Sztuczna inteligencja (AI) znajduje coraz szersze zastosowanie. Jest obecna w wielu dziedzinach codziennego życia – od zakupów online po ochronę zdrowia. Niestety, wykorzystują ją także cyberprzestępcy, którzy dzięki tym mechanizmom wzmacniają skuteczność swoich ataków. Aby podjąć skuteczną walkę, zespoły ds. cyberbezpieczeństwa powinny zatem skupić się na zrozumieniu tych technik i na bazie tej wiedzy projektować strategię działania.
Już w 2018 r. organizacja Electronic Frontier Foundation przestrzegała przed możliwością złośliwego zastosowania sztucznej inteligencji[1]. I rzeczywiście, mechanizmy te coraz częściej stają się dużym zagrożeniem dla bezpieczeństwa cyfrowego, gdyż dzięki nim cyberprzestępcy potrzebują mniej czasu na włamanie się do sieci. Zwykle operacja ta trwała nawet kilka miesięcy, zaś obecnie – kilka dni. Z powodu tak dużej skuteczności wzrasta liczba ataków bazujących na sztucznej inteligencji i uczeniu maszynowym. Skrócenie czasu potrzebnego na przeprowadzenie złośliwych działań przekłada się też na obniżenie związanych z nimi kosztów. W tym kontekście sytuację administratorów utrudnia możliwość dokonania przez cyberprzestępców automatyzacji całego procesu mapowania sieci, odkrywania potencjalnych celów, znajdowania w nich luk bezpieczeństwa, a nawet przeprowadzania niestandardowych ataków.
– Sztuczna inteligencja w rękach atakujących stanowi coraz większe zagrożenie dla bezpieczeństwa sieci i danych. Sytuację pogarsza możliwość wykorzystania przez nich tzw. inteligentnych rojów oraz tworzenia zautomatyzowanych i bazujących na skryptach zagrożeń. To wszystko w zawrotnym tempie zwiększa szybkość i skalę cyberataków – ocenia Derek Manky z FortiGuard Labs firmy Fortinet.
Konieczność stosowania zintegrowanej architektury bezpieczeństwa
W wielu przedsiębiorstwach architektura ochronna nie jest dostosowana do obrony przed atakami bazującymi na sztucznej inteligencji. Głównym problemem jest stosowanie w jednym środowisku nawet kilkudziesięciu punktowych produktów zabezpieczających sieć, często pochodzących od różnych producentów. Utrudnia to uzyskanie pełnego obrazu poziomu ochrony, ponieważ wymagane jest ręczne integrowanie danych z wielu aplikacji. W takiej sytuacji niemożliwa jest skuteczna i skoordynowana reakcja na cyberatak obejmujący całą sieć.
Co więcej, zespoły ds. cyberbezpieczeństwa często nie nadążają z wykrywaniem zagrożenia, ponieważ przestępcy stają się coraz szybsi i minimalizują czas potrzebny na przeprowadzenie ataków. To z kolei powoduje powstawanie tzw. luki wykrywalności naruszenia bezpieczeństwa (Breach Detection Gap), określanej jako okres od momentu włamania do sieci, aż do wykrycia incydentu. Dane przedstawione w dokumencie Ponemon Cost of a Data Breach Report 2020[2] wskazują, że czas ten może wynieść średnio nawet 280 dni. Według tego raportu, przeciętny koszt naruszenia bezpieczeństwa danych na świecie wynosi 3,86 mln dolarów. Skala tego zjawiska pokazuje, jak ważne jest zintegrowanie posiadanych zabezpieczeń.
Czego zespoły ds. bezpieczeństwa IT mogą nauczyć się od cyberprzestępców?
W branży cyberbezpieczeństwa stale brakuje dużej liczby specjalistów. Pozyskanie odpowiednio wykwalifikowanych pracowników w tym obszarze jest dla firm poważnym problemem. Szczególnie trudno jest znaleźć osoby, które znają się na sztucznej inteligencji. Tymczasem, wraz z jej rozwojem, cyberprzestępcy opracowują coraz bardziej skuteczne, bazujące na tym mechanizmie techniki. Wykorzystywane w cyberatakach samouczące się rozwiązania pozwalają nie tylko na szybkie znalezienie luk w zabezpieczeniach. Umożliwiają także dobieranie na bieżąco najskuteczniejszego w danej sytuacji złośliwego kodu oraz aktywne neutralizowanie prób jego zablokowania.
– Wykorzystując sztuczną inteligencję oraz łącząc ją z nowymi metodami ataków, np. rojami botów, cyberprzestępcy zyskują możliwość segmentacji ataku. Jego poszczególne elementy funkcjonalne mogą być przypisane do różnych członków roju, aby umożliwić interaktywną komunikację i przyspieszyć tempo ataku. Trzeba jednak zaznaczyć, że może być on też przeprowadzony przez pojedynczego przestępcę, więc nie zawsze jest potrzebne angażowanie większej grupy ludzi – opisuje Derek Manky.
Cyberprzestępcy posługują się coraz bardziej złożonymi i wyrafinowanymi technikami, co przekłada się na wzrost efektywności ich działania. Dlatego strategia bezpieczeństwa również powinna być wzmocniona o zastosowanie rozwiązań wykorzystujących sztuczną inteligencję. Zespoły ds. cyberbezpieczeństwa powinny zapomnieć o zasadzie, że ognia nie gasi się ogniem. W tym przypadku jest odwrotnie. Wyrównanie szans w walce z cyberprzestępcami będzie możliwe tylko wtedy, gdy metodyka ich działania zostanie zaadaptowana do celów działań ochronnych. Jest to istotne zwłaszcza w sytuacji niedoboru specjalistów na rynku. Wykorzystanie potencjału sztucznej inteligencji może usprawnić pracę zespołów ds. bezpieczeństwa i chociaż trochę zmniejszyć odczuwanie negatywnych skutków luki kompetencyjnej.
[1] https://www.eff.org/deeplinks/2018/02/malicious-use-artificial-intelligence-forecasting-prevention-and-mitigation
[2] https://www.ibm.com/security/data-breach
