การแตะ AI สำหรับระบบตรวจจับการบุกรุก

อุปกรณ์ Internet of Things (IoT) ได้เพิ่มพื้นผิวการโจมตี สร้างจุดเข้าและออกเพิ่มเติมสำหรับระบบใด ๆ ที่ใช้งานอยู่

Rebecca Herold สมาชิก IEEE และ CEO กล่าวว่า โดยปกติแล้ว ระบบตรวจจับการบุกรุก (IDS) แบบดั้งเดิมจะอิงตามกฎเป็นหลัก และไม่สามารถตามทันภัยคุกคามที่เกิดขึ้นใหม่ ซึ่งเปิดตัวอย่างต่อเนื่องจากอุปกรณ์ IoT และผู้ก่อตั้งที่ปรึกษา The Privacy Professor

“ตามที่เกี่ยวข้องกับ IoT IDS ไม่เพียงต้องตรวจสอบอุปกรณ์ IoT เท่านั้น แต่ยังต้องระบุภัยคุกคามจากส่วนประกอบอื่น ๆ ที่เกี่ยวข้องกับผลิตภัณฑ์ IoT เต็มรูปแบบด้วย” เธอกล่าว

ดังนั้น IDS จำเป็นต้องปฏิบัติต่อสิ่งต่อไปนี้เป็นแหล่งบุกรุกที่อาจเกิดขึ้น: ระบบแบ็คเอนด์ของ IoT เช่น บริการคลาวด์ที่รองรับ พร้อมกับแอปพลิเคชันมือถือที่เชื่อมต่อกับอุปกรณ์ IoT ฮับภายใน และฮับระยะไกลอื่น ๆ ภายใน IoT ระบบนิเวศของอุปกรณ์และองค์ประกอบการเชื่อมต่อประเภทอื่นๆ Herold กล่าว

IDS ที่อิงตามกฎกับ IDS ที่อิงตาม AI เพื่อตรวจจับการโจมตีของ IoT

Ariel Zeitlin, co. กล่าวว่า IDS ที่อิงตามกฎจะมองหาพฤติกรรมการโจมตีที่ทราบและแจ้งเตือน (เช่น IDS ที่ใช้ลายเซ็นมาตรฐาน) ในขณะที่ IDS ที่ใช้ปัญญาประดิษฐ์ (AI) จะมองหาการเบี่ยงเบนจากรูปแบบพฤติกรรมที่ได้รับจากอัลกอริทึม AI -ผู้ก่อตั้งและซีทีโอ Guardicore

อย่างไรก็ตาม แนวทางที่อิงตามกฎมักล้มเหลวใน IoT เนื่องจากเรามีการโจมตีน้อยมากให้ตรวจสอบ ตามข้อมูลของ Jamison Utter ผู้อำนวยการอาวุโสฝ่ายเผยแพร่ผลิตภัณฑ์และโซลูชันของ Ordr

“ฟิลด์นี้ใหม่มากจนถึงตอนนี้ เราเห็นการโจมตีด้วยรหัสผ่านและการโจมตีทางอุตสาหกรรมเฉพาะทางสองสามอย่าง” เขากล่าว “ภัยคุกคาม IoT ทั้งหมดจะเป็นและควรได้รับการพิจารณาว่า 'ไม่รู้จัก' และ ML [แมชชีนเลิร์นนิง] คือวิธีการตรวจจับสิ่งนั้น ข่าวดีก็คืออุปกรณ์ต่างๆ ถูกกำหนดไว้แล้ว โดยจะทำงานและทำงานเดิมๆ เหมือนเดิมทุกวัน มิฉะนั้น อุปกรณ์จะเสียหาย ดังนั้นจึงเป็นแอปพลิเคชันที่ยอดเยี่ยมสำหรับเทคโนโลยี AI/ML”

IDS ที่ใช้ AI ทำงานอย่างไรเพื่อตรวจจับการโจมตีของ IoT

IDS ที่ใช้ AI นั้นยังอยู่ในช่วงเริ่มต้นและโดยทั่วไปยังคงเป็นผลิตภัณฑ์ประเภทใหม่สำหรับการรักษาความปลอดภัยผลิตภัณฑ์ IoT อย่างแน่นอน Herold กล่าว

“สิ่งที่ทำให้ IDS ที่ใช้ AI เป็นตัวเลือกที่น่าสนใจคือการที่ AI สามารถว่องไวและมีประสิทธิภาพมากขึ้นภายในระบบนิเวศที่หลากหลายซึ่งมีการใช้อุปกรณ์ IoT” เธอกล่าว “ตัวอย่างเช่น ภายในระบบไซเบอร์ฟิสิคัลที่ปรับขนาดได้อย่างมากซึ่งมีอุปกรณ์ IoT จำนวนมากที่อาจเชื่อมต่อและตัดการเชื่อมต่อกับระบบนิเวศได้ตลอดเวลา และในที่ที่มีการวิเคราะห์ข้อมูลอย่างต่อเนื่องทั่วทั้งเครือข่ายบริเวณกว้างที่ซับซ้อน”

Scott Laliberte กรรมการผู้จัดการกลุ่มเทคโนโลยีเกิดใหม่ Protiviti กล่าวว่า IDS ที่อิงตามกฎจะมองหาลายเซ็นเฉพาะหรือชุดรูปแบบในการรับส่งข้อมูล เช่น คำสั่งเฉพาะ คำสำคัญ และ/หรือรูปแบบการรับส่งข้อมูล

IDS ที่ใช้ AI/ML พยายามที่จะเรียนรู้/เปรียบเทียบทราฟฟิกเครือข่ายรูปแบบปกติหรือทั่วไปที่สร้างโดยอุปกรณ์ IoT และระบุความผิดปกติตามอัลกอริทึมและการเบี่ยงเบนจากทราฟฟิกรูปแบบปกติหรือทั่วไปเหล่านั้น เขากล่าว

อุปกรณ์บางอย่างทำงานแตกต่างจากปกติหรือแตกต่างจากกลุ่มเพื่อนหรือไม่? การกระทำหรือการโจมตีที่ผสมผสานกันนั้นดูคล้ายกับการโจมตีอื่นๆ หรือบ่งชี้ว่าการโจมตีที่เป็นไปได้อาจกำลังเกิดขึ้นหรือไม่?

“IDS ที่ใช้ AI/ML อาจมีประสิทธิภาพมาก หากได้รับการพัฒนาอย่างเหมาะสม แต่ต้องใช้อัลกอริทึมที่มั่นคง ชุดข้อมูลที่ดีสำหรับการฝึกอบรม และความเชี่ยวชาญในการปรับและปรับปรุงโมเดล” Laliberte กล่าว “วิธีการที่ใช้ AI/ML ต้องการการปรับแต่งโดยผู้ดำเนินการเพื่อให้มีค่า”

โดยทั่วไปแล้ว IDS ที่ใช้ AI จะพยายามสร้างแบบจำลองของพฤติกรรมปกติของอุปกรณ์ที่เชื่อมต่อ จากนั้นตรวจจับการเบี่ยงเบนจากพฤติกรรมนี้ Zeitlin กล่าว โดยเฉพาะอย่างยิ่ง อาจพยายามระบุอุปกรณ์โดยการพิมพ์ลายนิ้วมือจากเครือข่าย จากนั้นระบุความเบี่ยงเบนของพฤติกรรมทั่วไปของอุปกรณ์ดังกล่าวในโลกแห่งความเป็นจริง

ประโยชน์ของการใช้ AI-Based IDS เพื่อตรวจจับการโจมตีของ IoT

ระบบ IDS ที่ใช้ AI มีความสามารถที่เหนือกว่าในการระบุภัยคุกคามแบบอัตโนมัติ ซึ่งโดยทั่วไปจะทำด้วยโมเดลการเรียนรู้ของเครื่อง Chuck Everette ผู้อำนวยการฝ่ายสนับสนุนความปลอดภัยทางไซเบอร์ของ Deep Instinct กล่าวว่าอัตราความแม่นยำสามารถอยู่ในช่วงตั้งแต่ 80 เปอร์เซ็นต์ไทล์ไปจนถึง 90 เปอร์เซ็นต์ไทล์ต่ำ

“การเรียนรู้เชิงลึก ซึ่งเป็นส่วนย่อยขั้นสูงของการเรียนรู้ของเครื่อง สามารถรับคะแนนความแม่นยำสูงถึง 99% ด้วยโซลูชันการป้องกันที่เหมาะสม” เขากล่าว “ด้วยการฝึกอบรมที่เหมาะสม การเรียนรู้เชิงลึกสามารถคิดได้เหมือนจิตใจมนุษย์ และตัดสินใจได้ภายในเสี้ยววินาที โดยตัดสินใจว่าไฟล์หรือโฟลว์เครือข่ายเป็นอันตรายหรือไม่เป็นอันตราย”

Herold กล่าวว่าการใช้ IDS ที่ใช้ AI ที่ได้รับการออกแบบทางวิศวกรรมและผ่านการทดสอบอย่างละเอียดถี่ถ้วนสามารถช่วยระบุสัญญาณของการบุกรุกหรือการโจมตีที่เปิดตัวจากอุปกรณ์ IoT ที่ถูกบุกรุกได้เร็วกว่า IDS รุ่นก่อนหน้า สิ่งนี้สามารถช่วยหยุดการเข้าถึงที่แพร่หลายผ่านระบบนิเวศดิจิทัลซึ่งมีอุปกรณ์ IoT ที่ถูกบุกรุกอยู่

“IDS ที่ทำงานด้วย AI ยังสามารถช่วยให้ฝ่ายตั้งรับดำเนินการได้รวดเร็วขึ้นเพื่อชะลอการโจมตี” เธอกล่าว “เครื่องมือที่ใช้ AI ได้รับการออกแบบมาเป็นอย่างดีสามารถตรวจจับการโจมตีที่ขอบของเครือข่ายได้โดยอัตโนมัติ เช่นเดียวกับการโจมตีที่เปิดตัวจากภายในระบบนิเวศดิจิทัล”

ความท้าทายในการใช้ IDS ที่ใช้ AI เพื่อตรวจจับการโจมตีของ IoT?

ความท้าทายในการพัฒนาและปรับใช้ IDS ของ IoT ที่ใช้ AI/ML นั้นอยู่ที่ว่าเราอยู่ในช่วงเริ่มต้นของวัฏจักร IoT มากน้อยเพียงใด และสถาปัตยกรรมการใช้งานที่ไม่สอดคล้องกัน ซึ่งอาจทำให้การใช้ IDS ที่ใช้ AI อย่างมีประสิทธิภาพเป็นไปได้ยาก” Laliberte กล่าว

“การขาดความสอดคล้องของโปรโตคอลและมาตรฐานใน IoT ทำให้การพัฒนา AI ที่มีประสิทธิภาพและรวบรวมชุดข้อมูลที่เพียงพอเพื่อฝึกโมเดลทำได้ยากขึ้น (ชุดข้อมูลของคุณจะต้องมีข้อมูลที่เพียงพอกับโปรโตคอล ประเภทอุปกรณ์ สถาปัตยกรรม ฯลฯ ที่แตกต่างกัน )," เขาพูดว่า.

นอกจากนี้ ความต้องการ IoT IDS ยังคงพัฒนาอยู่ องค์กรหลายแห่งไม่มีแม้แต่การกำกับดูแลทั่วไปหรือการมองเห็น IoT ที่ปรับใช้ในสภาพแวดล้อมของตน โดยคิดน้อยกว่ามากเกี่ยวกับการปรับใช้ IoT IDS ที่สร้างขึ้นตามวัตถุประสงค์เพื่อปกป้องมัน ตามข้อมูลของ Laliberte

Protiviti แนะนำให้องค์กรต่าง ๆ ตระหนักว่า IoT จะต้องได้รับการจัดการและรักษาความปลอดภัยเช่นเดียวกับไอทีแบบดั้งเดิม เขากล่าว ในหลายกรณี การจัดการ IoT อย่างเหมาะสมอาจเป็นความเสี่ยงที่ใหญ่กว่าสำหรับองค์กรมากกว่าไอทีแบบเดิม เนื่องจากอาจส่งผลกระทบต่อสุขภาพและความปลอดภัยหากมีสิ่งผิดปกติเกิดขึ้น

“จนกว่าองค์กรต่างๆ จะตระหนักถึงสิ่งนี้และมุ่งเน้นไปที่ความปลอดภัยของ IoT ความต้องการ IoT IDS อาจไม่มากพอที่จะเติมเชื้อเพลิงและให้ทุนแก่ความพยายามในการวิจัยและพัฒนาที่ครอบคลุมซึ่งจำเป็นต่อการทำให้ IoT IDS เติบโตอย่างรวดเร็ว” Laliberte กล่าว

บางคนอาจโต้แย้งว่ามีการวิจัยและงานจำนวนมากที่ทำเพื่อปรับปรุงเครื่องมือ IDS ที่ใช้ AI อย่างต่อเนื่องซึ่งใช้ในระบบนิเวศด้วยผลิตภัณฑ์ IoT ที่ใช้งานอยู่ Herold กล่าว อย่างไรก็ตาม ก็เป็นความจริงเช่นกันที่ผลิตภัณฑ์ IoT กำลังได้รับการอัปเดตและอุปกรณ์และผลิตภัณฑ์ IoT ใหม่ ๆ ได้รับการแนะนำสู่ตลาดอย่างต่อเนื่อง

สิ่งเหล่านี้เป็นปัญหาและความท้าทายที่จัดทำเป็นเอกสารอย่างกว้างขวางสำหรับเครื่องมือ IoT IDS ที่ใช้ AI ตาม Herold

• การดำเนินการอัตโนมัติสำหรับการแจ้งเตือนความปลอดภัยที่ผิดพลาดจะส่งผลเสียต่อผู้ที่ใช้ระบบนิเวศ ทั้งทางดิจิทัล ร่างกาย หรืออื่นๆ หรือไม่
• เครื่องมือ IDS ที่ใช้ AI จะสามารถทำงานได้อย่างสม่ำเสมอและแม่นยำในสถานการณ์การรับส่งข้อมูลเครือข่ายทุกประเภทหรือไม่
• อุปกรณ์ IoT จำนวนมากไม่เก็บข้อมูลเลย ดังนั้นเครื่องมือ IDS ที่ใช้ AI ซึ่งมีการพึ่งพาการวิเคราะห์จากข้อมูลในหน่วยความจำและ/หรือในที่จัดเก็บอาจไม่ถูกต้อง

อนาคตของ IDS ที่ใช้ AI เพื่อตรวจจับการโจมตีของ IoT?

Protivit กำลังมองเห็นผู้เล่นรายใหญ่ที่ลงทุนอย่างมากในพื้นที่ความปลอดภัยของ IoT ตัวอย่างเช่น Microsoft กำลังทำการลงทุนครั้งใหญ่กับชุด Azure Defender สำหรับ IoT ตามข้อมูลของ Laliberte สิ่งนี้จะช่วยให้พื้นที่เติบโตอย่างรวดเร็ว แต่ธุรกิจจำเป็นต้องตระหนักถึงความจำเป็นสำหรับ IoT IDS และการตรวจสอบ จากนั้นลงทุนในเทคโนโลยีเพื่อพัฒนาเทคโนโลยีนี้ต่อไป

“ในขณะที่มาตรฐานพัฒนาต่อไปและเกิดขึ้นในพื้นที่ IoT การพัฒนาและฝึกอบรมโมเดล AI/ML IoT IDS ก็จะง่ายขึ้น” เขากล่าว “ฉันเห็นว่าพื้นที่นี้มีการพัฒนาอย่างต่อเนื่องในอีกไม่กี่ปีข้างหน้า โดยมีผลิตภัณฑ์ที่แข็งแกร่งและเติบโตเต็มที่ในอีกสองปีข้างหน้า”