באירוע סייבר מתפתח ומהיר, מודלי בינה מלאכותית (AI) מתקדמים מהווים את קו ההגנה המרכזי. הם מנתחים נתונים עצומים ומסיקים מסקנות קריטיות תוך שניות, כמו לבודד שרת או תחנה ספציפיים. אך החלטה זו מגיעה מ”קופסה שחורה” (Black Box) סטטיסטית, מה שיוצר בעיית ממשל (Governance) חמורה. מנהלי אבטחה מתקשים להצדיק בדיעבד החלטה אוטומטית שעלולה לגרום נזק כספי עצום לארגון, שנגרמה מפריצה או מהשבתת מערכות בגלל אזעקת שווא, המכונה בעגה המקצועית False Positive. דרישת ההסבר וההצדקה (Explainability) הפכה לאתגר הגדול ביותר באוטומציה של הגנת סייבר.
הפתרון לדילמה הוא בגישה ארכיטקטונית חדשנית: בינה מלאכותית נוירו-סימבולית (NeSy). מדובר במערכת היברידית המשלבת את המהירות הסטטיסטית של רשתות עצביות (Neural Networks) עם היגיון מבוסס כללים, נוקשה וניתן לביקורת (Symbolic Logic). NeSy היא למעשה היא שכבת האמון החיונית, הממירה תחזיות עמומות להחלטות מוסברות שניתן להבין, לאמת ולציית להן.
מודלי למידה עמוקה (Deep Learning), נובעת מיכולת זיהוי הדפוסים הסטטיסטית שלהן. מודלי שפה מתקדמים (LLMs) ויורשיהם מסוגלים לנתח מידע מורכב ולא מובנה, החל מיומני פעילות משתמשים (Logs), תעבורת רשת ועד פקודות שהוקלדו במערכת. הם מזהים חריגות ושינויים מינוריים המאותתים על הפרה, כניסה או פריצה אפשרית. המהירות שבה הם מזהים איומים ומנתחים התנהגות בזמן אמת היא קריטית, אך טבעם הסטטיסטי יוצר עימות עם עקרונות ציות ואחריות:
- אטימות מוחלטת: ההחלטה מפוזרת על פני מיליוני פרמטרים במודל, והיא עמומה מהותית ולא ניתנת למעקב אנושי.
- הזיות ואי-דטרמיניזם: המודלים עלולים “להזות” (Hallucinate) ולהמליץ על סמך הסתברות סטטיסטית גבוהה, ולא על כללים קשיחים או עובדות – דבר פסול באכיפת מדיניות אבטחה.
- חוסר סיבתיות: AI מזהה מתאם (“פעילות זו נראית כמו תוכנת כופר”) אך לא יכולה להוכיח קשר סיבתי (“פעולה זו מפרה את מדיניות X”).
בסיקור שלאחר אירוע, רגולטורים דורשים נתיב ברור וליניארי להצדקת הפעולה, דבר שהטבע הסטטיסטי מונע. בינה מלאכותית נוירו-סימבולית (NeSy) היא הגישה הארכיטקטונית הראשונה שמצליחה לגשר באופן יעיל על הפער בין עיבוד עצבי (מהיר וסטטיסטי) ועיבוד סימבולי (איטי, מבוסס-כללים ולוגי).
המסגרת הזו מאפשרת למערכת לא רק לראות דפוסים, אלא גם לחשוב עליהם באמצעות ידע תחומי פורמלי.
מערכת NeSy פועלת בלולאה דו-שלבית:
- הליבה העצבית (קלט והשערות): רכיב ה-AI הסטטיסטי מנתח במהירות נתונים לא-מובנים (כמו Logs) ומסמן השערה הסתברותית גרידא (למשל: “זוהה חיבור יוצא חריג, ציון ביטחון 95%”).
- המנוע הסימבולי (אימות והסבר) – ההשערה מועברת למאגר ידע מובנה, המפעיל כללים לוגיים שנגזרו ממדיניות אבטחה (כגון MITRE ATTCK). המנוע בודק:
- היגיון תנאי: האם החיבור היוצא מפר תנאים מוגדרים (כגון: שימוש בפורט מסוים או כתובת יעד מסוימת)
- אכיפת מדיניות: האם ההתנהגות מפרה אילוץ רגולטורי (כמו GDPR, תקנות הגנת הפרטיות) או מדיניות ארגונית
תהליך זה הופך את ה”ניחוש” של הרשת העצבית להחלטה מוגדרת, מבוססת היגיון וניתנת לביקורת. היתרון העיקרי והמכריע של פריסת פתרונות מבוססי NeSy בתגובה לאירועים הוא יצירת מסלול היגיון ניתן לביקורת (Audit Trail). המסלול הזה הוא קריטי לדרישות ממשל וציות מודרניות, והוא הופך את הבינה המלאכותית הנוירו-סימבולית לטכנולוגיה האידיאלית עבור בינה מלאכותית מוסברת (Explainable Artificial Intelligence – XAI) בתחומים מוסדרים כמו פיננסים וסייבר:
- אוטומציה בת-הגנה: כל פעולה אוטומטית מלווה מיידית בהצדקה ההגיונית המלאה שלה, לדוגמה: “מחשב X בודד, מכיוון שהמנוע הסימבולי אימת הפרה של מדיניות 401.A (‘הצפנת קבצים לא מורשית’), הממופה לטקטיקת כופר בגרף MITRE ATTACK”.
- חוסן מול איומים חדשים (Zero-Day): אם הרכיב העצבי מתקשה, הרכיב הסימבולי יכול עדיין להפעיל חשיבה כללית (למשל: בדיקה אם תהליך עם הרשאות נמוכות יוצר מעטפת עם הרשאות גבוהות), ובכך לפעול אוטומטית גם מול איום לא מוכר.
- הפחתת אזעקות שווא (False Positives): הדרישה לאימות דו-שכבתי (סטטיסטי + לוגי) מוריד דרמטית את שיעורי האזעקות השגויות של מודלים סטטיסטיים טהורים.
אין ספק שעתיד אבטחת המידע הוא עתיד של אוטומציה מואצת. עם זאת, ההאצה הזו חייבת להיות מלווה בשקיפות מוחלטת ובאחריות.
בינה מלאכותית נוירו-סימבולית מספקת את הטוב משני העולמות, גם מהירות בלתי מתפשרת של מודל למידה עמוקה, וגם אחריות בלתי מעורערת, של חוק הגיוני, מה שמבטיח שכל פעולת הגנה היא לא רק מהירה, אלא גם נכונה מיסודה ומוצדקת לחלוטין.
גיא חורש גונין, מהנדס פריסייל בבינת תקשורת מחשבים קרדיט צילום: בינת תקשורת מחשבים
