كيف يُسهم الذكاء الاصطناعي من كاسبرسكي في تعزيز حماية نقاط النهاية؟

يُعدّ مشهد التهديدات اليوم أكثر خطورة من أي وقتٍ مضى. فلطالما كانت الجرائم الإلكترونية قطاعًا متخصصًا، إلا أن منفّذيها لا يكفون عن تطوير برمجيات خبيثة جديدة وابتكار أساليب هجومية أكثر تعقيدًا. تضمّ قاعدة بيانات كاسبرسكي الآن أكثر من 2.1 مليار عيّنة خبيثة، وهو رقم تضاعف خلال السنوات الخمس الماضية فقط. كما تكتشف أنظمتها الآلية أكثر من 467,000 تهديد جديد يوميًا، وهو عدد شهد أيضًا تضاعفًا ملحوظًا في الأعوام الأخيرة.
لقد تجاوزنا منذ زمن طويل المرحلة التي يمكن فيها التصدي لتهديدات البرمجيات الخبيثة بالاعتماد على التقنيات التقليدية وحدها. ولهذا السبب بدأت كاسبرسكي باستخدام الذكاء الاصطناعي قبل 20 عامًا، ولا تزال تعمل باستمرار على تطوير هذه التقنيات. وتؤمن الشركة بنهجٍ متعدد الطبقات للأمن السيبراني، حيث يمكن تعزيز كل طبقة منه عبر الاستفادة من قدرات الذكاء الاصطناعي.
فيما يتعلق بحماية نقاط النهاية، تمثّل طبقة التحليل الثابت خط الدفاع الأول. إذ تقوم حلول كاسبرسكي لنقاط النهاية بمراقبة مصادر الإصابة المحتملة، مثل تصفح الإنترنت، والبريد الإلكتروني، والشبكات المحلية، ومحركات أقراص USB القابلة للإزالة، إضافة إلى التطبيقات الجديدة، وفقًا للمنصة ونظام التشغيل. ويتم فحص جميع العناصر الواردة باستخدام محركات الفحص المزوّدة بعدد من تقنيات الذكاء الاصطناعي المتقدمة.
تستخلص محركات كاسبرسكي البيانات وتقوم بتحليلها لجمع الميزات، وهي معلمات فريدة تُستخدم لوصف كل العناصر بدقة. ويتم تمرير هذه الميزات (والتي يبلغ عددها الآلاف) إلى نماذج التعلّم الآلي (ML) القائمة على مجموعات خوارزميات. تُدرَّب هذه النماذج التنبؤية على مجموعات بيانات تضم ملايين الأمثلة المختارة بعناية، باستخدام خوارزميات مثل الغابة العشوائية وتعزيز التدرّج، وتستند إلى سلسلة من القرارات التحليلية .أحد هذه النماذج، وهو نموذج غابة PE، يكتشف يوميًا عشرات الآلاف من الملفات الخبيثة. وتُستخدم هذه النماذج سواء في السحابة أو على الحافة.
تُعدّ التجزئة المتشابهة تقنية مهمة أخرى تُستخدم في التحليل الثابت. وتُعرف أيضًا باسم التجزئة الحسّاسة للموقع، وهي إحدى أساليب الذكاء الاصطناعي التي تُستخدم للكشف عن الملفات الخبيثة المتقاربة المتشابهة. لإنشاء تجزئات التشابه، يستخلص النظام خصائص الملف ثم يستخدم التعلّم الإسقاطي المتعامد لتحديد أكثرها أهمية. وبعد ذلك، يُطبّق ضغطًا قائمًا على خوارزميات التعلّم الآلي لتحويل المتجهات ذات الخصائص المتشابهة إلى أنماط متقاربة أو متطابقة .توفر هذه الطريقة قدرة عالية على التعميم وتُقلّل بشكل ملحوظ حجم قاعدة سجلات الكشف، إذ يُمكن لسجل واحد أن يكتشف عائلة كاملة من البرمجيات الخبيثة متعددة الأشكال—أي تلك التي تُغيّر بنيتها في كل مرة تتكاثر فيها، مع الاحتفاظ بوظيفتها الأساسية.
تعمل البنية التحتية الموزّعة والمعقّدة لشبكة كاسبرسكي الأمنية (KSN)، إلى جانب أنظمة المعالجة التلقائية، كعقل إلكتروني عالمي يجمع بيانات التهديدات ويحلّلها من ملايين المستخدمين المشاركين طوعًا، مما يتيح الكشف الفوري عن التهديدات. يتولّى هذا النظام تحليل ملايين العينات يوميًا ومعالجة مليارات الإشعارات الواردة من شبكةKSN ، إضافة إلى تجميع معلومات حول الكائنات المشبوهة باستخدام مجموعة واسعة من تقنيات الذكاء الاصطناعي.
يقوم نظام السمعة Astraea بدمج جميع الإحصاءات مع البيانات الوصفية للكائنات المشبوهة على مستوى العالم في الوقت الحقيقي. وبعد إتمام التحليل، تُحتسب سمعة الكائن، وتُتاح معلومات التهديدات الجديدة فورًا لجميع المستخدمين عبر شبكة .KSN وإذا لم يمتلك Astraea بيانات كافية لاتخاذ قرار نهائي، فإنه يُعيد التحليل عند توفر معلومات إضافية.
يُعدّ نظام الكشف المعتمد على تجزئة التشابه تقنية أخرى تستند إلى التعلّم الآلي، وتهدف إلى اكتشاف أنماط التغيّر في البرمجيات الخبيثة. إذ يقوم المكوّن السحابي للنظام بجمع ميزات من ملفات متعددة قادمة من مصادر مختلفة، بما في ذلك أنظمة المعالجة التلقائية للبرمجيات الخبيثة داخل المختبر. وتُستخدم بعدها خوارزميات التعلّم الآلي لاستخلاص السمات المشتركة لعائلات الملفات الخبيثة المتشابهة. وبناءً على هذه السمات، تُنتج تجزئات التشابه (SH) وتُتاح لمستخدمي شبكة .KSN
وفقاً لقراءات كاسبرسكي، تُسهم هذه التقنية في حماية مئات الآلاف من العملاء يوميًا من التهديدات والبرمجيات الخبيثة الجديدة.
وفي مجال آخر، يُعد Cloud ML لنظام Android تقنية سحابية تحمي مستخدمي الهواتف الذكية التي تعمل بنظام Android. يتم تدريب النموذج على ملايين عينات البرامج الخبيثة للأجهزة المحمولة ويمكنه اكتشاف التطبيقات الخبيثة بدقة عالية، مما يغطي أكثر من 90% من التهديدات الجديدة وغير المعروفة ويمنع ملايين الهجمات على عملاء كاسبرسكي سنويًا.
وتستخدم أنظمة المعالجة التلقائية الداخلية في كاسبرسكي أيضًا الذكاء الاصطناعي على نطاق واسع. إلى جانب التقنيات المذكورة أعلاه، تستخدم نماذج تعلم آلي متقدمة لا يمكن تشغيلها على نقاط النهاية أو في السحابة (نظرًا لمتطلبات الموارد العالية) ولكنها تتميز بكفاءة ودقة. على سبيل المثال، تستخدم نماذج تعلم آلي قائمة على الشبكات العصبية المدربة على مئات الملايين من العينات المشروعة والخبيثة للعثور على برامج خبيثة جديدة ومنع النتائج الإيجابية الخاطئة. يكتشف النموذج أكثر من 80% من الملفات الخبيثة الجديدة من خلال أنظمة المعالجة التلقائية الخاصة به. تُحلل نماذج تعلم آلي أخرى سجلات السلوك وحركة المرور من صناديق الحماية الخاصة بها. ويتم الكشف عن العناصر الخبيثة بسرعة إلى نقاط النهاية المحمية بحلولها باستخدام خدمات شبكة KSN السحابية.
يُدرّب نموذج كاسبرسكي للكشف عن التصيّد الاحتيالي على الويب، الحاصل على براءة اختراع، على مجموعة بيانات شاملة تضم ملايين العينات للكشف عن صفحات الويب الخبيثة استنادًا إلى محتواها وبياناتها الوصفية. يعمل النموذج من خلال استخلاص رؤى متقدمة حول الأنماط التي تُعرّف صفحات التصيّد الاحتيالي، مما يضمن تحديدًا دقيقًا للتهديدات ويُمكّن من الكشف عن مئات الآلاف من موارد الويب التصيّدية سنويًا. صُممت اختبارات مكثفة وآليات تصفية متخصصة لتقليل النتائج الإيجابية الخاطئة مع الحفاظ على الدقة في هذا المجال.
تستخدم كاسبرسكي أيضًا الذكاء الاصطناعي للكشف عن النطاقات الخبيثة ونطاقات التصيّد الاحتيالي بناءً على علاقات بنيتها التحتية مع نطاقات التصيّد الاحتيالي المعروفة. يُنشئ رسمًا بيانيًا للنطاقات بناءً على بياناتها الوصفية وتحليلات DNS، ويستخدم نماذج تعلم آلي مخصصة للكشف عن إمكانية نشر التصنيف من رؤوس نطاقات التصيّد الاحتيالي أو الخبيثة المعروفة إلى المناطق المجاورة لها في الرسم البياني. تم تدريب هذا النموذج على ملايين النطاقات، ويمنع ملايين النقرات على روابط التصيد الاحتيالي سنويًا.
إذا لم يتم إيقاف التهديد قبل التنفيذ، يتم تفعيل طبقة الحماية الثانية. يراقب محرك الكشف السلوكي جميع سلوكيات العمليات باستخدام نموذج ذكاء اصطناعي سلوكي، وقوة شبكة KSN، ومعلومات من التحليلات الثابتة للكشف عن الأنماط الخبيثة وإيقاف السلوك الخبيث.
ولا يتوقف الأمر عند هذا الحد. فحتى في حال اختراق تهديد لطبقة التحليل الثابت، تتدخل الطبقة التالية - حلول أمنية متخصصة لعملاء مركز العمليات الأمنية (SOC) الخبراء.
يستفيد Kaspersky Next XDR من الذكاء الاصطناعي لتحسين فعالية فرق مركز العمليات الأمنية من خلال تقليل ضوضاء التنبيهات غير الضرورية، وتحليل الأحداث وشرحها تلقائيًا، واكتشاف السلوكيات الغريبة مثل هجمات اختطاف ملفات DLL. تستخدم بوابة Kaspersky Threat Intelligence الذكاء الاصطناعي لتلخيص بيانات معلومات التهديدات وتقليل العبء على المحللين. اقرأ المزيد عن ذلك هنا.
كما هو موضح أعلاه، تستفيد Kaspersky من التعلم الآلي عبر طبقات متعددة، من تحليل بنية الملفات إلى مراقبة السلوك، باستخدام أنواع مختلفة من الذكاء الاصطناعي. يغطي هذا السيناريوهات على الجهاز وعلى السحابة؛ على سبيل المثال، التعزيز التدريجي، والشبكات العصبية العميقة، ونماذج اللغات الكبيرة. توفر هذه التقنيات الحماية لملايين المستخدمين آنيًا، متكيفةً مع التطور الديناميكي للجرائم الإلكترونية.
باستخدام قوة الذكاء الاصطناعي، لا تكتفي كاسبرسكي باكتشاف البرامج الخبيثة المعروفة فحسب، بل تتنبأ أيضًا بالتهديدات الناشئة وتُحيّدها بدقة عالية . يضمن هذا النهج الاستباقي حماية المستخدمين من الهجمات المعقدة، مثل ثغرات يوم الصفري والبرمجيات الخبيثة متعددة الأشكال، التي تتطور باستمرار لتفادي الكشف.
علاوةً على ذلك، صُممت حلول كاسبرسكي المدعومة بالذكاء الاصطناعي للحد من الإيجابيات الزائفة، مع الموازنة بين الأمن القوي والكفاءة التشغيلية. ومن خلال التعلم والتحديثات المستمرة، تتكيف أنظمتها مع أنماط الهجمات الجديدة وطبيعة التهديدات، مما يحافظ على مستوى عالٍ من الدقة والموثوقية. وسواءً كان الهدف حماية الأجهزة الفردية أو شبكات الشركات أو البنية التحتية الحيوية، فإن تقنيات التعلم الآلي تُمكّن المستخدمين من البقاء متقدمين على مجرمي الإنترنت.