«كرونيكل»: نظام جديد يكشف سلوك مجرمي الإنترنت ويصدّه لحظياً

في جولة جديدة من جولات السباق المستمر بين خبراء أمن المعلومات وقراصنة الإنترنت، أعلن، أخيراً، عن نظام جديد لأمن المعلومات، يقوم على نهج «التعلم والفهم اللحظي» المستمر لسلوك المجرمين، والاستناد لهذا التعلم والفهم في وضع «قواعد مرنة»، تستخدم في اكتشاف وتحليل وصد الهجمات الأمنية، وتمزج بين قواعد الحماية والاشتباك الجديدة والخاصة وسابقة الإعداد، كما تسهّل انتقال المؤسسات من أنظمة التأمين القديمة إلى الجديدة، خلال وقت قصير.

«كرونيكل ديتكت»

النظام الجديد طورته شركة «كرونيكل» لأمن المعلومات، التابعة لخدمة غوغل للحوسبة السحابية «غوغل كلاود»، ويحمل اسم «كرونيكل ديتكت». وكشف النقاب عن النظام في 23 سبتمبر الجاري عبر المدونة الخاصة بـ«غوغل كلاود» cloud.google.com/‏‏blog، إذ عرض المدير العام ونائب الرئيس لهندسة أمن المعلومات في خدمة غوغل السحابية، سونيل بوتي، جانباً من تفاصيله، فيما قدم مدير التسويق، ريك كاتشيا، مزيداً من التفاصيل نقلتها عنه شبكة «زد دي نت» المتخصصة في التقنية zdnet.com.

قواعد ولغة

تم بناء النظام الجديد بلغة برمجة متقدمة مفتوحة المصدر، متخصصة في مجال أمن المعلومات تعرف باسم لغة «يارا ـ إل»، الخاصة بوصف لغة سلوكيات التهديد، وهي مستخدمة على نطاق واسع لكتابة القواعد القادرة على اكتشاف البرامج الضارة والخبيثة والفيروسات، وعمليات التلصص، وغيرها من هجمات المجرمين.

أما جوهر النظام، فهو ما يطلق عليه «محرك القواعد»، أو البناء البرمجي القادر على وضع قواعد لحظية لرصد واكتشاف وصد الهجمات الأمنية، استناداً إلى توصيف وفهم سلوك المجرمين، وتكتيكاتهم في الهجوم. ويأتي هذا التوصيف والفهم من خلال التحليل اللحظي لكميات ضخمة من البيانات المتداولة عبر الشبكة أو الأجهزة المطلوب حمايتها وتأمينها، سواء كانت تخص مستخدمي هذه الشبكة، أم المهاجمين.

ووفقاً لهذه المنهجية في العمل، فإن «محرك القواعد» يجعل قواعد رصد وصد الهجمات الأمنية، مرنة ومتغيرة على مدار الوقت، عكس ما هو سائد حالياً، لكونها تمزج بين القواعد القديمة وسابقة الإعداد، والقواعد الجديدة المبنية على آخر الحوادث والهجمات التي تعرض لها النظام، والقواعد اللحظية التي يتم وضعها بناء على التحليلات الجارية للبيانات المتداولة عبر الشبكة.

مزايا النظام

يعمل نظام «كرونيكل ديتكت» مع سجلات الأمان، وأدوات قياس البيانات الأخرى، مثل: بيانات «إي دي آر» المستخدمة في رصد الهجمات الأمنية، وبيانات حركة المرور عبر الشبكة، إذ يسمح النظام لمحللي الأمن بكتابة قواعد مناسبة بشكل أفضل لاكتشاف جميع أنواع التهديدات الحديثة الموضحة في منصة «ميتر إيه تي تي»، التي تنظم وتصنف أنواع التكتيكات والتقنيات التي يستخدمها المجرمون في هجماتهم، ولأن النظام يعتمد نهج «التعلم المستمر»، فإنه يسمح بتنفيذ القواعد التي يعمل عليها بأثر رجعي، وقابل للتطوير على نطاق واسع.

إضافة لذلك، يوفر النظام بنية بيانات جديدة تجمع بين نموذج بيانات جديد، والقدرة على ربط أحداث متعددة تلقائياً في جدول زمني واحد، إذ يمكنه أن يربط بنية البيانات الجديدة تلقائياً والإجراءات التي تبدو متباينة من موظف، مثل تلقي بريد إلكتروني به رابط، وتسجيل الدخول إلى صفحة ويب مزيفة، وتنزيل ملف برنامج ضار على جهازه بعد خرق البيانات.

ويربط النظام بين هذه الوقائع تلقائياً ولحظياً، ويضع قاعدة للتعامل معها، ويبدأ بتنفيذها على الفور، ما يجعل أداء النظام أقرب للهجوم منه إلى الدفاع، وذلك بسبب السرعة في التقاط المعلومات وتحليلها، ووضع قاعدة للتعامل مع الموقف وتنفيذها، وهو عكس ما يحدث حالياً، حيث يتعين على محلل الأمان جمع كل هذه البيانات يدوياً من مصادرها الثلاثة، ثم يدرسها ليعرف إن كانت مترابطة وتنم عن سلوك متصل بهجمة أم لا، وبالطبع يستغرق ذلك الكثير من الوقت والجهد، يمكن للمهاجم أن يستغله في تنفيذ هجمة ناجحة، بينما محلل أمن المعلومات لايزال يدرس ما يجري.

نظام متكامل

قال مدير التسويق، ريك كاتشيا، إن النظام يتكامل ويرتبط مع تقنيات أخرى، منها تقنية «ويب ريسك إيه بي آي»، التابعة لـ«شركة بالو آلتو نيتوركس»، وتقنية «ريكابوتشا» من «شركة كورتيكس إكس سكور»، وكلتاهما من التقنيات الواسعة الانتشار في مجال تأمين الشبكات ونظم المعلومات والخدمات السحابية، وتستخدمهما المؤسسات والشركات لحماية حسابات المستخدمين من الأنشطة الاحتيالية على الويب، وأنشطة إساءة استخدام بيانات الاعتماد وإنشاء الحساب تلقائياً، وتحديد المواقع السيئة المعروفة، وتحذير المستخدمين قبل النقر فوق الروابط السيئة على موقع المؤسسة.