Najważniejsze informacje:
- W obszarze cyberbezpieczeństwa rośnie wpływ wykorzystania AI, niosąc ze sobą poważne konsekwencje dotyczące „wyścigu zbrojeń” między cyberprzestępcami a zespołami IT.
- Przyjęcie narzędzi AI przez grupy cyberprzestępców wzbudziło poważne obawy na temat cyberbezpieczeństwa ze względu na wiele sposobów, w jakie można wykorzystywać nowe rozwiązania do zakłócania pracy i osiągania zysków.
- Z drugiej strony, organy ścigania i firmy mogą wykorzystać sztuczną inteligencję do wzmocnienia cyberbezpieczeństwa i przeciwdziałania atakom.
Warszawa, 24 sierpnia 2023 – Ostatnie lata przyniosły popularyzację algorytmów uczenia maszynowego (Machine Learning) oraz AI. Coraz więcej organizacji wykorzystuje te technologie do automatyzacji swoich operacji, a także ulepszania produktów i usług. Mimo że firmy korzystają z tych nowych narzędzi już od jakiegoś czasu, wielu użytkowników po raz pierwszy zetknęło się z nimi dopiero w ciągu ostatnich kilku miesięcy – przede wszystkim w postaci generatywnej AI, pomagającej generować teksty, kody czy obrazy bez potrzeby posiadania wiedzy informatycznej. ChatGPT sprawił, że AI znalazła się w centrum uwagi opinii publicznej, napędzając intensywny wyścig zbrojeń w cyberprzestrzeni.
Z jednej strony AI może pomóc przestępcom usprawnić ich operacje, czyniąc je bardziej wydajnymi, wyrafinowanymi i skalowalnymi, jednocześnie pozwalając im uniknąć zdemaskowania. Jednak po drugiej stronie są nowe możliwości dla specjalistów ds. cyberbezpieczeństwa i organów ścigania, które pozwolą na użycie narzędzi AI do przeciwdziałania nielegalnej działalności. Od opracowania taktyk i strategii, poprzez automatyzację analizy danych, po predykcyjne wykrywanie ataków i skuteczniejsze identyfikowanie sprawców.
„Trzeba przyznać, że obecne przypadki użycia AI wykrywane przez ekspertów Cisco Talos są bardzo zróżnicowane w poziomie zaawansowania, zarówno w przypadku przestępców, jak firmowych informatyków. Niektóre były możliwe do wykonania za pomocą łatwo dostępnych narzędzi obsługujących AI, podczas gdy inne wymagały zaawansowanych umiejętności technicznych, kosztownej infrastruktury i czasu” – tłumaczy Giannis Tziakouris z Cisco Talos.
Cyberprzestępczość zyskuje na sile dzięki AI
Oczekuje się, że cyberprzestępcy skorzystają z AI i postępów w uczeniu maszynowym na wiele sposobów. Ze względu na narzędzia sztucznej inteligencji zmniejszona została potrzeba ludzkiego zaangażowania w kilku etapach cyberataków, w tym w tworzeniu oprogramowania czy początkowych fazach oszustw i wymuszeń. Zmniejsza to wielkość zespołu i szansę wpadki – oferty „pracy” związane z przestępczością zazwyczaj trafiają na fora dark web i inne anonimowe kanały, które są pod baczną obserwacją organów ścigania.
„AI ułatwia cyberprzestępcom analizę ogromnych ilości danych, w tym tych zdobytych w trakcie ataków. Pozwala im to zidentyfikować słabe punkty lub cele o wysokiej wartości, umożliwiając bardziej precyzyjne i skuteczne próby, niosące jednocześnie większe zyski. Analiza dużych zbiorów danych to złożone przedsięwzięcie wymagające znacznej mocy obliczeniowej, a tym samym ograniczające jej zastosowanie do dużych organizacji przestępczych i Advanced Persistant Threats (grup sponsorowanych przez państwa), które są w ogóle w stanie posiadać taką moc” – wyjaśnia Giannis Tziakouris z Cisco Talos.
Przewiduje się, że wykorzystanie sztucznej inteligencji będzie powszechne wśród wspomnianych już grup APT i najsilniejszych organizacji przestępczych w celu szerzenia dezinformacji i manipulowania opinią publiczną. Taktyki te obejmują tworzenie realistycznych deepfake’ów, fałszywych stron internetowych, kampanii dezinformacyjnych, wiarygodnych botów w mediach społecznościowych i innych oszustw opartych na AI. Istnieją już dowody na wykorzystywanie przez grupę cyberprzestępczą sztucznej inteligencji do manipulacji w mediach społecznościowych i rozpowszechniania dezinformacji na temat pandemii COVID-19. Kampania opierała się na uczeniu maszynowym w celu identyfikacji pojawiających się trendów i generowania bardzo przekonujących fałszywych artykułów.
Innym obszarem działalności przestępczej, który może rozwijać się dzięki AI, jest tworzenie wyrafinowanych ataków phishingowych i socjotechnicznych. Przykład stanowi incydent z 2020 r., w którym przestępcy w trakcie ataku z zastosowaniem techniki klonowania głosu opartej na sztucznej inteligencji podszyli się pod prezesa brytyjskiej firmy energetycznej i ukradli ponad 240 000 USD. Natomiast w Indiach wykorzystano model uczenia maszynowego do analizy i naśladowania stylu pisania wiadomości e-mail znajomych potencjalnych ofiar w celu tworzenia dopasowanych i przekonujących wiadomości phishingowych.
Ulepszenie narzędzi cyberprzestępców może mieć również wpływ na optymalizację pracy i oprogramowania za pomocą sztucznej inteligencji. Wdrożenie sztucznej inteligencji do ataków z użyciem malware pozwala na uniknięcie wykrycia przez systemy bezpieczeństwa, wykorzystując mechanizmy automatycznego przetwarzania kodu, dzięki czemu mogą one zmieniać swoje działania w zależności od środowiska, w którym działają. Co więcej, cyberprzestępcy mogą potencjalnie wykorzystać technologię sztucznej inteligencji do stworzenia oprogramowania generującego złośliwe oprogramowanie.
Generatory złośliwego oprogramowania w połączeniu z AI mogłyby czerpać z najnowszych narzędzi, taktyk i procedur (TTP) stosowanych przez przestępców, a także być na bieżąco z osiągnięciami zespołów cyberbezpieczeństwa. Przykład złośliwego oprogramowania opartego na sztucznej inteligencji został zademonstrowany przez badaczy stojących za DeepLocker. Pokazano, w jaki sposób AI może być wykorzystywana do zwiększania skuteczności ataków, ustalając warunek aktywacji oprogramowania na tylko wtedy, gdy wykryty zostanie ustalony cel, unikając wykrycia poprzez ukrywanie się w „bezpiecznych” aplikacjach.
AI w służbie bezpieczeństwa
Z drugiej strony, specjaliści ds. cyberbezpieczeństwa i organy ścigania mogą wykorzystać moc AI do walki z przestępcami. Celem jest opracowanie innowacyjnych narzędzi, taktyk i strategii przeciwdziałania atakom.
Obszary takie jak wykrywanie zagrożeń i zapobieganie im będą głównym obszarem innowacji w zakresie AI w cyberbezpieczeństwie. Wiele istniejących narzędzi ochrony w dużym stopniu opiera się wyłącznie na rozpoznawaniu złośliwych sygnatur i danych wprowadzanych przez użytkownika, co czyni je nieskutecznymi w wykrywaniu nowoczesnych ataków. W związku z tym coraz większa liczba dostawców zwraca się w stronę technologii AI i uczenia maszynowego, aby skuteczniej wykrywać zagrożenia. Przykłady obejmują Cisco Secure Endpoint i Cisco Umbrella, w których uczenie maszynowe zastosowane zostało do wykrywania i neutralizacji podejrzanych zachowań w sposób zautomatyzowany, odpowiednio w punktach końcowych i sieciach. Zastosowanie wspomnianych technologii może przeciwdziałać wdrożeniom złośliwego oprogramowania generowanego przez AI.
Analiza dużych zbiorów danych w celu identyfikacji słabych punktów może być żmudnym zadaniem, pochłaniającym znaczną ilość czasu i pieniędzy. W związku z tym jednym z obszarów, w którym sztuczna inteligencja może przynieść korzyści, jest reagowanie na incydenty bezpieczeństwa i cyberkryminalistyka, gdzie AI zajmie się zautomatyzowaną analizą dzienników, stanu systemu, ruchu sieciowego i zachowania użytkowników w celu identyfikacji włamań i działań przestępców. Sztuczna inteligencja skróci proces dochodzenia, zidentyfikuje wzorce, które mogą być trudne do wykrycia ręcznie oraz zapewni wgląd w techniki i narzędzia stosowane przez przestępców. Umożliwi to większej liczbie firm na całym świecie reagowanie na incydenty i wyciągnięcie wniosków.
„Innym potencjalnym zastosowaniem AI, zarówno przez zespoły cyberbezpieczeństwa, jak i organy ścigania, jest usprawnienie identyfikacji grup przestępczych poprzez analizę sygnatur ataków, użytego oprogramowania itp. Analizując te zestawy danych, AI może identyfikować wzorce i trendy, które pomagają ekspertom ds. cyberbezpieczeństwa w zawężeniu możliwego pochodzenia źródła ataku. Pozwala to odkryć motywy i możliwości atakujących, lepiej zrozumieć ich taktyki i potencjalne zagrożenia. Ponadto, analiza pozwala na dokładniejszą identyfikację przestępców, którzy fałszują swoją atrybucję, np. używają technik, metod i narzędzi używanych przez inną grupę” – mówi Giannis Tziakouris z Cisco Talos.
Algorytmy AI i uczenie maszynowe będą coraz częściej wykorzystywane do zautomatyzowanej analizy i identyfikacji zagrożeń. Pojawiające się zagrożenia mogą być skutecznie identyfikowane z zastosowaniem analizy danych zebranych w trakcie monitorowania dark web i testowania oprogramowania open source. „Cisco Talos od lat wykorzystuje sztuczną inteligencję do automatyzacji analizy zagrożeń, takich jak klasyfikacja generowanych stron internetowych, identyfikacja prób spoofingu poprzez analizę logo, klasyfikacja wiadomości phishingowych na podstawie analizy tekstu i analizy podobieństw binarnych. Chociaż “tradycyjne” prace specjalistów nad zagrożeniami okazały się bardzo skuteczne, sztuczna inteligencja rozwinie ten obszar, umożliwiając zautomatyzowane gromadzenie, analizę i korelację danych na większą skalę oraz identyfikację trendów, które mogą oznaczać nowe techniki ataku lub podmioty stanowiące zagrożenie. Umożliwia to zespołom ds. cyberbezpieczeństwa szybsze reagowanie na pojawiające się cyberzagrożenia” – kontynuuje Giannis Tziakouris.
Sztuczna inteligencja może również służyć jako cenne narzędzie do analizy predykcyjnej, umożliwiając przewidywanie potencjalnych zagrożeń cybernetycznych i luk w zabezpieczeniach w oparciu o dane i wzorce. Analizując wnioski z poprzednich ataków, systemy AI są w stanie identyfikować wspólne trendy, wzorce lub grupy, które mogą wskazywać na przyszłe ataki. Zdolność ta umożliwia ekspertom ds. cyberbezpieczeństwa przyjęcie bardziej proaktywnej postawy w zakresie bezpieczeństwa, takiej jak szybkie łatanie luk w zabezpieczeniach lub wdrażanie dodatkowych mechanizmów kontroli bezpieczeństwa w celu ograniczenia potencjalnych zagrożeń, zanim zostaną one wykorzystane przez cyberzłodziei.
„Rozwój sztucznej inteligencji niesie ze sobą nowe wyzwania i ogromne możliwości, ponieważ baza użytkowników i zastosowań tej technologii stale się powiększa. Skuteczne i ukierunkowane wykorzystanie narzędzi związanych ze sztuczną inteligencją będzie odgrywać kluczową rolę dla ekspertów ds. cyberbezpieczeństwa i organów ścigania w wykrywaniu, obronie i atrybucji cyberataków. Wykorzystując moc sztucznej inteligencji, podmioty te mogą zwiększyć swoje możliwości w zwalczaniu ewoluujących zagrożeń i zapewnianiu bezpieczeństwa cyfrowych ekosystemów. Ponieważ krajobraz cyberprzestępczości stale się zmienia i rozrasta, wykorzystanie sztucznej inteligencji będzie miało kluczowe znaczenie dla wyprzedzenia przestępców” – podsumowuje Giannis Tziakouris z Cisco Talos.