Проникновение технологий искусственного интеллекта в область кибербезопасности вызывает серьезную озабоченность.
С одной стороны, технологии ИИ могут использоваться безопасниками для смягчения атак и нейтрализации угроз. Однако, оказавшись в руках кибербандитов, технологии ИИ станут опасным оружием и будут представлять серьезную угрозу.
По данным BCG, более 90% безопасников в США и Японии ожидают, что кибербандиты начнут использовать ИИ для проведения атак. По мнению автора, такой сценарий, по сути, уже стал реальностью.
Искусственный интеллект открывает большие возможности для хакеров, позволяя им увеличивать силу атак в плане скорости, объема и сложности до огромных масштабов. Атаки на основе ИИ могут обходить традиционные системы обнаружения более чем в 15% случаев, в то время как средняя фишинговая атака (без ИИ) может быть успешной только в 0,3% случаев.
Решения с поддержкой ИИ для киберугроз нового поколения
При противодействии данной растущей угрозе важно отметить, что для защиты от кибератак с использованием ИИ, требуется применять решения на основе ИИ. То есть там, где дипфейки могут обмануть системы безопасности, должна использоваться более высокая аутентификация на основе искусственного интеллекта. И так далее.Организации только начинают осознавать риски искусственного интеллекта. Предприятиям следует действовать как можно быстрее, чтобы успеть защитить свои системы от подобных атак. WannaCry вывел кибератаки на совершенно другой уровень сложности. А теперь еще добавился ИИ? Этого нельзя допустить.
Риски ИИ при проведении кибератак:
Масштабируемость
На конференции Black Hat в 2016 году исследователи представили программу автоматического целевого фишинга. Целевой фишинг, как правило, требует много времени и усилий; в зависимости от масштаба атаки. Злоумышленнику, скорее всего, придется собрать большой объем информации о своих целях для эффективной социальной инженерии. Исследователи продемонстрировали, как большие данные и машинное обучение можно использовать для автоматизации и масштабирования целевых фишинговых атак.Выдача себя за другое лицо
Несколько месяцев назад эксперты Dawes Center for Future Crime назвали дипфейки самой серьезной киберугрозой, связанной с искусственным интеллектом. Нетрудно понять почему. Дипфейки - это инструмент дезинформации, политических манипуляций и обмана. Кроме того, злоумышленники могут использовать дипфейки, чтобы выдать себя за доверенных лиц, взломать деловую электронную почту (голосовой фишинг) для финансового мошенничества. И хуже всего то, что киберпреступников будет трудно обнаружить.Возможность дипфейка высмеивает саму идею голосовой биометрии и аутентификации. Дипфейки заставят людей не доверять звуковым и визуальным свидетельствам, которые долгое время считались надежными источниками доказательств.
Обнаружение-уклонение
Один из способов использования ИИ для уклонения от обнаружения - это отравление данных. Злоумышленники компрометируют данные, используемых для обучения и настройки интеллектуальных систем обнаружения угроз. Например, “поработав” с настройками, они могут убедить систему, что спам-сообщения безопасны. Использование ИИ позволяет злоумышленникам действовать более скрытно и опасно.Исследования показывают, что заражение всего 3% данных может повысить вероятность ошибки до 91%. ИИ можно использовать как для уклонения от атак, так и для адаптации к защитным механизмам.
Изощренность
Выше было рассказано, как ИИ усиливает атаки. Атаки искусственного интеллекта гораздо хуже обычных из-за автоматизации и машинного обучения. Автоматизация преодолевает предел человеческих усилий, в то время как машинное обучение заставляет алгоритмы атак улучшаться на основе опыта и становиться более эффективными, независимо от того, была ли успешной атака.Адаптивность означает, что атаки на основе ИИ будут становиться все сильнее и опаснее, если не будут разработаны более сильные контр инструменты для сопротивления.
Использование ИИ для защиты от ИИ
Машинное обучение для обнаружения угроз
При защите от ИИ с помощью ИИ машинное обучение помогает автоматизировать обнаружение угроз. Особенно это касается новых угроз, от которых не могут защитить традиционные антивирусные системы и брандмауэры. Машинное обучение может на 50–90% сократить количество ложных срабатываний, представляющих серьезную опасность при традиционном обнаружении угроз.В отличие от инструментов обнаружения предыдущего поколения, основанных на сигнатурах, машинное обучение может отслеживать и регистрировать модели использования сети среди сотрудников в организации и своевременно предупреждать руководителей об обнаружении аномального поведения.
Согласно статистике, в настоящее время 93% SOC используют инструменты искусственного интеллекта и машинного обучения для обнаружения угроз. Из-за увеличения количества данных и роста числа изощренных кибератак специалистам в области безопасности необходимо усилить свои возможности защиты и обнаружения с помощью контролируемого и неконтролируемого машинного обучения.
Улучшение аутентификации с помощью ИИ
Слабая проверка подлинности - наиболее распространенный способ получения несанкционированного доступа к конечным точкам. Как мы видим на примере дипфейков, даже биометрическая аутентификация больше не является панацеей. ИИ дает возможность изощренно обходить защиту, повышая требования к инструментам аутентификации.Инструменты проверки подлинности, основанные на рисках, (Risk-Based Authentication, RBA) используют поведенческую биометрию на основе искусственного интеллекта для выявления подозрительной активности и предотвращения взлома конечных точек. Затем аутентификация выходит за рамки проверки пользователя до аналитики в реальном времени. RBA, который также называется адаптивным интеллектом, оценивает информацию о местоположении, IP-адрес, информацию об устройстве, конфиденциальность данных и т. д. После этого рассчитывается оценка риска и делается вывод о предоставлении или ограничении доступа.
Например, если человек всегда входит в систему утром в рабочие дни через компьютер в офисе и однажды пытается войти в систему через мобильное устройство в ресторане в выходной, это может являться признаком компрометации, и система должным образом отреагирует на подобное нестандартное поведение.
При использовании интеллектуальной модели безопасности RBA злоумышленнику недостаточно просто знать пароль к системе.
В дополнение к этому, системы аутентификации на основе искусственного интеллекта начинают внедрять непрерывную аутентификацию, продолжая использовать поведенческую аналитику. Вместо одного входа в систему за сеанс, который может быть атакован на полпути, система постоянно работает в фоновом режиме, аутентифицируя пользователя, анализируя пользовательскую среду и поведение на предмет подозрительных шаблонов.
ИИ в предотвращении фишинга
Улучшение обнаружения угроз - один из способов использования ИИ для предотвращения фишинговых атак по электронной почте, а также обеспечения безопасности при использовании торрент-сайтов для загрузки мультимедийного содержимого. Все эти вещи также можно сделать с помощью простого поведенческого анализа. Предположим, вы получили электронное письмо якобы от генерального директора. ИИ проанализирует сообщение, чтобы выявить закономерности, несовместимые с манерой общения настоящего генерального директора.ИИ проанализирует стиль письма, синтаксис и выбор слов для выявления противоречий и предотвращения попадания в ловушку, что позволит пользователю безопасно просматривать и скачивать файлы.
ИИ также может сканировать метаданные электронной почты для обнаружения измененных подписей, даже если адрес электронной почты выглядит нормально. Он также сканирует ссылки и изображения, чтобы проверить их подлинность. В отличие от традиционных средств защиты от фишинга, блокирующих вредоносные электронные письма с помощью фильтров, которые легко можно обойти, ИИ выступает непосредственно против самого ядра фишинговых писем: социальной инженерии.
Атаки социальной инженерии трудными для выявления делает то, что они являются психологическими, а не технологическими. До сих пор чистая человеческая смекалка и скептицизм были инструментами для преодоления подобных атак. Теперь ИИ усилил профилактику, расширив пределы человеческих возможностей.
Распознавая закономерности, которые не сразу очевидны для людей, ИИ может определить, является ли электронное письмо вредоносным, даже если оно не содержит подозрительных ссылок или кода. Причем с помощью автоматизации ИИ может это делать в большом масштабе.
Предиктивная аналитика
Основным преимуществом ИИ в кибербезопасности является способность прогнозировать атаки и наращивать защиту еще до того, как данные атаки произойдут. ИИ поможет поддерживать полную видимость всей сетевой инфраструктуры организации и анализировать конечные точки для обнаружения возможных уязвимостей. В наш век удаленной работы и использования пользователями собственных устройств для рабочих нужд, когда ИТ-отделы все чаще сталкиваются с трудностями в обеспечении безопасности конечных точек, ИИ может значительно облегчить их работу.ИИ - лучший выбор против уязвимостей нулевого дня, позволяющий быстро создать интеллектуальную защиту еще до того, как эти уязвимости будут использованы злоумышленниками. Кибербезопасность с использованием ИИ можно назвать чем-то вроде цифровой иммунной системы организации, подобно тому, как человеческие антитела атакуют инородные вещества.
Что в итоге?
В прошлом году австралийские исследователи обошли знаменитый антивирус Cylance AI, не применяя общепринятый метод отравления наборов данных. Они просто изучили, как работает антивирус, и создали универсальное решение для обхода. Исследование поставило под сомнение практику определения компьютером того, чему следует доверять, а также вызвало сомнения в эффективности использования ИИ для кибербезопасности.Однако, что более важно, данное исследование показало важность человека. ИИ не является панацеей или серебряной пулей, для борьбы с продвинутыми киберугрозами человеческий контроль по-прежнему необходим. Таким образом мы знаем, что одних человеческих усилий с обычными инструментами кибербезопасности недостаточно для преодоления следующего поколения киберугроз, основанных на искусственном интеллекте.