Kończący się powoli rok zdecydowanie mija pod hasłem powszechnej adopcji Sztucznej Inteligencji – w biznesie i w życiu codziennym. Wydawałoby się, że optymizm związany z jej wykorzystaniem niesie za sobą tylko zyski, ale zdajemy się zapominać, że z tych narzędzi korzystają też cyberprzestępcy. To stawia nas w sytuacji, kiedy na co dzień pojawiają się nowe wyzwania dla prywatności i bezpieczeństwa w cyfrowym świecie. Niestety historia dowodzi, że to samo narzędzie, które z idei tworzone jest w dobrej wierze, szybko zostaje wykorzystane w niecnych celach.
Nowe modele ataków, nowe zasady gry
Trzy główne obszary, w których patrząc od strony atakujących nastąpił skok do przodu, to:
Automatyzacja ataków socjotechnicznych poprzez GenAI – niezwykle przekonujące deepfake’s i maile phishingowe. AI wykorzystujące polimorfizm: automatycznie zmieniające drobne detale w każdej wiadomości, co pozwala omijać standardowe, oparte na wzorcach reguły wykrywania i znacząco zwiększa skuteczność ataków. Analizując na bieżąco dane zbierane z sieci społecznościowych czy historyczne e-maile wraz ze stylem komunikacji, AI potrafi się tak dopasowywać, by fałszywe wiadomości podczas ataków były praktycznie nie do odróżnienia. To swoista optymalizacja kampanii i oszustw typu BEC (Business Email Compromise), polegających na podszywaniu się pod zaufane lub znajdujące się wysoko w strukturach firmy osoby – nadal bardzo skuteczna podczas kradzieży znaczących środków finansowych.
Stale rosnąca popularność modeli „as-a-service”, jak np. Ransomware-as-a-Service czy Malware-as-a-Service. Grupy hackerskie, które oferują gotowe „pakiety tematyczne” ze wsparciem technicznym w zamian za podział zysków. Teraz każdy, nawet osoba nie posiadająca wiedzy o technologii, może potencjalnie kupić sobie ransomware lub inne złośliwe narzędzia na czarnym rynku jako usługę abonamentową.
Rosnące obawy o bezpieczeństwo samych modeli – jako użytkownicy końcowi, wpisując zapytanie do ulubionego asystenta AI, nie zastanawiamy się na ile jesteśmy pewni poprawności danych, na których model został wytrenowany. Ani tym bardziej czy mogły one zostać zatrute, tak żeby generowały fałszywy wynik i podejmowały błędne decyzje.
Jeśli odpowiedź „czata” wyda nam się podejrzana, możemy spróbować szybko ją zweryfikować w innym narzędziu czy to wyszukując informacje w modelu klasycznym w przeglądarce, czy ewentualnie konsultując z inną osobę. Nieporównywalnie większym problemem, ze zgoła innymi konsekwencjami, może być manipulowanie danymi wejściowymi, używanymi do podejmowania decyzji mających wpływ na realne zdarzenia, np. w postaci obrazu znaków, innych pojazdów czy pieszych w autonomicznych pojazdach.
Cyfrowa forteca i jej obrońcy:
Wraz z rozwojem AI, tradycyjne metody i elementy infrastruktury bezpieczeństwa, takie jak systemy wykrywania intruzów (IDS/IPS), firewalle czy oparte na sygnaturach antywirusy przestały wystarczać. Specjaliści od bezpieczeństwa dostosowywali się chociażby przez implementację strategii tzw. obrony wgłąb (Defense-in-Depth) bazującej na wielowarstwowości i różnorodności kontroli oraz tzw. braku zaufania i ciągłej weryfikacji (Zero-Trust), ale te podejścia tylko utrudniają i spowalniają intruzów, jednocześnie nie gwarantując wystarczająco wczesnego wykrycia, które da organizacji możliwość reakcji na zagrożenie.
Ponieważ monitoring i wykrywanie nieodzownie wiążą się z analizą ogromnej ilości danych z sensorów w czasie rzeczywistym, AI naturalnie zrobi to lepiej i szybciej. Pozwoli skorelować potencjalnie jednostkowe odstępstwa czy lepiej oznaczać fałszywe alarmy i dostosowywać baseline do aktualnych warunków. To i dodatkowo analiza behawioralna, wbudowany system proaktywnego wykrywania zagrożeń (Threat Hunting) odpowiednio zareagują, wyizolują zasób i zastosują zautomatyzowany plan obrony, jeśli takowy został zaakceptowany.
Tutaj z pomocą przychodzi zastosowanie modeli LLM w narzędziach typu Endpoint Security (XDR), chroniących przed atakami poprzez ciągłą analizę wzorców i anomalii ruchu w sieci oraz telemetrii z całej przyległej infrastruktury, jak wykorzystanie zasobów przez aplikacje czy próśb o dostęp od użytkowników. Jest to standardowa usługa zaszyta w aplikacjach wszystkich rozpoznawanych dostawców. Dodatkowo podszyta jest opartą na chmurze obliczeniowej bazą danych, ciągle aktualizowanj, co daje większą skuteczność i skalowalność.
Najczęściej wymienianymi zaletami stosowania takich rozwiązań jest znaczne skrócenie czasu wykrycia i reakcji na incydent – branża przyjmuje, że nawet o 70-80%. Systemy Extended Detection and Response potrafią także integrować dane z wielu warstw zabezpieczeń, zwiększając skuteczność wczesnego wykrywania złożonych i celowych ataków typu APT (Advanced Persistent Threat).
Bardzo ważna jest też możliwość wykrywania tzw. niewidzialnych ataków (“Living off the Land”), wykorzystujących „legalne” pliki i narzędzia systemowe, w których przypadku „subtelne” anomalie zwykle pozostawały niezauważalne dla tradycyjnych, odizolowanych systemów.
Podobnie sztuczna inteligencja wspiera działanie rozwiązań przeciw wyciekom wrażliwych danych (DLP – Data Leakage Protection), samodzielnie klasyfikując dane, nieustannie analizując wzorce zachowań użytkowników, precyzyjniej podejmując zautomatyzowane działania obronne, eliminując fałszywe alarmy i natychmiastowo alertując zespół bezpieczeństwa w przypadku naruszenia polityk, czy też automatycznie zbierając i zabezpieczając dowody.
Wszystkie wyżej wymienione funkcjonalności pozwalają znacząco odciążyć zespoły analityków SOC (Security Operations Center), zmaksymalizować skuteczność i zminimalizować czas reakcji, dając potężne narzędzie w nierównej walce z osobami i grupami przestępczymi wykorzystującymi słabe punkty systemów.
Autorem komentarza jest Jarosław Wojciechowski, ekspert ds. cyberbezpieczeństwa oraz infrastruktury IT
