ChatGPT sprawił, że sztuczna inteligencja znalazła się w centrum uwagi opinii publicznej, napędzając intensywny “wyścig zbrojeń” w cyberprzestrzeni. AI może bowiem pomóc przestępcom usprawnić ich operacje, czyniąc je bardziej wydajnymi, wyrafinowanymi i skalowalnymi, a jednocześnie pozwalając im uniknąć zdemaskowania. Jednak z drugiej strony, otwierają się nowe możliwości dla specjalistów ds. cyberbezpieczeństwa i organów ścigania, które pozwolą na użycie narzędzi AI do przeciwdziałania nielegalnej działalności – od opracowania taktyk i strategii, poprzez automatyzację analizy danych, po predykcyjne wykrywanie ataków i skuteczniejsze identyfikowanie sprawców.
Oczekuje się, że cyberprzestępcy skorzystają ze sztucznej inteligencji i postępów w uczeniu maszynowym na wiele sposobów. Ze względu na narzędzia AI zmniejszono potrzebę ludzkiego zaangażowania w kilku etapach cyberataków, w tym w tworzeniu oprogramowania czy początkowych fazach oszustw i wymuszeń. Zmniejsza to wielkość zespołu i szansę wpadki – oferty „pracy” związane z przestępczością zazwyczaj trafiają na fora dark web i inne anonimowe kanały, które są pod baczną obserwacją organów ścigania.
„AI ułatwia cyberprzestępcom analizę ogromnych ilości danych, w tym tych zdobytych w trakcie ataków. Pozwala im to zidentyfikować słabe punkty lub cele o wysokiej wartości, umożliwiając bardziej precyzyjne i skuteczne próby, niosące jednocześnie większe zyski. Analiza dużych zbiorów danych to złożone przedsięwzięcie wymagające znacznej mocy obliczeniowej, a tym samym ograniczające jej zastosowanie do dużych organizacji przestępczych i Advanced Persistant Threats (grup sponsorowanych przez państwa), które są w ogóle w stanie posiadać taką moc” – komentuje Giannis Tziakouris z Cisco Talos.
Przewiduje się, że wykorzystanie sztucznej inteligencji będzie powszechne wśród wspomnianych już grup APT i najsilniejszych organizacji przestępczych w celu szerzenia dezinformacji i manipulowania opinią publiczną. Taktyki te obejmują tworzenie realistycznych deepfake’ów, fałszywych stron internetowych, kampanii dezinformacyjnych, wiarygodnych botów w mediach społecznościowych i innych oszustw opartych na AI. Istnieją już dowody na wykorzystywanie przez grupę cyberprzestępczą sztucznej inteligencji do manipulacji w mediach społecznościowych i rozpowszechniania dezinformacji na temat pandemii COVID-19. Kampania opierała się na uczeniu maszynowym w celu identyfikacji pojawiających się trendów i generowania bardzo przekonujących fałszywych artykułów.
Innym obszarem działalności przestępczej, który może rozwijać się dzięki AI, jest tworzenie wyrafinowanych ataków phishingowych i socjotechnicznych. Przykładem może być incydent z 2020 roku, w którym przestępcy w trakcie ataku z zastosowaniem techniki klonowania głosu opartej na sztucznej inteligencji podszyli się pod prezesa brytyjskiej firmy energetycznej i ukradli ponad 240 tys. dol. Z kolei w Indiach wykorzystano model uczenia maszynowego do analizy i naśladowania stylu pisania wiadomości e-mail znajomych potencjalnych ofiar w celu tworzenia dopasowanych i przekonujących wiadomości phishingowych.
Ulepszenie narzędzi cyberprzestępców może mieć również wpływ na optymalizację pracy i oprogramowania za pomocą sztucznej inteligencji. Wdrożenie AI do ataków z użyciem malware pozwala na uniknięcie wykrycia przez systemy bezpieczeństwa, wykorzystując mechanizmy automatycznego przetwarzania kodu, dzięki czemu mogą one zmieniać swoje działania w zależności od środowiska, w którym działają. Co więcej, cyberprzestępcy mogą potencjalnie wykorzystać technologię sztucznej inteligencji do stworzenia oprogramowania generującego złośliwe oprogramowanie.
Generatory złośliwego oprogramowania w połączeniu z AI mogłyby czerpać z najnowszych narzędzi, taktyk i procedur (TTP) stosowanych przez przestępców, a także być na bieżąco z osiągnięciami zespołów cyberbezpieczeństwa. Przykład złośliwego oprogramowania opartego na sztucznej inteligencji został zademonstrowany przez badaczy stojących za DeepLocker. Pokazano, w jaki sposób AI może być wykorzystywana do zwiększania skuteczności ataków, ustalając warunek aktywacji oprogramowania na tylko wtedy, gdy wykryty zostanie ustalony cel, unikając wykrycia poprzez ukrywanie się w „bezpiecznych” aplikacjach.
AI w służbie cyberbezpieczeństwa
Z drugiej strony, specjaliści ds. cyberbezpieczeństwa i organy ścigania będą wykorzystywać moc sztucznej inteligencji do walki z przestępcami. Celem jest opracowanie innowacyjnych narzędzi, taktyk i strategii przeciwdziałania atakom. I tak, obszary takie jak wykrywanie zagrożeń oraz zapobieganie im będą zapewne głównym obszarem innowacji w zakresie AI w cyberbezpieczeństwie.
Wiele istniejących narzędzi ochrony w dużym stopniu opiera się wyłącznie na rozpoznawaniu złośliwych sygnatur i danych wprowadzanych przez użytkownika, co czyni je nieskutecznymi w wykrywaniu nowoczesnych ataków. W związku z tym coraz większa liczba dostawców zwraca się w stronę technologii AI i uczenia maszynowego, aby skuteczniej wykrywać zagrożenia. Przykładowo w Cisco Secure Endpoint i Cisco Umbrella, uczenie maszynowe zastosowano do wykrywania i neutralizacji podejrzanych zachowań w sposób zautomatyzowany, odpowiednio w punktach końcowych i sieciach. Zastosowanie wspomnianych technologii może przeciwdziałać wdrożeniom złośliwego oprogramowania generowanego przez AI.
Jednym z obszarów, w którym sztuczna inteligencja może przynieść korzyści, jest reagowanie na incydenty bezpieczeństwa i cyberkryminalistyka, gdzie AI zajmie się zautomatyzowaną analizą dzienników, stanu systemu, ruchu sieciowego i zachowania użytkowników w celu identyfikacji włamań i działań przestępców. Jak wskazuję specjaliści, sztuczna inteligencja skróci proces dochodzenia, zidentyfikuje wzorce, które mogą być trudne do wykrycia ręcznie oraz zapewni wgląd w techniki i narzędzia stosowane przez przestępców. Umożliwi to większej liczbie firm na całym świecie reagowanie na incydenty i wyciągnięcie wniosków.
„Innym potencjalnym zastosowaniem AI, zarówno przez zespoły cyberbezpieczeństwa, jak i organy ścigania, jest usprawnienie identyfikacji grup przestępczych poprzez analizę sygnatur ataków, użytego oprogramowania itp. Analizując te zestawy danych, AI może identyfikować wzorce i trendy, które pomagają ekspertom ds. cyberbezpieczeństwa w zawężeniu możliwego pochodzenia źródła ataku. Pozwala to odkryć motywy i możliwości atakujących, lepiej zrozumieć ich taktyki i potencjalne zagrożenia. Ponadto, analiza pozwala na dokładniejszą identyfikację przestępców, którzy fałszują swoją atrybucję, np. używają technik, metod i narzędzi używanych przez inną grupę” – uważa Giannis Tziakouris.
Algorytmy AI i uczenie maszynowe będą coraz częściej wykorzystywane do zautomatyzowanej analizy i identyfikacji zagrożeń. Pojawiające się zagrożenia mogą być skutecznie identyfikowane z zastosowaniem analizy danych zebranych w trakcie monitorowania dark web i testowania oprogramowania open source. W Cisco Talos AI wykorzystuje się do automatyzacji analizy zagrożeń – klasyfikacji generowanych stron internetowych, identyfikacji prób spoofingu poprzez analizę logo czy klasyfikacji wiadomości phishingowych na podstawie analizy tekstu oraz podobieństw binarnych.
Jak wskazują eksperci, sztuczna inteligencja umożliwi zautomatyzowane gromadzenie, analizę i korelację danych na większą skalę oraz identyfikację trendów, które mogą oznaczać nowe techniki ataku lub podmioty stanowiące zagrożenie. Pozwoli to zespołom ds. cyberbezpieczeństwa na szybsze reagowanie na pojawiające się cyberzagrożenia.
Ponadto sztuczna inteligencja może również służyć jako cenne narzędzie do analizy predykcyjnej, umożliwiając przewidywanie potencjalnych zagrożeń cybernetycznych i luk w zabezpieczeniach w oparciu o dane i wzorce. Analizując wnioski z poprzednich ataków, systemy AI są w stanie identyfikować wspólne trendy, wzorce lub grupy, które mogą wskazywać na przyszłe ataki. Zdolność ta już umożliwia ekspertom ds. cyberbezpieczeństwa przyjęcie bardziej proaktywnej postawy w zakresie bezpieczeństwa, takiej jak szybkie łatanie luk w zabezpieczeniach lub wdrażanie dodatkowych mechanizmów kontroli bezpieczeństwa w celu ograniczenia potencjalnych zagrożeń, zanim zostaną one wykorzystane przez cyberprzestępców.
