השפעות הבינה המלאכותית על מתקפות מניעת שירות מבוזרות (DDoS attacks)

נתחיל מההתחלה, מהן בכלל מתקפות DDoS, או בעברית מתקפות מניעת שירות מבוזרות?

 DDoS - Distributed Denial of Service attacks הן מתקפות הסייבר הידועות והוותיקות ביותר בהיסטוריה של האינטרנט. הן מתבצעות באמצעות יצירת עומסי תעבורה גבוהים על קיבולת רשת האתר או העמסת משימות מרובות על שרתיו.

אמנם מתקפות אלו קלות יחסית לביצוע, אך הן מהמתוחכמות ומהקטלניות ביותר, היות שמטרתן היא להשבית שירותי אונליין נחוצים ולהפוך אותם ללא זמינים עבור המשתמשים. במהלך מתקפת DDoS, התוקף מנסה לשבש את זמינות שירותי האונליין ואף לגרום לנזקים מתמשכים באמצעות שליחת בקשות מרובות והעמסת יתר על האתר. ברוב המקרים, התוקף נעזר במה שנקרא Botnet, שזו בעצם קבוצה גדולה של מחשבים הנשלטים מרחוק ע"י התוקף, ובזמן פקודה שולחים בקשות מרובות לאתר הנתקף בבת אחת. 

אם אנחנו מקבילים את המתקפות האינטרנטיות האלו לעולם היום-יומי שלנו, ניתן לחשוב עליהן באופן הבא: דמיינו שאתם רוצים לקנות בגד חדש בחנות, פתאום אתם רואים כמות עצומה של אנשים מנסים להיכנס לאותה החנות בעת ובעונה אחת. ברור לכולנו שייווצר תור ארוך מאוד של אנשים שמחכים לקבל שירות ונאלץ לחכות זמן רב עד שנזכה ליחס, מצוות החנות, אם בכלל, תלוי בגודל הצוות ובכמות האנשים שחבר צוות אחד יכול להעניק להם שירות במקביל. עכשיו דמיינו שאתם מנסים להתחבר לחשבון הבנק האינטרנטי שלכם, ובאותו הזמן מיליוני לקוחות נוספים של אותו הבנק (כמוכם) מנסים גם הם להתחבר לחשבונות שלהם, באמצעות אותו אתר האינטרנט של הבנק שלכם. המשמעות של זה היא שאתר הבנק יוצף במיליוני בקשות בעת ובעונה אחת וחלק לא קטן מהבקשות האלו לא יקבלו מענה. בזמן זה, שירותי אתר הבנק לא יהיו זמינים לבקשות חדשות. 

מתקפת DDoS היא למעשה שליחת כמות גדולה של בקשות פיקטיביות (באמצעות אותו Botnet שהזכרנו קודם) לאותו אתר. הבקשות האלה יגרמו לאתר למצות את משאביו ובכך לחדול מלהיות זמין עבור משתמשים אמיתיים.

מטרתן של מתקפות ה-DDoS

המטרה של מתקפות אלו מאוד ברורה - לעצור או לשבש את פעילות שירותי האונליין של ארגון או עסק מסוים, בין אם זו חנות אונליין או אתר האינטרנט של העירייה ואולי אף האפליקציה שאנו משתמשים בה ע"מ לקבוע תור לרופא. מטרה זאת מושגת באמצעות מיצוי כל המשאבים באופן מלאכותי של שרתי האתר\אפליקציה, כך שאלו לא יהיו זמינים עבור משתמשים אמיתיים. לכל מתקפה מניעים שונים, אלו יכולים להיות מניעים פוליטיים, אידיאולוגיים, כספיים או רצון לפגוע בחברה מתחרה. 

כיצד מתגוננים מפני מתקפות DDoS

ישנם שירותי הגנה מפני מתקפות DDoS ואף ניתן לרכוש מוצרים שארגונים יכולים להשתמש בהם ע"מ להגן על שירותיהם. המטרה של שירותי ומוצרי ההגנה מפני תקיפות DDoS היא בראש ובראשונה לבחון את כל התעבורה הנכנסת לרשת הארגון ולהחליט אילו מהבקשות הן לגיטימית המגיעות ממשתמשים אמיתיים ואילו מהן זדוניות המגיעות מרשת בוטים ולא ממשתמשים אמיתיים. בינה מלאכותית יכולה לשחק תפקיד מכריע בקטלוג התעבורה הנכנסת לארגון והגנה עליו מפני מתקפות DDoS ע"י ניתוח מתקדם של מאפייני הבקשות הנכנסות וזיהוי התנהגות שונה \ לא רגילה בתוך הרשת. באמצעות יכולות אלו, מוצרי ההגנה חוסמים בקשות דומות המגיעות מאותם בוטים ובעצם לא מאפשרים כניסה של בקשות התקיפה לרשת ובכך מגנות על שירותי האונליין של הארגון מפני מתקפות אלו. 

קטלוג הבקשות הזדוניות הנפוץ יותר נעשה באמצעות יצירת חתימה דיגיטלית של בקשות אלו. זו נעשית באמצעות שימוש באלגוריתמי לימוד מכונה (ML) לסריקה ממוחשבת של פרטי הבקשה, כמו מי המקור ומה היעד, מה גודל הבקשה, אלו פרטים מבקש השולח, מה סוג הדפדפן ממנו שוגרה הבקשה ועוד. באמצעות פרטים ויכולות אלו, מערכות ההגנה מצליחות לפענח מכנה משותף לבקשות זדוניות ולייצר מעין חתימה דיגיטלית עבור בקשות זדוניות. מרגע שנוצרה החתימה כל בקשה עם חתימה דיגיטלית זהה תיחסם במערכת. שימוש בטכנולוגיות אלו מאפשרות זיהוי מוקדם של תקיפה ויכולות מענה מהירות. ע"מ להשיג יכולות מרביות של הגנה על ארגונים, יש להשתמש ביכולות בינה מלאכותית אלו ע"מ לסרוק וללמוד באופן תמידי את התנהגות הרשת ואת סוג וכמות התעבורה הנכנסת אליה והיוצאת ממנה.

בהמשך, טכנולוגיות בינה מלאכותית מסוגלות להתאים את מנגנוני ההגנה בזמן אמת עבור כל תעבורה נכנסת על בסיס למידת התנהגות הרשת וכך להגן על הרשתות המותקפות בצורה אפקטיבית ומהירה.

השימוש בבינה מלאכותית בצד התקיפה

ע"מ לעקוף את מערכות ההגנה, התוקפים מנסים כל הזמן "לעבוד" על מערכות ההגנה האלו ולגרום להן "לחשוב" שמדובר בבקשות לגיטימיות ובכך לאפשר להן להגיע אל השרתים המותקפים. בשנים האחרונות אנו עדים לכך שכלי התקיפה בהם האקרים משתמשים נעשים יותר ויותר מתוחכמים ולאחרונה משתמשים גם ביכולות בינה מלאכותית למטרה זו.  

לדוגמא - כלי תקיפה בהם משתמשים קבוצות ההאקרים מוודאים שכמעט כל בקשה המשוגרת מבוט תקיפה תהיה בעלת אמצעי זיהוי (פרטי בקשה) שונים - ובכך להקשות על מערכות ההגנה ליצור חתימה דיגיטלית. 

דוגמה נוספת - אלגוריתמים של בינה מלאכותית יכולים לשמש כחלק ממערך תקיפה מתוחכם המבצע אוטומציה של סוגי מתקפות שונות ומסוגל להסיק מה זמן וגודל התקיפה האופטימלי ע"מ להשיג את התוצאה הרצויה (שיבוש שירותי האונליין) ללא זיהוי וחסימה.

נוצר כאן מעין משחק בין הרעים לטובים בו התקיפות הולכות ומשתפרות וכתוצאה מכך מחייבות את יצרני וספקי מערכות ושירותי ההגנה לשפר הגנות. 

בהמשך לדוגמה הקודמת שהזכרנו מעלה, יצרני מערכות ושירותי ההגנה הבינו שכלי התקיפה השתכללו ולכן פיתחו מנגנוני הגנה מתוחכמים יותר המוודאים שכל בקשה הנכנסת לרשת הארגון אכן מגיעה ממשתמש אמיתי לגיטימי באמצעות אתגר טכנולוגי אותם הם שולחים מאחורי הקלעים לדפדפן האינטרנט בו המשתמש גולש. בד"כ מדובר על איזושהי משימה עם תרגיל מתמטי בשפת פיתוח בה הדפדפן עושה שימוש צריך לענות עליה. העיקרון העומד מאחורי טכנולוגיה זו היא שלרוב, בוטים אינם משתמשים בדפדפן אינטרנט אלא פשוט משגרים בקשות דומות באמצעות העתקה של פרטי הבקשה ולא יצירתם. לכן, אם מערכת ההגנה תצליח לוודא שאכן מדובר בדפדפן ולא סתם בבקשה מועתקת הנשלחת מבוט היא תוכל להסיק שמדובר במשתמש אמיתי העושה שימוש בדפדפן אינטרנט אמיתי. רוב הדפדפנים שאנו משתמשים בהם (כמו chrom ו mozilla) אכן יכולים בקלות לענות על האתגר המתמטי הזה, לעומת זאת, - כאשר מדובר בבוט שאינו משתמש בדפדפן אינטרנט, בד"כ אין ביכולתו לענות על כך - ומשום כך המערכת מסיקה שמדובר בבוט ולא במשתמש אנושי בעל דפדפן אינטרנט. 

ההאקרים, שהבינו שהמתקפות שלהן נחסמות באמצעות מנגנון האתגר הזה (challenge) התחילו לפתח כלי תקיפה שיוכלו לענות על האתגרים הללו. חלקם אפילו הגדילו לעשות ופיתחו בוטים המשתמשים בדפדפנים אמיתיים. כך הם יכולים להתל במערכות ההגנה ולהכריח אותן לתת לבקשות לעבור פנימה לתוך הארגון, זאת מכיוון שעכשיו נעשה שימוש בדפדפן אמיתי היכול לענות על האתגר המתמטי.

יצרני ההגנה שראו את ההתפתחות הזו הבינו את הבעיה ופיתחו אתגר שבו רק משתמש אנושי היה יכול עד לא מזמן לעבור, רובנו כמובן מכירים אותו, מדובר באתגר ה -captcha. כאשר אנו מנסים להתחבר לאתרי אינטרנט בשנים האחרונות אנו מתבקשים לעיתים קרובות לענות על אתגר מרובה תמונות ולבחור בכל התמונות בהן מופיע עצם מסויים, לדוגמא - עלינו לבחור בכל התמונות בהן מופיע רמזור. מי מאיתנו לא נתקל באתגר כזה? כולנו ראינו וחווינו את זה. באמצעות אתגר כזה, בעצם מערכת ההגנה מחייבת בנאדם שישב ויבחר את התמונות הללו, שכן בוט תקיפה, גם אם הוא משתמש בדפדפן, אינו ידע עד לא מזמן לבצע משימה כזו - ולכן עד לא מזמן די היה באתגר מסוג זה ע"מ לחסום תעבורה זדונית.

החסרונות בשימוש בטכנולוגיה כזו היא שמדובר בטכנולוגיה מאוד כבדה מבחינת ביצועי מערכת הצורכת המון משאבים מצד אחד - ומצד שני מאוד לא נוח לשימוש עבור המשתמשים הלגיטימיים. אם לדוגמה אני נדרש כל פעם לענות על אתגר כזה זה יהיה לי בתור משתמש מאוד לא נוח - ולכן מערכות ההגנה צריכות להיות מוגדרות בצורה כזו שלא בכל בקשה המנגנון הזה יופעל. אבל, ברגע שחלק מהבקשות יכולות לעבור ללא אתגר כזה אנו בעצם חושפים את שירותי האונליין לתקיפה שיכולה לחדור. לכן היה צורך בהתאמה מדוייקת של שימוש בטכנולוגית אתגר ה captcha לפי כתובות מקור וכמות הבקשות המגיעות עד לרמה שלא יכבידו על שירותי האתר.

בשנתיים האחרונות אנו עדים לכך שיש טכנולוגיות שפותחו ע"י התוקפים העושות שימוש באלגוריתמים של פענוח תמונות היכולים לפעמים לעבור גם אתגרי captcha במקרים מסויימים בהצלחה מרובה ואף מדאיגה.

היכולות הטכנולוגיות הללו עדיין לא הגיעו לשיא בשלותן אך בהחלט בדרך לשם וזה רק עניין של זמן עד שיצליחו לעקוף את אתגרי ה captcha לחלוטין.

שימוש בבינה מלאכותית כדי להגן על רשתות ארגונים מפני תקיפות DDoS הוא הכרחי. בינה מלאכותית יכולה לסייע ביצירת מערכות סינון תעבורה מתוחכמות המאפשרות לארגונים לשמר את זמינות שירותיהם . בנוסף, ע"י סריקה מתמשכת של שירותי הארגון כנגד מתקפות DDoS, אלגוריתמי בינה מלאכותית יכולים לצפות אילו סוגי התקפה נמצאים בסבירות גבוהה לגרום להשבתת שירותי הארגון - ולכן יכולים לנקוט באמצעי הגנה לפני שההתקפה משוגרת, או במילים אחרות - בינה מלאכותית מאפשרת לארגונים לנקוט באמצעים פרו-אקטיביים ולשפר הגנות לפני התקיפות המצופות.