Искусственный интеллект (AI) и машинное обучение (ML) на службе у киберпреступников
Атаки, основанные на передовых технологиях AI/ML, уже перестали быть редкостью. Это лишь вопрос времени, когда у новых групп появятся знания, опыт и инфраструктура для проведения таких атак в большем количестве
Что делать, когда субъекты угроз используют те же технологии, которые компании обычно применяют для своей защиты? Этот вопрос существовал еще на заре развития IT, но в случае AI и ML он становится гораздо более взрывоопасным. Например, киберпреступники могут использовать вредоносные программы с поддержкой AI/ML для запуска автономных атак, которые собирают информацию об инфраструктуре, сети и пользователях и безопасно передают эту важную информацию на командно-контрольный сервер. Таким образом, они могут найти способы во второй фазе атаки достичь своей цели автоматически и практически на «программной скорости». Даже более сложные атаки могут быть проведены очень быстро таким образом. Кроме того, можно найти пути в операционную технологическую среду или даже пропустить воздушный зазор в высокозащищенных инфраструктурах.
До сих пор современные технологии AI/ML, как правило, использовались государственными субъектами, обладающими средствами и возможностями для осуществления подобных атак. Однако по мере распространения технологий и тактик они могут и будут использоваться другими субъектами угроз.
Как бороться с кибератаками на основе AI/ML
Для хорошо организованных групп, занимающихся распространением вымогательского ПО, относительно легко с помощью своих ресурсов создать законно выглядящую стартап-компанию, разрабатывающую технологии обнаружения или устранения последствий. В такой обстановке они могут набирать талантливых людей, чтобы якобы стать новаторами в области кибербезопасности, а на самом деле они разрабатывают технологии для групп вымогателей. Если группа не тратит время и усилия на создание законного прикрытия для своих незаконных операций, она все равно может привлечь талантливых специалистов по кибербезопасности с помощью финансовых стимулов.
Уже было совершено несколько атак на основе AI/ML, и их количество значительно увеличивается. В ответ на это компаниям необходимо защитить себя с помощью систем обнаружения, основанных не только на традиционных методах, таких как обнаружение IOC (Indicators of Compromise) и исправление известных уязвимостей. Им необходимо использовать системы обнаружения на основе AI/ML с системами автоматизации и оркестровки для обнаружения даже мельчайших аномалий в поведении, потоках данных, инфраструктуре и коммуникациях в режиме реального времени. Вам необходимо собирать все эти данные о безопасности, чтобы быстро составить полную картину атаки и автоматически реагировать на нее. Атаки на основе AI/ML обычно происходят так быстро, что нет времени на то, чтобы добавить в SOC человека-аналитика по безопасности, который просто предоставляет автоматизированный ответ. Единственный способ справиться с атаками на основе AI/ML — это ответить столь же продвинутой защитой на основе AI/ML.
Интересное на эту тему: Внешние зарядные устройства скоро станут ненужными