Clear Sky Science · he
מסגרת רב‑סוכנית מונעת בינה מלאכותית לדימוי מתקפות סייבר אדפטיביות ותגובה אוטומטית לאירועים בסביבות 'סייבר ריינג'
מדוע תרגילי סייבר חכמים חשובים
כל יום חברות וממשלות מתאמנות על אסונות דיגיטליים באמצעות "סייבר ריינג'ס" – רשתות מבודדות ובטוחות שבהן תוקפים ומגינים יכולים להתאמן. עם זאת, רבות מאזורי האימון האלה עדיין נסמכות על תסריטים כתובים וניתנים לחיזוי, שאינם דומים לאיום המודרני החמקמק והמשתרג. המאמר מציג דרך חדשה להפוך את התרגילים לריאליסטיים יותר: שימוש ב"סוכנים" מבוססי בינה מלאכותית שלומדים לתקוף ולהגן בכוחות עצמם, וכופים על מתאמנים וכלים אנושיים להתמודד מול יריבים שחושבים ומתאימים את עצמם.
ממצבים סטטיים למשחקי מלחמה חיים
סייבר ריינג'ס מסורתיים עובדים קצת כמו הצגה כתובה מראש: המדריכים בוחרים בתסריט תקיפה, לוחצים הפעלה וצופים בהתרחשות. זה שימושי למתחילים, אבל מתמוטט מול יריבים מודרניים שמבצעים רצפים שקטים מרובים, בודקים הגנות ומשנים מסלול כשנחשפים. מחקרים המצוינים במאמר מראים שליותר ממחצית מהתקיפות המדומות חסרות טקטיקות מרכזיות כמו תנועה ממחשב שנפרץ אחד לאחר או הסתרה מפני כלי ניטור. התוצאה היא אימון שנראה טוב על הנייר אך אינו מכין את האנליסטים למציאות הסבוכה של האינטרנט.
הלמדת סוכנים דיגיטליים לתקוף ולהגן
כדי לצמצם פער זה, המחברים בונים מערכת רב‑סוכנית – קהילה קטנה של ישויות תוכנה שפועלות באופן עצמאי אך אינטראקטיביות בתוך רשת וירטואלית משותפת. מצד אחד עומדים סוכני התקיפה שלומדים לתכנן ולהתאים את מהלכיהם באמצעות משוב של תגמול ועונש, בדומה ל‑AI שמשחק משחק ולומד לנצח. מצד שני עומדים סוכני ההגנה שמנטרים תעבורת רשת לחיפוש דפוסים חריגים ובוחרים באופן אוטומטי כיצד להגיב, כגון לייבש מחשב חשוד או לחסום חיבור מסוכן. שני סוגי הסוכנים מאומנים על אוספים גדולים מהעולם האמיתי של פעילות רשת, כך שההתנהגות שלהם משקפת שימוש תקין ומזיק אמיתי במקום דוגמאות משחקיות.
בניית והתאמת סביבת הבדיקה
הצוות משלב את הסוכנים הללו ב‑CyDER 2.0, סייבר ריינג' מבוסס ענן שיכול להקים סוגים שונים של רשתות בסגנון ארגוני, מהגדרות קטנות עם כמה עשרות מכשירים ועד סביבות גדולות עם מאות מארחים. לפני האימון הם מנקים ומאזנים בקפידה את הנתונים הבסיסיים כך שתקיפות נדירות לא יטבעו בתוך תעבורה יומיומית. סוכן התוקף משתמש בלמידה עמוקה כדי לחקור רצפים מרובי שלבים כגון סריקה אחר מכונות חלשות, ניצול אחת, העלאת הרשאות ולאחר מכן התפשטות או גניבת נתונים, הכל תוך ניסיון להישאר בלתי ניראה. סוכני ההגנה משלבים שתי גישות משלימות: מסווג מסורתי המותאם על התקפות מתויגות, ואוטואנקודר שלומד מה נראה "נורמלי" ומסמן סטיות, כולל תכסיסים שלא נראו קודם.
כיצד הריינג' החכם מתפקד בפועל
החוקרים משווים את הסוכנים המונעים בינה מלאכותית לשתי חלופות נפוצות: תסריטים קבועים והגדרה רב‑סוכנית מבוססת חוקים שהתנהגותה לעולם אינה משתנה באמת. ברשתות מבחן קטנות, בינוניות וגדולות, הסוכנים הלומדים מזהים התקפות בדיוק רב יותר ובעם פחות החמצות. בתרחיש המאתגר ביותר המערב התקפות מעורבות על הרשת הגדולה ביותר, המערכת החדשה שומרת על איזון חזק בין תפיסת איומים לבין הימנעות מהתרעות שווא, בעוד שגישות סטטיות מתדרדרות בחדות. לא פחות חשוב, תגובותיה האוטומטיות מופעלות מספר שניות מהר יותר מהבסיסים, מרווח שיכול להגביל משמעותית נזק בפריצות מהירות. סוכני התוקף עצמם משתפרים במהלך האימון, מארגנים שרשראות התקפה ארוכות ומורכבות יותר, בעוד שימוש המשאבים של כל הסוכנים נשאר בתחום סביר.
מה המשמעות לזהות מוכנה לעולם האמיתי
מנקודת מבט של הקורא הכללי, המחקר מראה שניתן לשדרג תרגילי סייבר מתרגילים מוכנים מראש למשחקי מלחמה חיים שבהם שתי הצדדים חושבים בעצמם. על‑ידי חיבור תוקפים ומגינים לומדים לרשתות אימון ריאליסטיות והזנתם ברשומות תעבורה אמיתיות, המסגרת מייצרת תרחישים שדומים יותר לאירועים אמיתיים. במבחנים זה מתורגם לגילוי חד יותר, תגובה מהירה יותר ויכולת להעלות קנה מידה לסביבות מורכבות יותר מבלי להציף את המערכת. המחברים טוענים כי ריינג'ס חכמים כאלה יכולים להכין טוב יותר צוותי אבטחה להתקפות עתידיות ולספק בסיס להגנות דיגיטליות אוטונומיות יותר, בעוד שעבודות עתידיות יתמקדו בקיצור וגיבוי הסוכנים החזקים כך שיוכלו לפעול גם על מכשירים קטנים ופחות חזקים.
ציטוט: Agrawal, A., Nadeem, M., Al Nuaim, A. et al. Artificial intelligence driven multi agent framework for adaptive cyber attack simulation and automated incident response in cyber range environments. Sci Rep 16, 11673 (2026). https://doi.org/10.1038/s41598-026-45937-9
מילות מפתח: סייבר ריינג', מתקפות סייבר אדפטיביות, מערכות רב‑סוכניות, הגנה מונעת בינה מלאכותית, תגובה לאירועים