זיהוי מבוסס בינה מלאכותית סוגר את הפער בין פרצות "יום אפס" לזמני השהיה בתהליך האבטחה שלכם

כל צינורManaged File Transfer קבצים ארגוני טומן בחובו חוסר יעילות סמוי. משימות MFT Managed File Transfer), פרוקסי ICAP פרוטוקול התאמת תוכן לאינטרנט), קבצים מצורפים לדוא"ל, פורטלי העלאה של לקוחות והעברות נתונים בין-דומיינים חולקים מציאות סטטיסטית אחת: כ-99.9% מהקבצים העוברים דרכם הם נתוני עסקים תקינים. ה-0.1% הזדוניים הם הסיבה היחידה לקיומו של הצינור. כל קובץ משלם את אותו "מס אבטחה" ללא קשר לרמת הסיכון, ואחידות זו היא מקור חוסר היעילות.

הבעיה הראשונה היא זמן ההשהיה. קובץ שנמצא בתור מאחורי עשרות קבצים אחרים בשעת העומס של הבוקר ממתין לתורו לעבור סריקה רב-שלבית מלאה, בין אם מדובר בגיליון אלקטרוני שגרתי ובין אם בקובץ הפעלה לא מוכר. בתחום הבנקאות והשירותים הפיננסיים, עיכוב זה מתורגם ישירות לעסקאות מעוכבות, לעיבוד איטי יותר ולהעברות בנקאיות הממתינות לסריקה. על פי סקר הזיהוי והתגובה של SANS לשנת 2025, זמן התגובה הפך לאתגר המרכזי עבור 53% מצוותי האבטחה, עלייה מ-45% בשנה הקודמת.

הבעיה השנייה היא התראות שווא. מרבית מנועי האבטחה המבוססים על למידת מכונה מכוונים ל"החזרה" (recall): לתפוס הכל, לקבל את הרעש. פשרה זו מתאימה לנקודת קצה. בצינור קבצים, התראה שווא חוסמת קובץ עסקי לגיטימי, מפעילה התראה מיותרת במרכז תפעול האבטחה (SOC) ופוגעת באמון האנליסטים, שהוא זה שמאפשר את האוטומציה. אותו סקר של SANS מצא כי התראות שווא מהוות כיום את האתגר המרכזי בזיהוי עבור 73% מהנשאלים.

Predictive Alin AI הוא מנוע זיהוי תוכנות זדוניות מבוסס בינה מלאכותית OPSWAT, המיועד לזיהוי "יום אפס" לפני ביצוע, שנועד לזהות קבצים זדוניים לפני שהם מבוצעים באמצעות ניתוח מבוסס למידת מכונה של מאפייני הקובץ המבניים וההתנהגותיים. המנוע אינו מסתמך על חתימות, ידע מוקדם על איום ספציפי או הפעלה בסביבת בדיקה (sandbox) כדי להגיע למסקנה. Predictive Alin AI מפרש את האינדיקטורים המבניים המעידים על כוונה זדונית עוד לפני שהוראה אחת מבוצעת.

מנועי אנטי-וירוס מסורתיים פועלים על בסיס רשימה. חתימה תואמת לאיום ידוע, והקובץ מסומן. עם 450,000 דגימות תוכנות זדוניות חדשות המופיעות מדי יום, על פי AV-TEST.org, הרשימה הזו תמיד נמצאת צעד אחד מאחור. הבינה המלאכותית החיזויית של Alin נוקטת בגישה שונה, ומחלצת ומנתחת את המאפיינים המבניים שקבצים זדוניים משאירים אחריהם, בין אם הם נצפו בעבר ובין אם לאו.

המנוע מנתח מאפיינים כגון:

• כותרות קבצים, סעיפים ומבנה כללי

• דפוסי אנטרופיה ואינדיקטורים לקוד דחוס

• נקודות כניסה ומאפייני זרימת הבקרה

• מטא-נתונים וטבלאות ייבוא

אלה הם המדדים שהאיום משלב במבנה הקובץ שלו, והם קיימים בין אם האיום הספציפי כבר זוהה בעבר ובין אם לאו. קובץ שנועד לחמוק מזיהוי עדיין צריך להיבנות, ותהליך הבנייה הזה נושא בתוכו דפוסים שמודל מאומן יכול לזהות.

רוב מנועי האבטחה המבוססים על למידת מכונה מותאמים ל"החזרה" (recall): הם מסמנים כמה שיותר אירועים ומקבלים את התוצאות החיוביות השגויות כמחיר שיש לשלם תמורת כיסוי מקיף. OPSWAT החלטה הנדסית הפוכה עם Predictive Alin AI. המנוע מכוון בראש ובראשונה לדיוק, ומכוון לשיעור תוצאות חיוביות שגויות של 0.01%. כאשר Predictive Alin AI מוציא פסק דין, פסק הדין הזה נועד להיות אמין ולגרום לפעולה מבלי שיידרש בדיקה אנושית.

דיוק זה פועל בשני הכיוונים. אותו ניתוח שמזהה את הסימנים המבניים של קובץ זדוני מזהה גם את הסימנים המבניים של קובץ נקי. ביטחון דו-כיווני זה הוא שמאפשר את תרחיש השימוש ב-Deflection, שייסקר בפירוט בסעיף הבא.

Alin AI החזויה מספקת תוצאות תוך פחות מ-15 מילי-שניות ב-P50 עבור קבצי PE, עם ביצועי P90 הנעים בין 10 ל-22 מילי-שניות בכל סוגי הקבצים, ופחות מ-100 מילי-שניות ב-P99 עבור פורמטים מורכבים, כולל קבצי PDF. ארבעה פורמטים נמצאים כיום בשימוש: PE, PDF, Mach-O ו-ELF, ותמיכה בפורמטים נוספים מתוכננת בעתיד. התוצאה מתקבלת עוד לפני שהמשתמש מספיק להבחין שהקובץ הועלה, מה שהופך את ההגנה המובנית ליעילה מבלי ליצור צוואר בקבוק בתהליך.

הזיהוי מוכיח שהמנוע פועל כראוי. כל "יום אפס" שסומן כהלכה מהווה נקודת נתונים התורמת לבניית ההיסטוריה הנדרשת כדי לפעול בכיוון ההפוך. ברגע שנבנית אמון זה, ניתן להחיל את אותו סף הדיוק המשמש לסימון קבצים זדוניים גם על קבצים תקינים, באותה מידה של ביטחון.

כאשר מערכת ה-AI של Predictive Alin מוציאה פסק דין "נקי" ברמת ביטחון גבוהה, הקובץ עובר במסלול מקוצר ומאומת. הוא עוקף Multiscanning Metascan™ Multiscanning עבר ישירות לטכנולוגיית Deep CDR™ לצורך טיהור לפני המסירה. כאשר מערכת ה-AI של Predictive Alin אינה בטוחה, הקובץ עובר במסלול המלא: סריקה מרובה באמצעות עד 30 מנועי סריקה, טכנולוגיית Deep CDR™ ופסק דין סופי לפני המסירה. כל קובץ מסתיים בפסק דין. ההסטה משנה רק את המסלול, לא את התוצאה.

לכך יש חשיבות רבה במיוחד בשעות העומס. גלי דוא"ל בבוקר, העברות אצווה בסוף היום ופרצי העלאה לאחר פרסום הודעות הם בדיוק הרגעים שבהם התורים מתארכים וזמני התגובה מתארכים. הסטה מפנה את התעבורה הידועה כתקינה כבר בשלב הכניסה, כך ששאר הצינור לעולם לא נאלץ לקלוט את הגל.

הסטת הקבצים אינה מפחיתה את רמת הבדיקה. הפילוסופיה "אל תסמכו על אף קובץ. אל תסמכו על אף מכשיר.™", שעליה נבנה MetaDefender®, נותרה ללא שינוי. לא מניחים שאף קובץ נקי. הסטת הקבצים היא פעולה זהירה: כאשר המנוע בטוח, הוא פועל; כאשר קיים ספק כלשהו, הקובץ מועבר למסלול הארוך יותר. אי-בהירות לעולם אינה נפתרת בשכבת ההסטה.

על פי סקר הזיהוי והתגובה של SANS לשנת 2025, תוצאות חיוביות כוזבות מהוות את האתגר המרכזי בתחום הזיהוי עבור 73% מצוותי האבטחה, כאשר שיעור הצוותים הנתקלים בהן בתדירות גבוהה מאוד עלה ל-20%, לעומת 13% בשנה הקודמת. כל תוצאה חיובית כוזבת פירושה אנליסט שמוסח מעיסוק באיום אמיתי, קובץ נקי שנחסם מתהליך עבודה לגיטימי, ושחיקה הדרגתית באמון במערכת הזיהוי עצמה.

צוותי SOC (מרכז תפעול אבטחה) המנהלים צינורות קבצים בהיקף נרחב מתמודדים עם בעיה הולכת ומחמירה: ככל שיותר קבצים עוברים בצינור, כך מערכת הזיהוי מייצרת יותר התראות, והופך להיות קשה יותר להבחין בין אות לרעש. כאשר האנליסטים מקדישים את משמרתם לסינון התראות שווא, לאיומים האמיתיים יש יותר זמן לפעול. צוואר הבקבוק ב-SOC הוא צוואר הבקבוק בזיהוי.

לסקירה מעמיקה יותר על האופן שבו ניתוח חכם יותר שובר את המעגל הזה, ראו: " צוואר בקבוק ב-SOC: שבירת מעגל העייפות מהתראות באמצעות סנדבוקסינג חכם יותר".

פער הזיהוי ופער זמן התגובה אינם ייחודיים למגזר כלשהו. בתחומי הייצור, האנרגיה והמגזר הממשלתי, פער הזיהוי ופער זמן התגובה מופיעים בהקשרים תפעוליים שונים. הטבלה שלהלן מפרטת את החשיפה הספציפית של כל מגזר ליכולות ש-Predictive Alin AI מטפלת בהן.

השימוש ב- Alin AI לחיזוי לפי ענפים

ארגוני שירותים פיננסיים מפעילים כמה ממערכי העברת הקבצים בעלי הנפח הגבוה ביותר בכל ענף. פורטלי העלאה של לקוחות, תהליכי קליטת מסמכים והעברות בין-תחומיות – כולם מייצרים תעבורת קבצים רציפה, וכל התראה מיותרת מסיטה את תשומת לבו של האנליסט מאיום אמיתי. על פי סקר SANS, התראות שווא מהוות את האתגר המרכזי בזיהוי עבור 73% מצוותי האבטחה, כאשר שיעור הצוותים הנתקלים בהן בשיעורים גבוהים מאוד עלה ל-20%, לעומת 13% בשנה הקודמת.

מערכת ה-AI החזויה של Alin מפחיתה את נפח ההתראות כבר במקור, באמצעות התאמה לדיוק במקום לכיסוי. החלטה שה-SOC יכול לסמוך עליה היא החלטה שה-SOC יכול להפוך לאוטומטית, מה שמאפשר לאנליסטים להתמקד בתיקים שדורשים באמת חקירה.

סביבות ייצור מתמודדות עם בעיה ספציפית של חדירת איומים. עדכוני קושחה, תוצרי בנייה וחבילות תוכנה המסופקים על ידי ספקים חיצוניים מגיעים כקובצים לפני שהם הופכים לאיומים. עד שחבילה זדונית מגיעה למערכת OT, הנזק כבר נמצא בתוך ההיקף. ה-AI החיזויי של Alin יירט קבצים אלה בגבול המערכת, וינפיק פסק דין לפני ביצועם, עוד בטרם יוכנסו לסביבות הייצור. המנוע, הפועל באמצעות MetaDefender – פלטפורמת זיהוי ומניעת האיומים המתקדמת OPSWAT– מוסיף שכבת בינה חיזויית לתהליכי הקליטה הקיימים, ללא צורך בשינויים ארכיטקטוניים.

חברות האנרגיה והתשתיות מנהלות כמה מהסביבות המוגבלות ביותר מבחינת קישוריות בתשתיות קריטיות. יעילותן של שיטות זיהוי רבות נפגעת בפריסות מנותקות מהרשת (air-gapped), שכן הן מסתמכות על חיפושים בענן או על טלמטריה חיצונית שאינן זמינות כלל. ה-AI החיזויי של Alin פועל במצב לא מקוון לחלוטין עם אותה רמת דיוק של 99.99% כמו בפריסות ענן, ואינו דורש קישוריות חיצונית או חיפושים בענן כדי לשמור על ביצועים אלה. ניתן לבדוק חבילות עדכון שדה ותוכנות המסופקות על ידי ספקים בגבול הרשת לפני שהן מגיעות לתפעול הרשת או המתקן, כאשר תוצאות הבדיקה מתקבלות תוך מילי-שניות, ללא תלות בבידוד הרשת.

סביבות ממשלתיות וביטחוניות פועלות תחת שני אילוצים בו-זמניים: דרישות תאימות קפדניות המחייבות כי שום דבר לא יעבור ללא בדיקה, וארכיטקטורות רשת האוסרות על קישוריות חיצונית. אילוצים אלה אילצו בעבר לבחור בין סריקה יסודית לבין מהירות תפעולית. הבינה המלאכותית החיזויית של Alin פותרת את שתי הבעיות באמצעות זיהוי "יום אפס" לפני ביצוע, אשר:

• פועל במצב לא מקוון לחלוטין בסביבות מנותקות לחלוטין מהאינטרנט ובסביבות חוצות-תחומים

• עומד בדרישות זיהוי ברמת אמינות גבוהה ללא הפעלה בסביבת בדיקה (sandbox)

• משתלב בפריסות הקיימות של MetaDefender , MetaDefender File Transfer™ MetaDefender

• משתפר באופן רציף באמצעות מעגל הכשרה מחדש של "יום אפס" המופעל על ידי MetaDefender , מבלי שיידרש חיבור פעיל לשם כך

צפו ב-Alin AI החיזוי בפעולה

הסמינר המקוון "Scan What Matters" מסביר כיצד הבינה המלאכותית של Predictive Alin AI סוגרת הן את הפער בזיהוי תקיפות "יום אפס" והן את הפער בחביון הצינור, כולל הדגמה חיה של מקרה השימוש בהסטה ומדדי הדיוק בסביבת ייצור. צפו בהקלטה לפי דרישה בקצב שלכם.

השוו את תוכנית הזיהוי שלכם

סקר SANS 2025 בנושא זיהוי ותגובה, בחסות OPSWAT, מתאר כיצד למעלה מ-300 אנשי אבטחה מתחומים כגון בנקאות, ממשל, בריאות ותעשייה מחדשים את תפיסתם בנוגע לזיהוי, לנוכח העלייה החדה במספר התראות השווא, "עייפות ההתראות" וחשיפה לפרצות "יום אפס". הורידו את הדוח המלא כדי לבדוק היכן עומדת התוכנית שלכם.