Inteligența artificială (AI) este subiectul zilei, cele mai noi și mai avansate tehnologii în materie de inteligență artificială stârnind numeroase știri în jurul acestui subiect. Și probabil că puține industrii vor avea de câștigat la fel de mult sau vor fi afectate la fel de puternic ca securitatea cibernetică. Contrar opiniei generale, unii jucători din domeniu folosesc această tehnologie, într-o formă sau alta, de peste două decenii. Dar puterea cloud computing-ului și algoritmii avansați se combină pentru a îmbunătăți și mai mult apărarea digitală sau pentru a ajuta la crearea unei noi generații de aplicații bazate pe inteligență artificială, care ar putea transforma modul în care organizațiile protejează, detectează și răspund la atacuri.

Pe de altă parte, pe măsură ce aceste capacități devin mai accesibile, actorii amenințărilor vor utiliza, de asemenea, această tehnologie în cadrul ingineriei sociale, al dezinformării, al escrocheriilor și nu numai.

O scurtă istorie

Modelele lingvistice de mari dimensiuni (LLM) pot fi motivul pentru care atenția s-a îndreptat către inteligența artificială, dar tehnologia a fost folosită în alte moduri de ani de zile. ESET, de exemplu, a implementat pentru prima dată tehnologia AI în urmă cu peste un sfert de secol, prin intermediul rețelelor neuronale, în încercarea de a îmbunătăți detecția macrovirusurilor. De atunci, tehnologia AI este folosită sub diferite forme pentru a livra:

• Diferențierea între mostrele de cod malițios și cel sigur
• Triajul, sortarea și etichetarea rapidă și în masă a mostrelor de malware
• Un sistem de reputație în cloud, care utilizează un model de învățare continuă prin intermediul datelor introduse pentru training
• Protecție endpoint cu rate ridicate de detecție și rate scăzute de rezultate fals-pozitive, datorită unei combinații de rețele neuronale, arbori de decizie și alți algoritmi
• Un instrument puternic de tip sandbox în cloud, alimentat de detecția, dezarhivarea și scanarea multistratificată prin machine learning, detecția experimentală și analiza profundă a comportamentului
• O nouă protecție pentru cloud și endpoint-uri, alimentată de modele AI transformer
• XDR care ajută la prioritizarea amenințărilor prin corelarea, trierea și gruparea unor volume mari de evenimente

De ce este folosită inteligența artificială de către echipele de securitate?

În prezent, echipele de securitate au nevoie mai mult ca niciodată de instrumente eficiente bazate pe inteligență artificială, ca urmare a trei factori principali:

1. Lipsa de competențe

Ultimul raport a evidențiat existența unui deficit de aproximativ patru milioane de profesioniști în domeniul securității cibernetice la nivel global, inclusiv 348.000 în Europa și 522.000 în America de Nord. Organizațiile au nevoie de instrumente pentru a spori productivitatea personalului pe care îl au și pentru a oferi îndrumare în ceea ce privește analiza amenințărilor și remedierea acestora în absența colegilor seniori și cu experiență. Spre deosebire de personalul uman, AI poate funcționa 24/7/365 și poate detecta tipare pe care profesioniștii în domeniul securității le-ar putea rata.

2. Actorii amenințărilor sunt agili, determinați și dispun de resurse suficiente

În timp ce echipele de securitate cibernetică se străduiesc să recruteze, adversarii lor devin din ce în ce mai puternici. Potrivit unei estimări, economia criminalității cibernetice ar putea ajunge până la 10,5 trilioane de dolari anual până în 2025. Actorii amenințători în devenire pot găsi tot ceea ce au nevoie pentru lansarea de atacuri, acestea fiind grupate în oferte și seturi de instrumente pregătite „as-a-service”. Intermediarii terți oferă acces la organizații deja compromise. Și chiar și actorii de nivel înalt din structurile guvernamentale naționale se implică în atacuri motivate financiar - mai ales Coreea de Nord, dar și China și alte națiuni. În state precum Rusia, guvernul este suspectat că alimentează în mod activ hacktivism-ul anti-occidental.

3. Miza nu a fost niciodată mai mare

Pe măsură ce investițiile în domeniul digital au crescut de-a lungul anilor, la fel a crescut și încrederea în sistemele IT pentru a alimenta creșterea durabilă și avantajul competitiv. Apărătorii rețelelor știu că, dacă nu reușesc să prevină sau să detecteze și să limiteze rapid amenințările cibernetice, organizația lor ar putea suferi daune financiare și reputaționale majore. În prezent, o breșă de securitate a datelor costă în medie 4,45 milioane de dolari. Dar o breșă gravă rezultată dintr-un atac ransomware care implică întreruperea serviciilor și furtul de date ar putea atinge o sumă mult mai mare. O estimare susține că numai instituțiile financiare au pierdut 32 de miliarde de dolari din cauza întreruperii serviciilor începând cu 2018.

Cum este folosită tehnologia AI de către echipele de securitate?

Prin urmare, nu este surprinzător faptul că organizațiile caută să valorifice puterea inteligenței artificiale pentru a le ajuta să prevină, să detecteze și să răspundă mai eficient la amenințările cibernetice. Dar cum anume fac acest lucru? Prin corelarea indicatorilor din volumele mari de date pentru a identifica atacurile. Prin identificarea codurilor malițioase prin activități suspecte care ies din comun. Și ajutând analiștii de amenințări prin interpretarea informațiilor complexe și prin prioritizarea alertelor.

Iată câteva exemple de utilizări actuale și din viitorul apropiat ale inteligenței artificiale în scop pozitiv:

• Threat intelligence: Asistenții bazați pe tehnologie AI generativă (GenAI) alimentați de LLM pot simplifica ceea ce este complex, analizând rapoarte tehnice dense pentru a rezuma punctele cheie și elementele care pot fi luate în considerare în termeni simpli pentru analiști.
• Asistenții AI: Integrarea „copilotului” AI în sistemele IT poate ajuta la eliminarea configurațiilor greșite periculoase care, altfel, ar lăsa organizațiile vulnerabile la atacuri. Acest lucru ar putea funcționa atât pentru sistemele IT generale, cum ar fi platformele cloud, cât și pentru instrumentele de securitate, precum firewall, care pot necesita actualizarea unor setări complexe.
• Sprijinirea productivității centrelor de operațiuni de securitate: Analiștii centrelor de operațiuni de securitate (SOC) din prezent sunt supuși unei presiuni enorme pentru a detecta rapid, a răspunde și a limita amenințările actuale. Dar dimensiunea suprafeței de atac și numărul de instrumente care generează alerte poate fi adesea copleșitor. Aceasta înseamnă că amenințările legitime pot fi omise, în timp ce analiștii își pierd timpul cu alerte fals-pozitive. Inteligența artificială poate ușura povara prin contextualizarea și prioritizarea acestor alerte și, eventual, chiar prin rezolvarea alertelor minore.
• Noi detecții: Actorii de amenințare își îmbunătățesc în mod constant tacticile, tehnicile și procedurile (TTP). Dar prin combinarea indicatorilor de compromitere (IoC) cu informații disponibile public și fluxuri de amenințări, instrumentele de inteligență artificială ar putea scana și indica cele mai recente amenințări.

Cum este folosită inteligența artificială în atacurile cibernetice?

Din păcate, infractorii cibernetici au pus ochii și pe inteligența artificială. Potrivit Centrului Național de Securitate Cibernetică din Marea Britanie (NCSC), tehnologia AI „va spori amenințarea globală privind ransomware” și „aproape sigur va crește volumul și impactul atacurilor cibernetice în următorii doi ani”. Iată cum folosesc actorii de amenințare inteligența artificială la momentul actual:

• Inginerie socială: Una dintre cele mai evidente utilizări ale tehnologiei AI generativă este aceea de a ajuta actorii de amenințări să creeze campanii de phishing la scară largă extrem de convingătoare și aproape perfecte din punct de vedere gramatical.
• BEC și alte escrocherii: Din nou, tehnologia GenAI poate fi utilizată pentru a imita stilul de scriere al unei anumite persoane fizice sau a reprezentantului unei companii, pentru a păcăli victima să vireze bani sau să predea informații sensibile sau date de conectare. În același scop, ar putea fi utilizate și materiale audio și video false. FBI a emis în trecut mai multe avertismente în acest sens.
• Dezinformare: GenAI poate, de asemenea, să elimine sarcina grea a creării de conținut pentru operațiunile de influențare a publicului. Un raport recent a avertizat că Rusia folosește deja astfel de tactici care ar putea fi reproduse la scară largă dacă se constată că au succes.

Limitele inteligenței artificiale

În prezent, tehnologia AI are limitele sale. Aceasta poate genera rate ridicate de rezultate fals-pozitive și, fără seturi de date de training de înaltă calitate, impactul său va fi limitat. De asemenea, este deseori necesară supravegherea umană pentru a verifica dacă rezultatele sunt corecte și pentru a antrena modelele. Toate acestea indică faptul că AI nu este o soluție simplă pentru probleme complicate ale atacatorilor, și nici pentru cele ale apărătorilor.

În timp, instrumentele acestora ar putea să intre în confruntare: unul încearcă să găsească vulnerabilități în sistemul de apărare și să păcălească angajații, în timp ce celălalt caută semne de activitate ale tehnologiei AI rău intenționate. Acesta este începutul unei noi etape în domeniul securității cibernetice.