إطار KillChainGraph يفتح آفاق جديدة للتنبؤ بسلوك المهاجمين عبر مراحل الهجوم السيبراني

أطلق فريق من الباحثين من Frondeur Labs وDistributedApps.ai وOWASP إطار جديد للتعلم الآلي يحمل اسم KillChainGraph، يهدف إلى مساعدة المدافعين على استباق خطوات المهاجمين عبر مراحل Cyber Kill Chain. يعتمد الإطار على التنبؤ بالأساليب المستخدمة وربطها في مسارات منظمة للهجوم، ما يمنح فرق الأمن السيبراني رؤية أوضح حول الاتجاه المحتمل للهجمات.

الجمع بين Cyber Kill Chain وMITRE ATT&CK

يرتكز المشروع على دمج نموذج Cyber Kill Chain، الذي قدّمته شركة لوكهيد مارتن وحدد سبع مراحل للهجوم، مع إطار MITRE ATT&CK الذي يوثق التكتيكات والأساليب الواقعية للخصوم. هذا الدمج سمح للباحثين بتحليل كيفية انتقال المهاجمين خطوة بخطوة داخل بيئة مستهدفة، بما يتيح فهم أعمق لآليات التصعيد السيبراني.

إطار قائم على النماذج والرسوم البيانية

لبناء الإطار، جرى استخدام نموذج لغوي متخصص باسم ATTACK-BERT لربط تقنيات MITRE ATT&CK بمراحل الـ Kill Chain، ثم تدريب أربعة نماذج تعلم آلي مختلفة: LightGBM، ومحوّل مخصص (Transformer Encoder)، ونسخة معدلة من BERT، وشبكة عصبية بيانية (Graph Neural Network). جرى لاحقاً دمج نتائج هذه النماذج في منظومة متوازنة تستفيد من نقاط القوة لكل منها.

العنصر الأبرز كان المكوّن البياني الذي يربط المخرجات عبر المراحل المختلفة وفق التشابه الدلالي، ما يتيح إنشاء خريطة مترابطة لمسار الهجوم بدلاً من الاكتفاء بتنبيهات منفصلة.

من نتائج المختبر إلى بيئة العمليات

أظهرت التجارب أن النهج القائم على الدمج (Ensemble) حقق نتائج أكثر استقرار من كل نموذج منفرد. الفوائد بدت متواضعة لكنها مهمة في سياق مراكز عمليات الأمن السيبراني (SOC) التي تعاني من ضغوط زمنية وكثافة تنبيهات. الباحثون وصفوا الإطار بأنه “محرك سياق” يساعد المحللين، خاصة المبتدئين، على رؤية الاحتمالات التالية للهجوم وتوجيه جهود البحث بدلاً من التخمين.

التحديات والقيود

مع ذلك، يحذر الخبراء من تحديات واقعية أبرزها:

• تنظيف البيانات (Data Hygiene) وتحويل السجلات المتنوعة إلى تقنيات مرتبطة بـMITRE ATT&CK.
• غياب السياق المؤسسي، إذ لا يميز النموذج بين خادم حساس وآخر ثانوي.
• الانجراف المفاهيمي (Concept Drift) مع ظهور تقنيات هجوم جديدة لا تشملها بيانات التدريب.
• خطر فقدان الثقة من قبل المحللين إذا زادت الإيجابيات الكاذبة.

ما الذي يجب أن يفعله قادة الأمن الآن؟

ينصح الخبراء بعدم التسرع في اقتناء أدوات تنبؤية متقدمة قبل استكمال الأساسيات. الأولوية تكمن في توحيد جمع البيانات الأمنية، وتطبيعها، وربطها بإطار MITRE ATT&CK منذ نقطة المصدر. كما شددوا على ضرورة مواءمة مخرجات أي نموذج مع إجراءات الاستجابة للحوادث، وتدريب المحللين على التعامل النقدي مع النتائج بدلاً من الثقة العمياء.

التقرير أكد أن KillChainGraph يمثل خطوة مبكرة واعدة، لكن إدماجه في البيئات التشغيلية يتطلب وقت وجهد كبيرين. ومع ذلك، يرى الباحثون إمكانية أن يصبح جزء من خطوط الدفاع المستقبلية عبر التكامل مع الاستخبارات التهديدية وربطها بآليات الاستجابة الآلية في مراكز العمليات.