סופוס, מובילה גלובלית באבטחת סייבר של הדור הבא, הכריזה על ארבעה פיתוחים חדשים בטכנולוגיית בינה מלאכותית (AI) פתוחה, אשר נועדו להרחיב ולחדד את יכולות ההגנה מפני התקפות סייבר, הכוללות מערכי נתונים, כלים ומתודולוגיות שיאפשרו שיתוף פעולה מתקדם וידע מצטבר בתעשייה. מהלך זה מאיץ את אחד היעדים המרכזיים של סופוס, לפתוח לציבור ידע על פריצות הדרך של סופוס בתחום מערכי הנתונים ולהפוך את השימוש ב- AI בתעשיית הסייבר לשקוף יותר, במטרה להגן באופן משופר על ארגונים מפני כל סוגי פשיעת הסייבר.
בעוד שבתעשיות אחרות נהוג לשתף במתודולוגיות וממצאים בתחום ה-AI, תעשיית הסייבר נחשלת בנושא זה, ובכך מקשה על הבנת הדרך בה AI באמת מספק הגנה מפני איומי סייבר. סופוס וצוות חוקרי SophosAI מניעים כעת את השינוי אל עבר פתיחות, כדי שמנהלי IT, חוקרים, סמנכ"לי כספים, מנכ"לים ומנהלי אבטחה, אשר מבצעים החלטות רכש וניהול, יוכלו לדון ולהעריך את יתרונות ה-AI בצורה מושכלת ועניינית.
"עם היוזמה החדשה של SophosAI לפתיחת המחקר שלה, אנו משנים את הדרך בה מתייחסים ודנים ב-AI בתעשיית אבטחת הסייבר מעתה והלאה. הדיון הקולני הקיים כיום בתחום, עם הצהרות לגבי יכולות AI שאין מאחוריהן דבר, מקשה מאוד על היכולת של המשתמשים להבין או לאמת את הדברים. זה מוביל לספקנות ואי אמון, ומאט את התקדמות התעשייה בדיוק בזמן קריטי של פריצות דרך נהדרות", אמר ג'ו לוי, סמנכ"ל טכנולוגיות, סופוס. "תיקון של המצב באמצעות מנגנונים חיצוניים, כגון סטנדרטים או רגולציה לא יתרחש מהר מספיק. במקום זאת, נדרש מאמץ יסודי ושיטור עצמי בתוך הקהילה שלנו, כדי לייצר מערך של נהלים ושפה אחידים, אשר יתמכו בהתקדמות התעשייה באופן שקוף, ופתוח".
קשה להפריז בחיוניות של המהלך הזה, בהינתן הפוטנציאל העצום שיש ל-AI בתעשיית אבטחת הסייבר. עדויות שהציגה סופוס מראות כי התעשייה מתמודדת מול יריבים אנושיים אשר מעלים את רמת המשחק כל הזמן. הם מגבירים את השימוש בהתקפות המבוססות על הונאות עסקיות בדואר אלקטרוני (BEC – Business Email Compromise) ומפתחים ללא הרף מתקפות קוד זדוני חדשות. כדי לייצר הגנות יעילות וסקאלביליות כנגד התקפות מסוג זה נדרש סיוע AI. יישום פתיחות וביקורת עמיתים (peer review) יקדם חדשנות וגילויים חדשים, ויניע את כל התעשייה קדימה.
סופוס מספקת מערכי נתונים, כלים ומתודולוגיות ב-4 תחומים חשובים:
SOREL-20M Dataset להאצת המחקר לזיהוי קוד זדוני
SOREL-20M, פרויקט משותף בין SophosAI ו- ReversingLabs, הוא מערך נתונים המכיל מטה-דאטה, תגיות ומאפיינים של יותר מ-20 מיליון קבצי הפעלה ניידים ((PE לסביבת חלונות. הוא כולל 10 מיליון דוגמיות קוד זדוני שנוטרלו ואשר זמינות להורדה לצורך מחקר מאפיינים, במטרה להאיץ שיפורים לרוחב כל תעשיית הסייבר. מערך נתונים זה הוא מערך יישומי ראשון מסוגו אשר זמין לציבור הרחב, עם דוגמיות מסווגות ומתויגות.
שיטת הגנה מבוססת AI לזיהוי התחזויות
ההגנה נגד התחזות של SophosAI (Impersonation Protection) נועדה להגן מפני התקפות דואר אלקטרוני ממוקדות, בהן מתחזים לאנשים בעלי השפעה כדי לגרום למשתמשים לבצע פעולה מזיקה לטובת התוקף. הגנה חדשה זו משווה את השם המוצג בהודעות נכנסות אל מול רשימת תפקידים של בכירים בארגונים – שהם בעלי סבירות גבוהה שיתחזו אליהם במסגרת מתקפת פישינג ממוקדת, כגון מנכ"לים, סמנכ"לי כספים או נשיאי ארגונים – ומסמנת את ההודעות האלה כחשודות. Sophos אימנה את מערך ה-AI העובד מאחורי הקלעים באמצעות דוגמאות של מיליוני התקפות דואר אלקטרוני. SophosAI שיתפה בשיטת הגנה חדשה זו באירועי Defcon 28 ו-Arxiv.
אפידימיולוגיה דיגיטלית – לאיתור קוד זדוני שאינו מזוהה
SophosAI בנתה גם מערך של מודלים סטטיסטיים בהשראת תהליכים אפידמיולוגיים, כדי לבצע הערכה של המצאות הדבקות באופן כללי. הדבר מאפשר לסופוס לאתר את קיומן של מחטים בערימת השחט של קבצי PE, ובסופו של דבר גם לסייע בזיהוי איומי סייבר. SophosAI היא חלוצה בשיטה זו, ופתחה אותה לציבור כדי לסייע בזיהוי קיומו של קוד זדוני נסתר מהעין, קוד זדוני שעלולים להחמיץ או לסווג באופן שגוי, וכן "קוד זדוני עתידי" שנמצא בפיתוח על ידי התוקפים. המודל נועד להתרחב לסוגים נוספים של נתונים, קבצים ומערכות, והוא נידון בדוח האיומים של סופוס לשנת 2021.
כלים ליצירה אוטומטית של חתימות YaraML
יצירת חתימות לצורך זיהוי משפחות קוד זדוני היא תהליך מפרך וידני. לאורך השנים, חוקרים הציעו מגוון שיטות ליצירה אוטומטית של חתימות, אך רובן לא אומצו בגלל תוצאות פחות טובות מאלו של השיטות הידניות. SophosAI פיתחה שיטה חדשה ליצירה אוטומטית של חתימות, בשם YaraML, שהיא שונה מאוד מהגישות הקודמות ליישום AI בנושא. SophosAI מיישמת באופן ישיר מודלים מוכחים של לימוד מכונה, כגון אלה המשמשים במוצרי אבטחה מסחריים, על מנת ליצור שפת חתימות, ובכך היא מאפשרת לה "לכתוב" חתימות. מדובר בפריצת דרך עבור קהילת האבטחה.
ארבעה חידושים אלו מגיעים מבית היוצר של SophosAI, הפועלת כמעין אינקובטור, עם משאבים של חברה בהיקף פעילות של כמעט מיליארד דולר. יתרון נוסף הוא שבעזרת SophosAI ניתן להוסיף טכנולוגיות חדשות למוצרים של סופוס. מודל זה מאפשר לסופוס להגיב במהירות לצרכי השוק, לחזות לאן התעשייה צריכה לנוע, ולקדם פתיחות גדולה יותר, שיתוף פעולה וחדשנות בתעשייה – מרכיבים חיוניים בפיתוח הגנות אל מול היריבים המתחזקים.