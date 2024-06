Sztuczna inteligencja wykorzystywana jest do coraz większej ilości cyberataków i pomaga przestępcom realizować większe kampanie, na większą skalę. Jakie zagrożenia występują na rynku i jakie rozwiązania należy wdrażać, aby zapewnić odpowiedni poziom ochrony?

Stosowanie sztucznej inteligencji w cyberbezpieczeństwie staje się coraz ważniejsze, ponieważ zagrożenia cybernetyczne nieustannie ewoluują. Według raportu organizacji ResearchAndMarkets globalny rynek AI w cyberbezpieczeństwie ma osiągnąć wartość 38,2 mld dol. do 2025 r. Aż 88% profesjonalistów z dziedziny cyberbezpieczeństwa uważa, że AI będzie niezbędne do bardziej efektywnego wykonywania zadań związanych z bezpieczeństwem, a 71% myśli, że może być użyte do przeprowadzania cyberataków w ciągu trzech lat.

Firmy dostrzegają też potencjalne oszczędności, jakie uda się osiągnąć dzięki rozwiązaniom napędzanym przez sztuczną inteligencję. Poza tym 64% przedsiębiorstw uważa, że jest to niezbędne narzędzie do radzenia sobie z rosnącymi wyzwaniami w cyberbezpieczeństwie.

Branża cybersecurity obecnie intensywnie inwestuje w rozwiązania oparte na AI i rynek ten będzie nadal rosnąć w nadchodzących latach. To znak, że AI staje się coraz bardziej integralną częścią krajobrazu cyberbezpieczeństwa i że organizacje muszą wykorzystać jej potencjał, aby zapewnić sobie bezpieczeństwo. Jakie cyberzagrożenia wykorzystuje już AI? Jakie rozwiązania zabezpieczające pozwalają się przed nimi bronić?

Phishing z automatu, ale spersonalizowany

Phishing i spear phishing to techniki cyberataków, które polegają na podszywaniu się pod zaufane osoby lub instytucje w celu wyłudzenia poufnych informacji, takich jak dane logowania czy informacje finansowe. W przeciwieństwie do tradycyjnego phishingu, który często kierowany jest do szerokiej publiczności w nadziei, że niektóre osoby odpowiedzą na złośliwe wiadomości, spear phishing jest znacznie bardziej profilowany. Atakujący przykładają dużą wagę do personalizacji swoich wiadomości, aby zwiększyć szanse na oszukanie konkretnej ofiary.

Wykorzystanie sztucznej inteligencji w tego typu atakach to duży krok naprzód dla cyberprzestępców, ponieważ pozwala im na automatyzację i skalowanie swoich działań. AI może analizować ogromne zbiory danych pochodzących z mediów społecznościowych, firmowych witryn internetowych oraz innych źródeł publicznie dostępnych, aby zebrać informacje o potencjalnych ofiarach. Na podstawie tych danych algorytmy są w stanie generować wiadomości e-mail, jakie nie tylko zawierają personalizowane komunikaty i odniesienia do rzeczywistych wydarzeń czy zainteresowań ofiary, ale również imitują styl pisania osób, z którymi ofiara zwykle się komunikuje.

Jednym z przykładów wykorzystania AI w spear phishingu jest tworzenie wiadomości, które rzekomo pochodzą od współpracownika ofiary, z prośbą o przesłanie wrażliwych dokumentów firmowych lub wykonanie pilnego przelewu finansowego. Atakujący mogą wykorzystać zdobyte informacje, aby dopasować język i ton wiadomości do tego, który jest typowy dla danego nadawcy, co znacznie zwiększa szansę na oszukanie ofiary.

Technologie AI, takie jak uczenie maszynowe i przetwarzanie języka naturalnego, są narzędziami umożliwiającymi taką personalizację. Pozwalają one nie tylko na analizę dużych zbiorów danych w poszukiwaniu użytecznych informacji, ale także na automatyczne generowanie przekonujących i spersonalizowanych treści do cyberataków. Dzięki AI proces ten może być przeprowadzany na dużą skalę.

KOMENTARZ EKSPERTA Wojciech Gliniecki, BU General Manager, Axians IT Solutions Poland Przyszłość cyberobrony: synergia sztucznej inteligencji człowieka w SOC Sztuczna inteligencja coraz częściej pomaga cyberprzestępcom. To zła wiadomość. Ale jest i dobra: ta sama AI może pomóc w ochronie przed tymi atakami. W branży IT najlepiej widać to na przykładzie zmian, jakie w ostatnich latach zaszły w działalności i sposobie funkcjonowania centrów operacji bezpieczeństwa (SOC). W obliczu ewoluujących zagrożeń cybernetycznych Centra Operacji Bezpieczeństwa (SOC) zaczynają odgrywać kluczową rolę nie tylko w przeciwdziałaniu atakom z wykorzystaniem sztucznej inteligencji, ale i praktycznym testowaniu technologii opartych na AI do wzmacniania obrony, analizowania zagrożeń i organizowania reakcji na incydenty bezpieczeństwa. W naszym SOC, zlokalizowanym w Szwajcarii, wykorzystując algorytmy uczenia maszynowego, trenujemy sztuczną inteligencję, aby analizowała ogromne zbiory danych w poszukiwaniu anomalii i potencjalnych zagrożeń. Szkolenie polega nie tylko na udostępnieniu historycznych informacji, ale również przeszukiwaniu przez AI nieustrukturyzowanych danych z różnych źródeł, takich jak media społecznościowe czy fora darknetowe, w celu zbierania informacji o taktykach stosowanych przez cyberprzestępców. Dzięki rozwiązaniom opartym na AI nasi pracownicy SOC mogą szybciej zrozumieć naturę ataku, jego zakres oraz potencjalny wpływ na systemy klienta. To w połączeniu z automatyzacją przepływów pracy, wspieraną przez platformy SOAR, umożliwia sprawne reagowanie na wszelkiego rodzaju incydenty przy jednoczesnym zredukowaniu liczby fałszywych alarmów. Do obrony przed cyberprzestępcami wykorzystujemy także analitykę predykcyjną. Dzięki niej SOC może proaktywnie dostrzegać i neutralizować potencjalne zagrożenia, wynikające np. z przestarzałości infrastruktury lub luk w zabezpieczeniach. Działania tego typu znacznie minimalizują zagrożenie, zanim dojdzie do jego wykorzystania przez cyberprzestępców. Pomimo tych postępów w wykorzystywaniu AI do obrony, chciałbym podkreślić, że sztuczna inteligencja nie zastąpi kluczowej roli ludzkich analityków SOC. Specjaliści ci zapewniają niezastąpiony osąd, kontekstowe postrzeganie zagrożeń i strategiczne możliwości podejmowania decyzji, których sztuczna inteligencja nie jest w stanie odtworzyć. Ich doświadczenie jest niezbędne w interpretowaniu alertów generowanych przez AI, badaniu złożonych incydentów cybernetycznych i zapewnianiu, że wykorzystywane rozwiązania są dostosowane do specyficznego środowiska bezpieczeństwa organizacji. Czynnik ludzki w operacjach cyberbezpieczeństwa zapewnia zrównoważone i zniuansowane podejście do wykrywania, analizy zagrożeń i reagowania na zagrożenia, w którym technologia i ludzie współpracują ze sobą. Z perspektywy takiej organizacji jak Axians technologie AI znacznie ułatwiają i zwiększają możliwości SOC w zakresie wykrywania, analizowania cyberzagrożen i reagowania na cyberzagrożenia, ciągle jednak niezbędny jest zespół wyspecjalizowanych ekspertów, który będzie wiedział, co zrobić, aby odeprzeć atak. Tylko synergia między technologią i wiedzą zapewni nam skuteczną obronę w erze naznaczonej wyrafinowanymi cyberzagrożeniami opartymi na sztucznej inteligencji.

Głos i wideo a deepfake

Ataki na autentyczność głosu opierają się na wykorzystaniu syntezy mowy i technologii deep learning do tworzenia fałszywych nagrań głosowych, które brzmią jak rzeczywiste osoby. Dzięki postępom w sektorze AI takie fałszywe nagrania mogą być niezwykle przekonujące – a to zwiększa ryzyko oszustw i manipulacji.

Jednym z przykładów wykorzystania tej technologii w praktyce jest atak, w którym przestępcy generują fałszywe nagranie głosu dyrektora firmy proszącego o pilny przelew finansowy. W takim scenariuszu osoba odpowiedzialna za finanse w firmie może otrzymać telefon od „dyrektora” z prośbą o natychmiastowe przekazanie znacznej sumy pieniędzy na określone konto bankowe. Głos na nagraniu jest na tyle przekonujący, że nawet osoby znające dyrektora mogą nie zorientować się w oszustwie. Co ciekawe, nie jest to tylko teoria. Do takiego ataku doszło w lutym 2024 r., kiedy pracownik z działu finansowego zlecił przelew na nieco ponad 25 mln dol. po rozmowie z fałszywym dyrektorem finansowym. Sytuacja miała miejsce w Hongkongu. „Podczas wieloosobowej wideokonferencji okazało się, że wszyscy uczestnicy, których widziała ofiara, byli fałszywi” – powiedział miejskiemu nadawcy publicznemu RTHK starszy nadinspektor Baron Chan Shun-ching z policji.

Technologia AI wykorzystywana do tworzenia takich ataków polega na analizie dostępnych nagrań głosowych danej osoby, np. z publicznych wystąpień, podcastów czy materiałów wideo dostępnych online. Algorytmy uczenia maszynowego są w stanie zrozumieć i naśladować specyficzne cechy głosu celu, takie jak akcent czy tempo mówienia, a także inne charakterystyczne elementy. Po zgromadzeniu wystarczającej ilości danych system jest w stanie wygenerować nowe słowa i zdania, które brzmią, jakby były wypowiedziane przez tę osobę, nawet jeśli w rzeczywistości nigdy ich nie wypowiedziała. Na pocieszenie – choć niezbyt wielkie – można dodać, że tego typu ataki muszą być wcześniej przygotowane. Atakujący nie mają (na razie) dostępnych narzędzi pozwalających w czasie rzeczywistej rozmowy przekształcać swój głos na głos „dyrektora”.

Obrona przed tego typu atakami wymaga podjęcia nowych strategii i technologii. Organizacje muszą wdrażać bardziej złożone procedury weryfikacji tożsamości, takie jak wieloetapowe procesy autoryzacji, które wykraczają poza tradycyjne metody, oraz przede wszystkim edukować pracowników na temat potencjalnych zagrożeń i sposobów ich identyfikacji

Zautomatyzowane ataki z AI

Automatyczne wykrywanie luk w zabezpieczeniach przy użyciu AI to proces, w którym algorytmy sztucznej inteligencji skanują systemy i aplikacje w poszukiwaniu słabości, jakie mogą być następnie wykorzystane do przeprowadzenia ataków. Ta technika pozwala cyberprzestępcom na identyfikowanie i wykorzystywanie luk w zabezpieczeniach na niespotykaną dotąd skalę, co zwiększa efektywność ich działań.

Dla porównania: tradycyjnie poszukiwanie luk w zabezpieczeniach wymagało od atakujących manualnego przeglądania kodu, konfiguracji systemów oraz sieci w poszukiwaniu znanych słabości. Było to czasochłonne i wymagało szczegółowej wiedzy technicznej. Wprowadzenie AI do tego procesu zmienia sytuację. Umożliwia przeprowadzenie tych działań automatycznie i na dużo większą skalę.

Algorytmy uczenia maszynowego wykorzystywane w tych atakach są trenowane na dużych zbiorach danych zawierających informacje o znanych lukach w zabezpieczeniach, błędach, typowych konfiguracjach systemów i aplikacji oraz metodach ich eksploatacji. Dzięki temu szybko analizują systemy docelowe, rozpoznają wzorce związane ze słabościami i potencjalnie odkrywają nowe luki, o których wcześniej nie było wiadomo.

Przykładem wykorzystania AI do wykrywania luk w zabezpieczeniach jest zautomatyzowane skanowanie publicznie dostępnych aplikacji webowych w poszukiwaniu błędów konfiguracyjnych, niezabezpieczonych punktów końcowych API, słabości w skryptach stron internetowych lub przestarzałych wersji oprogramowania, które są znane z poważnych słabości bezpieczeństwa. Kiedy algorytm znajdzie potencjalną lukę, jest w stanie automatycznie przetestować różne wektory ataku, aby sprawdzić, czy i jak można tę słabość wykorzystać.

Innym przykładem jest wykorzystanie AI do dynamicznego tworzenia złośliwego oprogramowania lub skryptów atakujących, które mogą automatycznie dostosowywać swoje działanie, opierając się na odkrytych słabościach w zabezpieczeniach systemu docelowego. Dzięki temu ataki są bardziej elastyczne i trudniejsze do wykrycia za pomocą tradycyjnych systemów bezpieczeństwa, które często opierają się na wykrywaniu znanych sygnatur zagrożeń.

Jeszcze lepszy ransomware

Ransomware to typ złośliwego oprogramowania, które blokuje dostęp do systemów IT lub danych poprzez ich szyfrowanie, a następnie żąda okupu za odblokowanie. Wykorzystanie AI w atakach ransomware znacznie zwiększa ich skuteczność. Dlaczego? Pozwala na automatyczną identyfikację i szyfrowanie najważniejszych danych w systemie ofiary, co maksymalizuje presję na zapłacenie okupu.

Tradycyjnie ataki ransomware polegają na masowym rozprzestrzenianiu złośliwego oprogramowania w nadziei na zainfekowanie jak największej liczby systemów. Z wykorzystaniem AI ataki te mogą być bardziej ukierunkowane. Na przykład algorytmy AI mogą analizować struktury danych w zainfekowanym systemie, identyfikując najcenniejsze lub najczęściej używane pliki i foldery. Takie algorytmy są w stanie rozpoznać dokumenty finansowe, bazy danych klientów, własność intelektualną i inne krytyczne zasoby, które – gdy zostaną zaszyfrowane – mogą spowodować największe szkody dla organizacji.

Wykorzystanie AI pozwala również na automatyczne dostosowywanie metod szyfrowania i taktyk omijania zabezpieczeń. To z kolei sprawia, że tradycyjne narzędzia antywirusowe i antymalware mają trudności z wykryciem i zablokowaniem takiego złośliwego oprogramowania przed zaszyfrowaniem danych. Dodatkowo AI może być wykorzystana do monitorowania aktywności systemu i automatycznego uruchamiania ataku w momencie, gdy system jest najbardziej podatny, np. podczas procesów backupu lub poza godzinami pracy, co utrudnia szybką reakcję na incydent.

Odpowiedź na te zaawansowane zagrożenia wymaga stosowania zaawansowanych technologii obronnych, również opartych na AI, które mogą w czasie rzeczywistym analizować wzorce zachowań w sieci i na urządzeniach, aby wykryć i zablokować podejrzane aktywności przed zaszyfrowaniem danych.

AI podnosi poprzeczkę

Sztuczna inteligencja jest wykorzystywana do ataków i przez cyberprzestępców. Jednocześnie coraz częściej jest też stosowana w rozwiązaniach zabezpieczających. W rezultacie poprzeczka jest wyżej ustawiona zarówno po stronie atakujących, jak i systemów obronnych.

AI może analizować ogromne ilości danych w czasie rzeczywistym, co jest nieosiągalne dla metod opartych wyłącznie na ludzkiej analizie. Dzięki uczeniu maszynowemu systemy mogą uczyć się z każdego nowego ataku, ciągle poprawiając swoją skuteczność. To podnosi nie tylko ich skuteczność, ale też redukuje fałszywe alarmy – algorytmy AI są w stanie lepiej rozróżniać fałszywe alarmy od rzeczywistych zagrożeń, pozwalając zespołom IT skupić się na faktycznych problemach.

Proaktywne działanie to kolejna silna strony AI. Systemy z AI potrafią przewidywać potencjalne ataki na podstawie analizy trendów i zachowań, umożliwiając organizacjom działanie prewencyjne.

Wdrażanie rozwiązań zabezpieczających opartych na AI wymaga jednak ciągłego monitorowania, aktualizacji oraz dostosowywania do specyficznych potrzeb i zagrożeń organizacji. To niezbędne dla zapewnienia ich maksymalnej efektywności.