليلات الجارية للبيانات المتداولة عبر الشبكة منذ لحظة بدء الهجوم.
التنفيذ العملي للمفهوم
عند تطبيقه لمفهوم الأمن المرن عمليا، يدخل نظام “كرونيكل ديتكت” في حالة تفاعل لحظي تام مع سجلات الأمان ببيئة العمل القائمة، ومع أدوات قياس البيانات الأخرى، مثل بيانات “إي دي آر” المستخدمة في رصد الهجمات الأمنية، وبيانات حركة المرور عبر الشبكة، كما يقوم بربط أحداث متعددة تلقائيًا في جدول زمني واحد. فعلى سبيل المثال ، يمكنه أن يربط بنية البيانات الجديدة تلقائيًا الإجراءات التي تبدو متباينة من موظف، مثل تلقي بريد إلكتروني به رابط ، وتسجيل الدخول إلى صفحة ويب مزيفة ، وتنزيل ملف برنامج ضار على جهازه بعد خرق البيانات، ويربط النظام بين هذه الوقائع تلقائيا ولحظيا، ويضع قاعدة للتعامل معها، ويبدأ بتنفيذها على الفور، مما يجعل أداء النظام أقرب للهجوم منه إلي الدفاع، بسبب السرعة في التقاط المعلومات وتحليلها، ووضع قاعدة للتعامل مع الموقف وتنفيذها، وهو عكس ما يحدث حاليا، حيث يتعين على محلل الأمان جمع كل هذه البيانات يدويا من مصادرها الثلاثة، ثم يدرسها ليعرف إن كانت مترابطة وتنم عن سلوك متصل بهجمة أم لا، وبالطبع يستغرق ذلك الكثير من الوقت والجهد، يمكن للمهاجم أن يستغله في تنفيذ هجمة ناجحة، بينما محلل أمن المعلومات لا يزال يدرس ما يجري.
تعاون وثيق بأدوات اخري
تقتضي الحرية الممنوحة للنظام، في ابتكار القواعد المناسبة للهجوم، أن يكون علي ارتباط وثيقا أيضا بالعديد من الأدوات والأنظمة العاملة في بيئة العمل المسئول عن حمايتها، وفي هذه النقطة قال مسئولو شركة كرونيكل أن النظام يتكامل ويرتبط مع تقنيات أخري، منها تقنية “ويب ريسك آية بي آي” التابعة لشركة بالو اآلتو نيتوركس، وتقنية “ريكابوتشا” من شركة كورتيكس إكس سكور، وكلتاهما من التقنيات واسعة الانتشار في مجال تأمين الشبكات ونظم المعلومات والخدمات السحابية، وتستخدمهما المؤسسات والشركات لحماية حسابات المستخدمين من الأنشطة الاحتيالية على الويب. وأنشطة الكشط وإساءة استخدام بيانات الاعتماد وإنشاء الحساب تلقائيًا. وتحديد المواقع السيئة المعروفة ، وتحذير المستخدمين قبل النقر فوق الروابط السيئة على موقع المؤسسة ، ومنعهم من نشر روابط إلى صفحات ضارة معروفة، كما يسمح النظام بالوصول إلي العديد من مصادر البيانات والمعرفة الجديدة والمتجددة في مجال أمن المعلومات، مثل نظام جوجل لاستخبارات التهديدات، وعدد من الخلاصات التجارية والصناعية التي تساعد في الكشف عن أحد البرامج الإجرامية والضارة وغير المرغوب فيها.
والعمل علي هذا النحو يعني أن الأنظمة والأدوات التي تطبق مفهوم الأمن المرن، تسمح لمحللي الأمن، بكتابة قواعد مناسبة بشكل أفضل لاكتشاف جميع أنواع التهديدات الحديثة الموضحة في منصة ” ميتر آية تي تي” التي تنظم وتصنف أنوع التكتيكات والتقنيات التي يستخدمها المجرمون في هجماتهم، ولأن النظام يعتمد نهج ” التعلم المستمر” ، فهو يسمح بتنفيذ القواعد التي يعمل عليها بأثر رجعي وقابل للتطوير على نطاق واسع.