O sztucznej inteligencji i uczeniu maszynowym mówią dziś wszyscy. Chociaż łatwo jest traktować te dwie technologie wyłącznie w kategoriach modnych haseł, to mają one o wiele większe znaczenie. Zmieniają nie tylko branżę zabezpieczeń informatycznych, lecz również środowisko zagrożeń. Z wielu względów sztuczną inteligencję można nazwać polem cybernetycznego wyścigu zbrojeń. Przed nami trudny okres. Aby stawić czoła coraz bardziej zaawansowanym i skutecznym atakom, będziemy potrzebować najlepszych narzędzi sztucznej inteligencji.
Sztuczna inteligencja jest klasycznym mieczem obosiecznym. Zarówno cyberprzestępcy, jak i specjaliści odpowiedzialni za ochronę systemów mogą jej używać w celu zwiększenia swojej skuteczności. Jak wynika z przeprowadzonych w ubiegłym roku badań, 87% amerykańskich specjalistów ds. cyberbezpieczeństwa korzysta obecnie z niektórych form sztucznej inteligencji, ale 91% obawia się, że hakerzy użyją tej technologii przeciwko nim.
Co sztuczna inteligencja może zaoferować „białym kapeluszom”?
Przede wszystkim uczenie się normalnych zachowań i wykrywanie wzorców, które mogą umknąć ludzkiemu oku, dotyczących zarówno danych przesyłanych przez sieć, jak i otrzymywanych informacji o zagrożeniach. W ten sposób technologia ta umożliwia analitykom szybkie podejmowanie odpowiednich działań lub automatyzację wykrywania zagrożeń i reagowania na nie. Jest to szczególnie ważne, jeśli weźmiemy pod uwagę, że wiele firm boryka się z brakiem specjalistów. W ubiegłym roku można było usłyszeć, że Wielka Brytania zmierza na „skraj przepaści” z powodu niedoboru wykwalifikowanych pracowników. Podczas gdy starsi odchodzą na emeryturę, nie ma młodych, którzy mogliby ich zastąpić. Przewiduje się, że w 2021 roku będzie brakować 1,8 mln specjalistów.
Jeśli nawet firmie uda się znaleźć analityka ds. zabezpieczeń, jego zatrudnienie sporo kosztuje. Dlatego tak ważna jest automatyzacja wykrywania zagrożeń za pomocą sztucznej inteligencji. Dzięki tej technologii specjaliści będą mogli przeznaczyć więcej czasu na zadania o większym znaczeniu strategicznym, co przełoży się na efektywność systemu bezpieczeństwa informatycznego przedsiębiorstwa. Oprócz kwalifikacji ogromne znaczenie ma szybkość wykrywania zagrożeń. Im dłużej pozwolimy sprawcy ataku pozostać w sieci, tym więcej danych może on odfiltrować i tym większe straty poniesie firma. Koszty wycieków danych w Wielkiej Brytanii szacuje się dziś na około 2,7 mld GBP, a średni czas wykrycia takiego incydentu wynosi aż 163 dni, co jest nie do przyjęcia. Sztuczna inteligencja może ten proces znacznie przyspieszyć.
Szybkość jest szczególnie ważna w przypadku szkodliwego oprogramowania typu ransomware, które błyskawicznie szyfruje pliki o krytycznym znaczeniu dla przedsiębiorstwa. Uczenie maszynowe może pomóc w wykryciu minimalnych niespójności i zmian, które w innym przypadku pozostałyby niezauważone, wskazujących na szyfrowanie plików przez takie oprogramowanie.
Mechanizmy uczenia maszynowego przed wykonaniem mogą nawet pomóc firmie w zablokowaniu szkodliwych plików, zanim zdążą one zainfekować system. Ze względu na fałszywe alarmy, które czasem stanowią duży problem, narzędzia takie są często używane w połączeniu z analizą w czasie wykonywania, dzięki czemu mamy pewność, że blokujemy tylko niepożądane procesy.
Celem jest stworzenie systemu cyberzabezpieczeń z narzędziami sztucznej inteligencji, które mogą się uczyć, rozwijać i dojrzewać. Narzędzia te tworzą wzorce, w które włączane są informacje zwrotne z systemów analizy zagrożeń w pętli dodatniego sprzężenia zwrotnego. Dzięki temu cały czas doskonalą swoje działanie.
Ciemna strona sztucznej inteligencji
Z drugiej jednak strony istnieją duże możliwości wykorzystania sztucznej inteligencji w celach przestępczych. Skutki głośnych w przeszłości cyberataków byłyby znacznie gorsze, gdyby sprawcy użyli tej nowej technologii. Na przykład wirus WannaCry trafił na pierwsze strony światowych mediów i zniszczył jedną trzecią brytyjskiego systemu opieki zdrowotnej NHS, ale jako szkodliwe oprogramowanie ostatecznie poniósł porażkę. Ze względu na duży rozgłos szybko zwrócił na siebie uwagę specjalistów ds. zabezpieczeń i nie zdążył zapewnić swoim twórcom przyzwoitego zwrotu z inwestycji.
Wszystko mogłoby się skończyć inaczej, gdyby hakerzy wykorzystali sztuczną inteligencję i na przykład zainstalowali w zaatakowanej sieci narzędzia do uczenia maszynowego, aby podsłuchiwać użytkowników i śledzić ich zachowania, analizować ruch danych i protokoły komunikacyjne oraz odwzorowywać całe systemy przedsiębiorstw. W rezultacie poziome penetrowanie sieci w celu dotarcia do konkretnych informacji lub użytkowników w sposób niebudzący podejrzeń stałoby się proste.
Sztuczna inteligencja może również znacznie ułatwić stosowanie technik inżynierii społecznej, a w szczególności pomóc w analizie stylu języka i kontekstu komunikacji. Przykładem jest proces przeglądania dokumentów. Haker może monitorować komunikację między pracownikami, aby podrzucić im dokument zawierający szkodliwe oprogramowanie w wiadomości e-mail wysłanej w odpowiednim czasie oraz napisanej w tak dobrze podrobionym stylu, że odbiorca nie zawaha się jej otworzyć. Tego rodzaju ataków spear-phishingu na razie nie stwierdzono, choć trzeba przyznać, że nawet najlepsi specjaliści mieliby trudności z ich wykryciem.
Co więcej, ataki takie mogłyby być organizowane na wielką skalę, w sposób wysoce zautomatyzowany, z wykorzystaniem sztucznej inteligencji do tworzenia szkodliwego oprogramowania, które przechytrzyłoby obecnie używane narzędzia zabezpieczające.
Czy mamy się czego obawiać?
Są już dostępne gotowe technologie, które mogą zostać użyte w celach przestępczych. Przykład stanowią oferowane przez Google narzędzia sztucznej inteligencji do przekształcania mowy w tekst. Cyberprzestępcy mogą je wykorzystać do ataku na system nadzoru cybernetycznego sali zebrań zarządu przedsiębiorstwa, a dodatkowe narzędzia tego rodzaju – do przeszukania tekstu i wybrania z niego fragmentów będących przedmiotem ich zainteresowania. Jak dotąd nie są znane narzędzia oparte na sztucznej inteligencji stworzone specjalnie w celach przestępczych, ale wszystko przed nami. Należy się spodziewać, że model oprogramowania w formie usługi ułatwi dostęp do takich narzędzi w internetowym podziemiu, gdzie wcześniej czy później się pojawią.
Kwestią czasu jest pojawienie się specjalnie zaprojektowanych narzędzi, za pomocą których „czarne kapelusze” będą skutecznie omijać filtry zabezpieczające i realizować bardziej zaawansowane ataki typu phishing. Można z nimi walczyć tylko w jeden sposób – używając tej samej broni. Będzie to jednak wyboista droga.