بقلم أولوابيلومي بانكول، باحث في نظم المعلومات والأمن السيبراني، جامعة نيفادا، لاس فيغاس
كل صباح، يستيقظ ملايين الأمريكيين في منازل مليئة بالأجهزة المتصلة. منظم الحرارة يعرف متى تغادر. كاميرا جرس الباب تراقب شارعك. المستشفى في نهاية الطريق يشغّل مضخات التسريب وأجهزة مراقبة المرضى وأنظمة التدفئة والتهوية وتكييف الهواء التي تتواصل عبر نفس فئة الشبكة التي تستخدمها ثلاجتك الذكية. وتكاد لا تكون أي من هذه الأجهزة محمية بشكل كافٍ.
لقد بنينا بنية تحتية استثنائية من الآلات المتصلة، ونحن ندافع عنها بأدوات مصممة لعصر مختلف.
هذه ليست مشكلة وعي. الأمن السيبراني يمثل أولوية فيدرالية قصوى. تنشر وكالة الأمن السيبراني وأمن البنية التحتية (CISA) تحذيرات أسبوعياً. تتدفق مليارات الدولارات إلى جدران الحماية للمؤسسات وحماية نقاط النهاية ومراكز عمليات الأمن. ومع ذلك، تستمر نقاط الهجوم في التوسع. اعتباراً من عام 2024، تستضيف شبكة الطاقة الأمريكية وحدها أكثر من 2.3 مليون جهاز IoT متصل، الكثير منها يعمل ببرامج ثابتة قديمة دون جدول تحديث ودون مراقبة.
الفجوة ليست بين ما نعرفه وما نخشاه. الفجوة بين أنظمة الحماية التي بنيناها والبيئات التي تحتاج تلك الأنظمة فعلاً للعمل فيها.
المختبر لا يشبه العالم الحقيقي إطلاقاً
تحسنت أنظمة كشف الاختراق، البرامج المصممة لتحديد النشاط الخبيث على الشبكة، بشكل كبير خلال العقد الماضي. يمكن لنماذج التعلم الآلي والتعلم العميق الآن تحديد أنماط الهجوم بدقة ملحوظة في إعدادات البحث. بنى المحولات المستعارة من معالجة اللغة الطبيعية، شبكات الذاكرة طويلة المدى القصيرة المدربة على بيانات حركة المرور المتسلسلة، نماذج المجموعات التي تجمع بين مصنفات متعددة: الأدبيات الأكاديمية مليئة بالأنظمة التي تحقق دقة 98 أو 99 بالمائة.
هذه الأرقام غالباً ما تكون مضللة.
يأتي رقم الدقة عادةً من مجموعة بيانات مختبرية، تم جمعها في ظروف خاضعة للرقابة، مع توزيعات حركة مرور نظيفة نسبياً، وتم اختبارها على نفس نوع البيانات التي تم تدريب النموذج عليها. شبكات IoT الحقيقية لا تبدو هكذا. إنها فوضوية وغير متجانسة ومتغيرة باستمرار. الأجهزة من عشرات المصنعين ترسل البيانات بتنسيقات مختلفة. تتغير أنماط حركة المرور عندما يقوم شخص ما بتثبيت جهاز جديد، أو تغيير روتين، أو ببساطة المغادرة لمدة أسبوع. والأهم من ذلك، الهجمات الفعلية هي أحداث نادرة في بحر من حركة المرور العادية.
عندما يتم تدريب نموذج على مجموعة بيانات حيث تشكل الهجمات 40 بالمائة من السجلات، ثم يتم نشره على شبكة حيث تمثل الهجمات 0.1 بالمائة من حركة المرور الفعلية، يتغير سلوك النموذج تماماً. لم يتعلم أبداً كيف تبدو الندرة الحقيقية. والنتيجة نظام يفوّت التهديدات التي صُمم لاكتشافها، بينما يولد ما يكفي من الإنذارات الكاذبة لإرهاق المحللين الذين يتعين عليهم مراجعتها.
مشكلة عدم التوازن الطبقي ليست هامشاً
في مجتمع البحث، يُطلق على عدم التطابق بين بيانات التدريب وظروف العالم الحقيقي اسم تقني: عدم التوازن الطبقي. إنه مفهوم جيداً، ويُدرس بنشاط، ويُقلل من قيمته باستمرار من قبل المؤسسات التي تنشر هذه الأنظمة.
إليك المشكلة الأساسية. يجب على نظام كشف اختراق الشبكة تصنيف كل حزمة أو تدفق حركة مرور إما كطبيعي أو خبيث. في الواقع، الغالبية العظمى من حركة المرور طبيعية. حركة مرور الهجوم هي الفئة الأقلية، وأحياناً تمثل أقل من واحد بالمائة من جميع الأحداث المرصودة. نماذج التعلم الآلي القياسية، المحسّنة لزيادة الدقة الإجمالية إلى الحد الأقصى، تتعلم بسرعة أن الاستراتيجية الأفضل هي ببساطة تصنيف كل شيء تقريباً على أنه طبيعي. تنتج تلك الاستراتيجية درجات دقة ممتازة. وتنتج نتائج كارثية في العالم الحقيقي.
النظام الذي يفوّت 80 بالمائة من الهجمات لأنه تم تدريبه لصالح الفئة الأغلبية ليس نظام حماية. إنه مربع اختيار للامتثال.
أظهرت الأبحاث في تقنيات مثل Adaptive SMOTE، التي تولد أمثلة اصطناعية لهجمات الفئة الأقلية لمساعدة النماذج على تعلم شكل التهديدات النادرة، وعداً حقيقياً. لكن هذه الأساليب تحتاج إلى التنفيذ بعناية، والاختبار مقابل مجموعات البيانات التي تعكس فعلاً ظروف النشر، والتقييم وفق المقاييس الصحيحة. الاستدعاء، أي النسبة المئوية للهجمات الفعلية التي يلتقطها النظام فعلياً، أهم بكثير من الدقة الإجمالية عندما تكون عواقب الكشف الفائت عبارة عن عدوى برامج الفدية في مستشفى أو حقن بيانات كاذبة في نظام التحكم في المرافق.
المشكلة متعددة الأبعاد التي لا يريد أحد حلها
هناك مشكلة ذات صلة تحظى بقدر أقل من الاهتمام: كيف نقرر ما إذا كان نظام كشف الاختراق جيداً بما يكفي للنشر.
معظم التقييمات تختار مقياساً أو مقياسين وتحسّن من أجلهما. الدقة شائعة. درجة F1 شائعة في الأوراق الأكاديمية. لكن نشر IoT في العالم الحقيقي يتطلب المفاضلة بين أربعة أبعاد متنافسة على الأقل في وقت واحد: دقة الكشف، والكفاءة الحسابية، ومعدل الإيجابيات الكاذبة، والقدرة على التكيف مع أنواع الهجمات الجديدة.
النظام الذي يكتشف 99 بالمائة من الهجمات المعروفة لكنه يستهلك قوة معالجة أكثر من جهاز IoT الذي يحميه ليس نظاماً قابلاً للنشر. النظام الذي يعمل بكفاءة لكنه يولد عشرة إنذارات كاذبة لكل تهديد حقيقي يخلق إجهاد التنبيه الشديد بحيث يتوقف المحللون عن التحقيق. النظام المحسّن لتصنيف الهجوم اليوم والذي لا يمكنه التكيف عندما يغير الخصوم تكتيكاتهم هو نظام له تاريخ انتهاء صلاحية معروف.
غياب إطار تقييم مشترك متعدد الأبعاد يعني أن المؤسسات التي تشتري أو تنشر أنظمة كشف الاختراق لا يمكنها إجراء مقارنات ذات مغزى. يمكن للبائع أن يدعي معدلات كشف رائدة في الصناعة بينما يحسّن بصمت مقياساً يبدو جيداً في عرض توضيحي ويفشل في الإنتاج.
ما الذي يحتاج إلى التغيير
يتطلب المضي قدماً تقليص المسافة بين ما يبنيه الباحثون وما ينشره المشغلون فعلياً.
أولاً، يحتاج مجتمع البحث إلى تقييم أنظمة كشف الاختراق مقابل توزيعات حركة مرور واقعية، وليس فقط مجموعات بيانات قياسية متوازنة. الاختبار مقابل CIC-IDS2017 أو NSL-KDD مع التكوينات الافتراضية ينتج أرقاماً خيالية بشكل أساسي عند مقارنتها بشكل شبكة مستشفى حقيقية أو شبكة ذكية.
ثانياً، تحتاج المؤسسات التي تنشر هذه الأنظمة إلى المطالبة بأدلة أداء متعددة الأبعاد قبل الشراء. معدل الكشف وحده ليس كافياً. اطلب معدلات السلبيات الكاذبة في فئات الهجوم النادرة. اطلب بيانات الأداء تحت قيود الميزانيات الحسابية. اسأل عن أداء النظام بعد ستة أشهر من النشر، عندما تكون أنماط حركة المرور قد تغيرت.
ثالثاً، والأكثر إلحاحاً، تحتاج الوكالات الفيدرالية المسؤولة عن حماية البنية التحتية الحرجة إلى وضع معايير تقييم دنيا لكشف الاختراق القائم على الذكاء الاصطناعي. أنتجت CISA و NIST أطر عمل ممتازة. ترجمة تلك الأطر إلى معايير أداء محددة وقابلة للاختبار لأنظمة أمن IoT هي الخطوة التالية.
الأجهزة المتصلة لن تختفي. المهاجمون الذين يستكشفونها لن يذهبوا إلى أي مكان أيضاً. السؤال هو ما إذا كانت الأنظمة التي نبنيها لحمايتها مبنية فعلاً للعالم الذي ستعمل فيه تلك الأنظمة، أم للعالم الذي تمنينا أن نعيش فيه عندما كتبنا بيانات التدريب.
أولوابيلومي بانكول باحث في نظم المعلومات والأمن السيبراني في جامعة نيفادا، لاس فيغاس، حيث يركز عمله على كشف الاختراق القائم على الذكاء الاصطناعي لشبكات IoT والحوسبة السحابية. وهو حاصل على ماجستير مزدوج في نظم المعلومات الإدارية والأمن السيبراني.
