شش استراتژی امنیتی پیاده‌سازی یک سازوکار دفاعی مناسب

اما حملات سال گذشته میلادی نکات ویژه‌ای در ارتباط با حملات هکری به ما آموخت. درس‌هایی که بر مبنای آن‌ها می‌توانیم شش راه ‌حل امنیت سایبری را تدوین کنیم. اگر به دنبال آن هستید تا خود را از گزند مهاجمان در امان نگه دارید، بهتر است در ابتدا فهرستی از راهکارهای امنیتی مورد نیاز خود آماده و در ادامه بر مبنای آن‌ها استراتژی‌های امنیت سازمانی را مدون کنید. ما در این مقاله شش مورد از راه‌ حل‌هایی که در این زمینه به شما کمک خواهند کرد را مورد بررسی قرار داده‌ایم. 

مطلب پیشنهادی

عصر جدیدی در طراحی روبات‌‌های هوشمند

روبات‌ها دستورات را از ذهن انسان‌ها می‌خوانند و اجرا می‌کنند

شاید بارها از خود این سؤال را پرسیده باشید که سازمان‌هایی که تحت تأثیر حملات هکری قرار می‌گیرند چگونه می‌توانند منبع این حملات را شناسایی کنند و حتی جزیی‌ترین اطلاعات را به دست آورند. بعضی از مردم تصور می‌کنند به دست آوردن این جزییات یک فرآیند فوق حرفه‌ای بوده که کمتر کاربری ممکن است قادر به تشریح آن‌ها باشد. اما واقعیت این است که خبره‌ترین کارشناسان امنیتی نیز همانند شما از دل سامانه‌های کامپیوتری تحلیل‌های خود را به دست می‌آورند. این تحلیل‌ها از منابعی استخراج می‌شوند که ما به آن‌ها کلان‌داده‌ها می‌گوییم. شاید تا به امروز عده‌ای بر این باور بودند که کلان‌ها‌داده‌ها تنها در ارتباط با مسائل تجاری و آماری مورد استفاده قرار می‌گیرند، اما واقعیت این است که امروزه کلان‌داده‌ها در حوزه امنیت به‌شدت پرکاربرد هستند. تنها اشکالی که این کلان‌داده‌ها دارند این است که درست بعد از یک نفوذ هکری می‌توانند مورد استفاده قرار گیرند. به عبارت دیگر، یک نفوذ هکری سرآغازی بر جمع‌آوری کلان‌داده‌ها است. 

1- به دنبال راهکاری فراتر از گذرواژه‌ها باشید
تا به امروز مطالب بسیار زیادی در ارتباط با مشکلات و مصائب گذرواژه‌ها منتشر شده‌ است، اما با توجه به ا‌ینکه گذرواژه‌ها هنوز هم به شکل بسیار گسترده‌ای مورد استفاده قرار می‌گیرند و همواره راه حل‌های مختلفی برای حل مشکل آن‌ها ارائه شده است، پرداختن به این مفهوم هنوز هم حائز اهمیت است. پیشنهاد ما این است که مکانیسم شناسایی و احراز هویت کاربران از طریق ترکیب گذرواژه و نام کاربری را فراموش کنید. مشکلات مربوط به این ترکیب روز به روز بیشتر می‌شوند. به‌کارگیری گذرواژه‌ها و نام‌های کاربری با استناد به سه دلیل زیر خطرناک هستند. 
اول آن‌که کاربران عمدتاً علاقه‌مند هستند از نام کاربری و گذرواژه یکسانی برای همه حساب‌های کاربری خود استفاده کنند. همین موضوع انگیزه لازم را در اختیار مجرمان سایبری قرار می‌دهد تا به دنبال دستیابی به این اطلاعات باشند. زمانی که این ترکیب کشف شود دسترسی به تمام حساب‌ها و اطلاعات امکان‌پذیر می‌شود. 
دوم آن‌که تعداد حملات سایبری موفقی که در یک سال گذشته به وقوع پیوسته‌اند زیاد بوده‌اند. از اطلاعات به سرقته رفته از لینکدین و یاهو گرفته تا میان‌افزارهای مخربی که روی روترها نصب شده‌اند، در تمام موارد، هکرها به اطلاعات حساس دسترسی پیدا کرده‌اند. در نتیجه این توانایی را دارند تا خود را همانند کاربر اصلی به یک سیستم معرفی کرده یا از این اطلاعات برای پیاده‌سازی حملات فیشینگ استفاده کنند. 
سومین و البته مهم‌ترین دلیل به پیشرفت‌های فناوری باز می‌گردد. امروزه حتی کامپیوترهای شخصی مورد استفاده از سوی کاربران نیز به سخت‌افزارهای قدرتمندی تجهیز شده‌اند. کامپیوترهایی که به پردازنده‌های گرافیکی قدرتمندی مجهز هستند و به‌راحتی در خدمت یادگیری ماشینی و هوش مصنوعی قرار گرفته و قادر هستند با اتکا بر لغت‌نامه‌ها و دیگر راهکارهای کشف و خطا، گذرواژه‌ها را در مدت زمان کوتاهی شناسایی کنند. 
اما برای حل مشکل گذرواژه‌ها، کارشناسان امنیتی مکانیسم‌های احراز هویت مختلفی را پیشنهاد کرده‌اند که در حال حاضر احراز هویت چند عاملی و روش‌های بیومتریک که در بسیاری از اکوسیستم‌های دیجیتالی مورد استفاده قرار می‌گیرند از جمله گزینه‌های پیش رو هستند. 

2- اطمینان حاصل کنید، گروه‌های امنیتی و مدیریتی به شکل درستی یکدیگر را درک می‌کنند
برای آن‌که مطمئن شوید این دو گروه در تعامل خوبی با یکدیگر قرار دارند، ابتدا باید شرایط فعلی شرکت یا سازمان خود را مورد بررسی قرار دهید. زمانی که مدیرعامل یک سازمان از توسعه‌دهندگان و متخصصان شبکه‌ای که در آن واحد مشغول به کار هستند درخواست می‌کند تا گزارشی از وضعیت امنیتی ارائه کنند، کارشناسان عمدتاً سعی می‌کنند مزایای شرایط فعلی را برشمرده و به آسیب‌پذیری‌های بالقوه‌ای که امنیت سازمان را در معرض خطر قرار می‌دهند، کمتر اشاره ‌کنند. در مقابل زمانی که کارشناسان امنیتی، جلساتی را با مدیرعامل ترتیب می‌دهند و در ارتباط با چالش‌های امنیتی توضیحاتی را برای او ارائه می‌کنند، مدیرعامل نمی‌تواند صحبت‌های آن‌ها را متوجه شود. حال این سؤال پیش می‌آید که چرا چنین مشکلاتی رخ می‌دهد؟ در جواب این پرسش باید بگوییم، کارشناسان به‌درستی قادر نیستند اطلاعاتی را در اختیار مدیرعامل قرار دهند تا با استناد به آن‌ها تصمیمات اساسی را برای بهبود دفاع سایبری اتخاذ کند. برای حل این مشکل و ناهماهنگی‌های احتمالی باید این پرسش‌ها مطرح شده و به آن‌ها پاسخ داده شود. آیا فهرست کردن تهدیدات سایبری، تأثیرات حملات امنیتی بر کسب‌وکار سازمان را به‌درستی نشان می‌دهند؟ آیا این امکان وجود دارد تا در اسرع وقت مشکلات را شناسایی کرده و برای آن‌ها راه‌ حلی ارائه کرد یا به زمان زیادی برای حل مشکلات نیاز است؟ آیا اساساً گزارش کردن موارد امنیتی ضرورتی دارد؟ کارشناسان حوزه امنیت سایبری همواره به این نکته اشاره دارند، باید سبک و سیاق اطلاعاتی که در اختیار مدیرعامل و هیئت مدیره قرار می‌گیرند، به شکلی باشند که بتوانند به آن‌ها در اخذ تصمیمات جدی امنیتی و پیاده‌سازی راهکارهای امنیتی در بخش‌های مختلف کمک کنند. 

 شاید تا به امروز عده‌ای بر این باور بودند که کلان‌ها‌داده‌ها تنها در ارتباط با مسائل تجاری و آماری مورد استفاده قرار می‌گیرند، اما واقعیت این است که امروزه کلان‌داده‌ها در حوزه امنیت به‌شدت پرکاربرد هستند

اگر به عنوان یک کارشناس امنیتی در حال خواندن این مطلب هستید، سعی کنید در زمان آماده کردن گزارش در ارتباط با وضعیت امنیتی شبکه، فرض را بر این موضوع قرار دهید که طرف مقابل شما یک فرد غیر فنی و ناآشنا به این چنین مفاهیمی است. اگر به عنوان یک مدیرعامل گزارشی به دست شما رسیده است، اما پس از مطالعه آن هیچ چیز متوجه نشده‌اید باید تغییری در استراتژی‌های خود به وجود آورید. به این معنا که باید از تیم امنیتی و اعضای واحدهای مختلف شرکت درخواست کنید در زمان تهیه گزارش با یکدیگر در تعامل باشند تا گزارش قابل فهمی آماده شود. این جلسات هم‌اندیشی باعث می‌شود تا دو طرف به‌خوبی یکدیگر را درک کنند و البته گزارشی که به دست شما می‌رسد دقیق و قابل فهم باشد. 

3- مسئولیت بررسی تهدیدات مهندسی اجتماعی و آزمون نفوذ‌پذیری را به تیم CSIRT واگذار کنید
CSIRT (سرنام Computer Emergency Response Team) تیم پاسخ‌گویی به حوادث کامپیوتری متشکل از متخصصان و کارشناسان حرفه‌ای امنیت اطلاعات است که برای مقابله با رخداد‌های امنیتی در حوزه فناوری اطلاعات ایجاد می‌شوند. این گروه وظیفه دریافت، بررسی، هماهنگ‌سازی و پاسخ‌دهی به فعالیت‌ها و رخداد‌های امنیتی را بر عهده دارند. اعضای این گروه در هنگام مواجهه با رخداد‌های امنیتی مشخص می‌کنند چه اتفاقی افتاده است و برای اصلاح و بهبود وضعیت به وجود آمده باید چه تمهیداتی اعمال شود. با این ‌حال، ایجاد یک تیم CSIRT اگر مطابق با ضوابط انجام نگیرد، مشکلات جانبی را به همراه خواهد داشت. پیاده‌سازی چنین تیمی به تعهدی پایدار نیاز داشته و باید بر مبنای مجموعه تعهدات و مطابق با قواعد بین‌المللی آماده شوند. بدون رعایت این ویژگی‌ها ساخت یک تیم CSIRT خود می‌تواند زمینه‌ساز بروز مشکلات مختلفی شود که بر موفقیت‌آمیز بودن شکل‌گیری این گروه تأثیر ناگواری خواهد گذاشت. دکتر مارتین گروبلر، عضو شورای تحقیقات صنعتی افریقای جنوبی و هری برایک، کارشناس تیم CERT-FI در سازمان تنظیم مقررات فنلاند در این ارتباط گفته‌اند: «امروزه شبکه‌های کامپیوتری و سیستم‌های اطلاعاتی به یک فاکتور اساسی در جهت توسعه اقتصادی و اجتماعی تبدیل شده‌اند. بر این اساس هر روزه بر حساسیت و نگرانی جامعه در خصوص امنیت این شبکه‌ها و سیستم‌ها افزوده می‌شود. در نتیجه، بسیاری از کشورها و جوامع بین‌المللی برای امن‌تر کردن شبکه‌های کامپیوتری و حتی اینترنت دست به یک همکاری گسترده زده‌اند. این همکاری‌ها به‌ طور کلی زمینه‌ساز شکل‌گیری تیم واکنش‌های اضطراری رایانه‌ای (CERT) یا تیم پاسخ‌گویی به حوادث کامپیوتری CSIRT شده است. این چنین تیمی که همه افراد آن متخصصان امنیت اطلاعات هستند وظیفه دارد در سریع‌ترین زمان ممکن به حوادث و پیشامدهای به وجود آمده پاسخ مناسب دهند. این تیم مسئولیت دریافت، بررسی، هماهنگ‌سازی و پاسخ‌گویی به حوادث و فعالیت‌های امنیتی مرتبط با سامانه‌های کامپیوتری را بر عهده دارد. هنگامی که حادثه‌ای رخ می‌دهد، اعضای CSIR T حوزه‌ای که در حیطه کاری آ‌ن‌ها قرار دارد را مورد بررسی قرار داده تا تعیین کنند چه اتفاقی رخ داده است و چه اقداماتی باید انجام پذیرد تا به اصلاح وضعیت موجود کمک کند. به همین دلیل است که امروزه حساسیت بالایی در ارتباط با امنیت شبکه‌ها به وجود آمده است. به طوری که نه تنها سازمان‌ها بلکه دولت‌ها نیز در این ارتباط بیش از پیش حساس شده‌اند. این حساسیت تا به آن‌جا پیش رفته است که دولت‌ها ضمن تنظیم قوانین سخت‌گیرانه، شرکت‌های نرم‌افزاری را ملزم ساخته‌اند تا از الگوریتم‌های رمزنگاری قدرتمندی در ارتباط با شبکه‌ها استفاده و حتی نسخه‌های بومی از نرم‌افزارها را آماده کنند.»

4- در گروه‌هایی که اطلاعات امنیتی را به اشتراک قرار می‌دهند، عضو شوید
ممکن است به عنوان یک کارشناس امنیتی یا یک مدیرعامل شناختی خوبی از تهدیدات امنیتی داشته باشید، اما واقعیت این است که در طول چند سال اخیر حملات سایبری رشد افسارگسیخته‌ای داشته‌اند. استراتژی‌ها و ابزارهای مورد استفاده هکرها دائم در حال تغییر بوده و همین موضوع باعث شده است تا نه تنها امکان نگهداری اطلاعاتی در ارتباط با تهدیدات غیر ممکن شود، بلکه فرصت بسیار کمی برای تحلیل این داده‌ها در اختیار شما قرار داشته باشد. در چنین شرایطی بهترین رویکردی که در اختیار شما قرار دارد این است که فرآیند شناسایی تهدیدات را خودکارسازی کنید. در این حالت، پیدا کردن راه‌ حل برای برطرف کردن مشکل به‌سادگی امکان‌پذیر خواهد بود. اما برای آن‌که بتوانید این فرآیند را خودکارسازی کنید، ابتدا باید عضور انجمن‌های امنیتی شوید؛ انجمن‌هایی که اطلاعات و تحلیل‌های خود را با یکدیگر به اشتراک قرار می‌دهند. همچنین، حضور در کنسرسیوم‌هایی که در ارتباط با تهدیدات امنیتی برگزار می‌شوند، به‌ویژه آن‌ها که از سوی سازمان‌های صنعتی برگزار می‌شود، در این راه به شما کمک می‌کنند. همواره سعی کنید با دپارتمان‌های امنیتی شرکت‌های شریک خود جلسات مشترکی را برقرار کنید و تحلیل‌های امنیتی یکدیگر را مورد بررسی قرار دهید. 

5- کلان‌هاداده‌ها قدرتمندند، اما با محدودیت روبه‌رو هستند 
امروزه کلان‌داده‌ها در هر مکانی در دسترس شما قرار دارند. مهم نیست یک شرکت داخلی یا شرکت بزرگ برون‌مرزی باشید. امروزه یک ارائه‌دهنده خدمات اینترنتی یا ارتباطی به طور معمول حجم گسترده‌ای از داده‌ها را در اختیار دارد. داده‌هایی که از سوی مشتریان این شرکت‌ها تولید می‌شوند. شرکت‌ها به شرطی که زیرساخت‌های مناسبی را تدارک دیده باشند به‌خوبی قادر هستند از این اطلاعات برای خدمت‌رسانی بهتر به مشتریان خود استفاده کنند. اما کلان‌داده‌ها کاربرد دیگری نیز دارند. این داده‌ها به شکل عجیبی در دنیای امنیت می‌توانند مورد استفاده قرار گیرند و به شرکت‌ها در شناسایی تهدیدات کمک کنند. اما به‌کارگیری آن‌ها با یک سری محدودیت‌ها روبه‌رو است! کارشناسان امنیتی زمانی که درباره کلان‌داده‌ها صحبت می‌کنیم کاملاً هیجان‌زده و البته کنجکاو می‌شوند، به دلیل این‌که می‌دانند زمانی که نفوذی صورت می‌گیرد، کلان‌داده‌ها می‌توانند اطلاعات زیادی در اختیار آن‌ها قرار دهند. 

بسیاری از کشورها و جوامع بین‌المللی برای امن‌تر کردن شبکه‌های کامپیوتری و حتی اینترنت دست به یک همکاری گسترده زده‌اند. این همکاری‌ها به‌ طور کلی زمینه‌ساز شکل‌گیری تیم واکنش‌های اضطراری رایانه‌ای (CERT) یا تیم پاسخ‌گویی به حوادث کامپیوتری CSIRT شده است

اما همان‌ گونه که در پاراگراف قبل به آن اشاره کردیم، کلان‌داده‌ها با یک محدودیت روبه‌رو هستند. (البته به‌جز یک استثنا که در انتهای مقاله به آن اشاره می‌کنیم.) سانتوش واراگیزا معاون شرکت Cognetyx در این ارتباط می‌گوید: «اگر سازمان شما هک شده است و اطلاعات مشتریان شما به سرقت رفته یا آلوده شده‌اند، شما می‌توانید کلان‌داده‌هایی که روی سامانه‌ها قرار دارند را جمع‌آوری کنید و در ادامه این کلان‌داده‌ها را در اختیار تحلیل‌گران امنیتی قرار دهید. این رویکرد به شما کمک می‌کند دقیقاً بدانید چه اتفاقی رخ داده است و همچنین بینش شما در ارتباط با تهدیدات امنیتی را وسیع‌تر می‌کند. تحلیل کلان‌داده‌ها به شما کمک می‌کند مانع بروز حملات بعدی شوید. اما متأسفانه کلان‌داده‌ها زمانی مورد استفاده قرار می‌گیرند که یک فعالیت مجرمانه صورت گرفته باشد و در حالت عادی نمی‌توانند مانع بروز یک اتفاق ناگوار شوند. این اتفاق ناخوشایند بدون شک عصبایت مشتریان را به همراه خواهد داشت تا جایی که ممکن است از سازمان شما به واسطه سهل‌انگاری شکایت کنند. در حالت کلی، کلان‌داده‌ها به شما این توانایی را نمی‌دهند تا حملات سایبری را شناسایی کنید یا مانع وقوع آن‌ها شوید. البته زمانی که هکی انجام می‌شود، شما این شانس را دارید تا مانع بروز حملات مجدد شوید، اما به این نکته توجه کنید که حملات سایبری به‌سادگی رخ نمی‌دهند. دامنه تهدیدات سایبری فراتر از حد تصور است و هرروزه رخنه‌های جدیدی در سامانه‌ها شناسایی می‌شوند. 
نکته دیگر در ارتباط با هکرها است. هکرها افراد با زکاوتی هستند که به‌راحتی خود را با محیط وفق می‌دهند. آن‌ها همواره رویکردهای خود را در ارتباط با حملات تغییر می‌دهند و به طور مداوم در حال ارزیابی ضعف‌های شما هستند. بزرگ‌ترین ضعفی که شما و سازمان شما را تهدید می‌کند کارکنان شما هستند. امروزه کمتر هکر حرفه‌ای را مشاهده می‌کنید که تمایل داشته باشد از در پشتی به سازمان شما وارد شود. او سعی می‌کند از طریق گواهی‌نامه‌های معتبر و قانونی از در جلویی به سازمان شما وارد شود. درست در همین نقطه است که تجزیه و تحلیل کلان‌داده‌ها به یاری شما می‌آید و به‌وضوح نشان می‌دهد مجرمان سایبری با گواهی‌نامه‌های کارکنان شما به سرورهای شما وارد شده‌اند. این تحلیل‌ها ممکن است به شما نشان دهد که هکرها از طریق روش‌های مهندسی اجتماعی و به‌ویژه ایمیل‌های فیشینگ کارکنان شما را فریب داده‌اند. زمانی که بینش لازم را به دست می‌آورید، ممکن است مصمم شوید تا آموزش‌های امنیتی لازم را برای کارکنان خود ترتیب دهید تا آن‌ها در زمان برخورد با ایمیل‌های فیشینگ دقیقاً بدانند باید چه کاری انجام دهند و به چه دلیل نباید روی هر لینکی که مشاهده می‌کنند کلیک کنند. همواره به این نکته توجه داشته باشید که نیمی از تهدیدات سایبری درون‌سازمانی هستند. کارمندی که از شما نارضی است، سعی می‌کند از درون به سازمان شما حمله کند و اطلاعات مهم شما را در بازار سیاه به فروش برساند.»

6- یادگیری ماشینی را با کلان‌داده‌ها ترکیب کنید
کلان‌داده‌ها زمانی که با یادگیری ماشینی و الگوریتم‌های ریاضی ترکیب شوند قادر هستند بینشی از خطرات آتی را در اختیار شما قرار دهند. یادگیری ماشینی به سامانه‌ها کامپیوتری اجازه می‌دهد بدون آن‌که به برنامه‌نویسی صریحی نیاز باشد، آموزش‌های لازم را به دست آورند. ما این پتانسیل را در اختیار داریم تا در برابر هکرها از یادگیری ماشینی استفاده کنیم. یادگیری ماشینی این پتانسیل را دارد تا مکانیسم‌های دفاعی قدرتمندی را به وجود ‌آورد که در حالت عادی کلان‌داده‌ها قادر نیستند آن‌ها را به وجود آورند. اگر به خاطر داشته باشید در پاراگراف قبل به این موضوع اشاره کردیم که کلان‌داده‌ها بعد از وقوع یک حادثه به یاری سازمان شما می‌آیند. اما یادگیری ماشینی این پتانسیل را دارد تا پیش از بروز یک فاجعه نقض‌های داده‌ای را شناسایی کند. یادگیری ماشینی به ما کمک می‌کند تا بدانیم یک حمله ممکن است چگونه رخ دهد و همچنین هشدارهای لازم را در این زمینه در اختیار ما قرار می‌دهد تا بتوانیم روند یک حمله را متوقف کرده و مانع بروز خسارت‌های بیشتر شویم. در حالی که کلان‌داده‌ها در حالت کلی قادر نیستند چنین قابلیتی را در اختیار ما قرار دهند. یادگیری ماشینی تنها از کلان‌داده‌ها استفاده نمی‌کند، بلکه آن‌ها را تحلیل کرده و اطلاعاتی را از دل آن‌ها استخراج می‌کند. فرآیند استخراج اطلاعات از سوی یادگیری ماشینی به‌مراتب سریع‌تر از عامل انسانی است. یکی از مهم‌ترین مزایای یادگیری ماشینی این است که به صورت لحظه‌ای قادر است گواهی‌نامه‌هایی که از سوی نفوذگران مورد استفاده قرار می‌گیرد را تشخیص داده و مانع از ورود آن‌ها به یک شبکه سازمانی شود. در حالی که این فناوری هنوز در ابتدای راه خود قرار دارد، اما در همین بازه زمانی کوتاه‌مدت نیز مفید ظاهر شده است. 

همواره به این نکته توجه داشته باشید که نیمی از تهدیدات سایبری درون‌سازمانی هستند. کارمندی که از شما نارضی است، سعی می‌کند از درون به سازمان شما حمله کند و اطلاعات مهم شما را در بازار سیاه به فروش برساند

این تکنیک در هر ساعتی از شبانه‌روز سامانه‌های کامپیوتری را مورد بررسی قرار داده و الگوهای رفتاری غیر طبیعی را به‌سرعت شناسایی می‌کند. به طور مثال، اگر کاربری از یک موقعیت جغرافیایی ناشناخته تصمیم بگیرد به سامانه‌ای وارد شود، این الگوریتم‌ها هشدارهای لازم را ارسال می‌کنند. همچنین، در صورتی که کاربری به دنبال آن باشد که به بخشی وارد شود که در حیطه کاری او نبوده یا تصمیم بگیرد در نیمه‌های شب به سامانه سازمان وارد شود، این الگوریتم‌ها هشدارهای لازم را صادر می‌کنند. در مجموع، باید این ‌گونه عنوان کنیم که یادگیری ماشینی یک سپر دفاعی بی‌درنگ را در تعامل با کلان‌داده‌ها در اختیار شما قرار می‌دهد. بدون شک یادگیری ماشینی در مقطع فعلی بهترین راهکاری است که می‌تواند از سازمان شما در برابر هکرها محافظت به عمل آورد، به دلیل این‌که قادر است الگوهای رفتاری را یاد گرفته و هرگونه رفتار غیرمعمولی را شناسایی کند. این فناوری در حال حاضر به‌خوبی توسعه پیدا کرده است و در نمونه‌های بسیاری موفق شده است مانع از به سرقت رفتن داده‌های حساس سازمانی شود. باید بگوییم اگر کلان‌داده‌ها مسئول بررسی صحنه جرم هستند، یادگیری ماشینی به‌مثابه ماشین پلیسی است که در حال گشت‌زنی است. این رویکرد از شبکه‌های سازمانی در برابر هکرها محافظت کرده و هر زمان تهدید یا حمله‌ای صورت بگیرید در سریع‌ترین زمان ممکن به اجرای آن خاتمه می‌دهد.