Sztuczna inteligencja stała się modnym hasłem w kontekście cyberbezpieczeństwa. Dominuje w rozmowach branżowych, dyskusjach na szczeblu zarządów i nagłówkach mediów. Jedni ogłaszają, że AI jest cudownym rozwiązaniem, inni twierdzą, że jest gotowa zniszczyć cyfrowe społeczeństwo. Zamiast podsycania strachu, specjaliści ds. cyberbezpieczeństwa potrzebują jasnej oceny tego, jak sztuczna inteligencja zmienia obecne sposoby przeprowadzania ataków.
Jak to bywa z nowymi technologiami, towarzyszący im szum medialny i śmiałe deklaracje często rozmijają się z rzeczywistością. Cyberprzestępcy niewątpliwie włączają sztuczną inteligencję do swojego arsenału narzędzi ataku i chętnie ją wykorzystują. Mimo to, sensacyjne i apokaliptyczne scenariusze, które są często omawiane, pozostają w dużej mierze teoretyczne.
Jaka jest rola AI w cyberprzestępczości?
Wykorzystanie sztucznej inteligencji w cyberprzestępczości służy przede wszystkim zwiększaniu efektywności i skali istniejących technik, takich jak inżynieria społeczna czy dystrybucja złośliwego oprogramowania. Oznacza to więc wsparcie dla obecnie wykorzystywanych metod, a nie tworzenie nowych. Technologia ta obniża również próg wejścia dla cyberprzestępców, umożliwiając zarówno początkującym, jak i doświadczonym napastnikom przeprowadzanie skutecznych i dochodowych ataków.
– Sztuczna inteligencja na razie nie wymyśla cyfowych zagrożeń na nowo, ale daje im turbodoładowanie. Nasze główne odkrycie z ostatnich badań wskazuje, że nie widzimy nowych ataków, do prowadzenia których zastosowana została AI. To te same zagrożenia, ale na inną skalę i w innym zakresie, znacznie bardziej precyzyjne i dokładniejsze – powiedział dr Gil Baram, badacz z UC Berkeley’s Center.
Atakujący wykorzystują więc sztuczną inteligencję do automatyzacji pracochłonnych zadań, np. skalowania działań rozpoznawczych czy optymalizacji ataków i wykradania danych. Dobrze sprawdza się także przy tworzeniu wysoce spersonalizowanych i kontekstowo trafnych komunikatów socjotechnicznych oraz optymalizacji złośliwego kodu, by minimalizować ryzyko jego wykrycia.
Narzędzia AI i grupy cyberprzestępców
Atakujący wykorzystują narzędzia, takie jak FraudGPT i WormGPT, które wspomagają ich działalność operacyjną. W cyberprzestępczym podziemiu w szybkim tempie następuje także rozwój modeli AI-as-a-Service. Podobnie jak przy modelach Ransomware-as-a-Service, które upowszechniły się w ostatniej dekadzie, obecnie działający przestępcy mogą kupować różne usługi wykorzystujące sztuczną inteligencję. Oferują one narzędzia wywiadowcze, generowanie deepfake’ów czy zestawy do inżynierii społecznej ukierunkowane na określone branże lub języki. Przykładowo, narzędzia do tłumaczeń bazujących na AI znacząco przyczyniły się do tego, że wiadomości phishingowe stały się bardziej przekonujące, dzięki wyeliminowaniu z nich błędów językowych.
– Dekadę temu większość grup cyberprzestępczych samodzielnie zarządzała całym procesem ataku. Dziś działają one jak przedsiębiorstwa z różnorodnymi, wyspecjalizowanymi rolami. Wykwalifikowane jednostki osobno zajmują się rozwojem, testowaniem, uzyskiwaniem dostępu i monetyzacją zysków z ataków. Pośrednicy sprzedają dostęp do zainfekowanych systemów potencjalnym nabywcom. Inni koncentrują się wyłącznie na inżynierii społecznej lub tworzeniu deepfake’ów – mówi Derek Manky, Chief Security Strategist & Global VP Threat Intelligence w Fortinet.
Największym długoterminowym zagrożeniem jest szybkość, z jaką te podmioty dzielą się skutecznymi metodami i narzędziami. Techniki opracowane przez jednego cyberprzestępcę są często przejmowane przez innych w ciągu zaledwie kilku tygodni.
Ewolucja strategii obrony zbiorowej
Obecnie nacisk w cyberochronie jest kładziony na wykrywanie zagrożeń wspomaganych przez AI oraz na zautomatyzowanie reagowania na incydenty. Zespoły IT wykorzystują modele, takie jak MITRE ATT&CK do mapowania łańcuchów ataków oraz wykorzystywania sztucznej inteligencji w modelowaniu predykcyjnym i wykrywaniu anomalii. W dalszej ewolucji i wzmacnianiu ochrony zbiorowej istotne może też być przeanalizowanie od nowa całych struktur bezpieczeństwa.
– Międzynarodowa współpraca nie jest już opcjonalna – to jedyna droga do skutecznej obrony. Dyskusje te muszą również wpływać na zmiany w regułach polityki, ponieważ wymagają proaktywnego rozwoju nowych ram i ustandaryzowanych, globalnie akceptowanych norm dotyczących używania i nadużywania AI. Sztuczna inteligencja będzie nadal wpływać na każdy aspekt cyberbezpieczeństwa. Niezależnie od posiadanych zasobów i specjalistycznej wiedzy, żaden pojedynczy podmiot nie jest w stanie samodzielnie sprostać temu wyzwaniu. W Fortinet jesteśmy podekscytowani możliwością dalszego wnoszenia wkładu w inicjatywę Centrum Długoterminowego Cyberbezpieczeństwa dotyczącą cyberprzestępczości wspomaganej przez AI i inne podobne akcje – dodaje Derek Manky.
Jaki jest kierunek rozwoju cyberbezpieczeństwa?
W kontekście cyberbezpieczeństwa kluczowe jest przewidywanie, jak zastosowanie AI przekształci taktyki atakujących w nadchodzących latach. Równie ważne jest rozpoznanie fundamentalnych trendów i prawdopodobnych wyzwań, jakie ta ewolucja stawia przed całą branżą. Jednym z nich jest możliwość znacznego przyspieszenia wykrywania luk zero-day przez przyszłe systemy bazujące na sztucznej inteligencji.
Cyberprzestępcy mogą z łatwością wykorzystać AI także do opracowywania nowych kierunków ataków. Przykładowy scenariusz to wykorzystywanie słabości w samych systemach uczenia maszynowego lub przeprowadzanie wyrafinowanych ataków polegających na zatruwaniu danych. Ich celem są modele GenAI wykorzystywane przez organizacje. Kluczowe jest więc, aby eksperci ds. cyberbezpieczeństwa monitorowali, jak podmioty stanowiące zagrożenie stopniowo wykorzystują automatyzację do wspierania swoich ataków.