Jsou oblasti lidského konání, jež jsou z hlediska AI dosud půdou panenskou. A pak jsou zde sektory, kde je AI (zejména strojové učení, Machine Learning) s úspěchem využíváno již po mnoho let. Upřímně vzato, těch prvních neustále ubývá s tím, jak hype kolem AI zachvacuje svět a software bez nálepky "AI Inside" je stále hůře prodejný.
Mezi oblasti, kde jsou některé prvky umělé inteligence již využívány, patří jisto jistě i oblast kybernetické bezpečnosti. Zde je možné mluvit o "tradiční AI" provádějící všelijakou lokální analýzu a vedle toho o nástupu "velkých" AI strojů, které prosévají masivní kvanta dat a hledají podezřelé signály.
Od virů na disketách k umělé inteligenci vyhledávající slabiny a zranitelnosti
Technologie používané v kybernetické obraně se vždy snaží držet krok, resp. předcházet a bránit se budoucím útokům ze strany škůdců. Dříve stačilo lokální stanici pravidelně zásobovat signaturami (tj. tradiční antivirus) a později doplňovat podezřelé vzorce pro heuristiku (EDR) a náskok vůči škůdcům byl u většiny zákazníků dostatečný. To již dnes neplatí. Útočníci využívají AI nejen pro maskování podezřelých vzorců v kódu, ale i pro vytváření obrovských množství modifikací škodlivého kódu, které tradiční formy a nástroje obrany nemohou pokrýt.
Vedle toho útočníci využívají pokročilých nástrojů pro vyhledávání zranitelností v softwaru či v aplikacích dostupných z internetu. Systematicky se snaží hledat neznámé díry, o kterých nikdo jiný dosud neví, tzv. zero day zranitelnosti. Každý úspěch jim zajistí další zisky, které, podobně jako "jiní podnikatelé", dále investují do výzkumu a vývoje.
Osamocený hacker? Ne, zločinecké organizace pracující na zakázku vlády
Tam, kde dříve obránci stáli proti jednotlivcům, dnes čelí výborně organizovaným zločineckým syndikátům. Vedle toho své kyber-laboratoře provozují i mnohé vlády. A nezřídka byla zaznamenána spolupráce mezi vládami a syndikáty. Nikoli jen ve směru plytkého vymáhání práva či naopak neútočení na vládní cíle, ale i provádění zakázek vysloveně dle pokynu a instrukcí vlády.
Jak AI pomáhá odhalovat kybernetické útoky
V čem vůbec spočívá odhalování kybernetických útoků?
V první řadě jde o sběr informací z chráněného prostředí. Zdroji událostí jsou servery, síťové prvky (switche, routery), bezpečnostní zařízení (firewally, systémy prevence průniku, load ballancery, ochrany proti DDoS útokům, ochrana a monitoring koncových zařízení a jiné) i samotné aplikace (přihlašování uživatelů, přístupy k datům atd.).
K těmto lokálním signálům jsou přidány informace od ostatních zákazníků z celého světa a informace o známých zranitelnostech, v neposlední řadě informace od konkurence. Jde o obrovské množství dat, která může zpracovávat centrální AI engine. Ten se neustále učí a výsledkem je odhalování vektorů útoků, které by jinak unikly pozornosti, lidských operátorů.
Tyto principy jsou využity u téměř všech tzv. Next-Gen produktů a XDR řešení (komplexní nástroj zahrnující vstupy z různých monitorovacích systém), bez ohledu na výrobce. Lze říci, že čím více dat napříč časem má řešení k dispozici, tím větší je šance na odhalení tzv. pomalých útoků (APT). Ty se vyznačují tím, že sestávají z mnoha dílčích kroků, které samy o sobě nevypadají jako velké hrozby.
Příklad?
Škodlivý kód v e-mailu jen vytvoří zadní vrátka. Teprve po nějaké době dojde k odeslání informace na velící stroj (C&C server). Klidně o mnoho týdnů později, na pokyn serveru či autonomně, dojde k další fázi útoku, např. stažení adminkitu, který vzdálenému útočníku umožní další ovládnutí stroje, později třeba dalších strojů v síti a pak i exfiltraci dat. Po exfiltraci může dojít k úplnému odstranění stop, nebo naopak třeba k zašifrování dat a požadavku na výkupné.
Pokud je útok rozložen do několika měsíců, jednotlivé kroky mohou v záplavě dalších událostí uniknout pozornosti bezpečnostního týmu. Stejně tak je pravděpodobné, že mezitím došlo k výmazu záznamů o jednotlivých aktivitách staršího data, což rovněž ztíží odhalení nebo vyšetření kybernetického útoku.
AI bezpečnostní řešení v praxi
Díky využití AI, která se trénuje na minulých útocích a která má k dispozici signály z tisíců zdrojů, je však je možné i velmi sofistikované a dlouhé útoky odhalit. Platí to i pro tzv. pomalé útoky.
Připojení na server v Rusku či Číně ještě před pár lety znamenalo téměř jistotu, že něco je špatně. Díky propojenosti světa již to není pravda a zejména sociální sítě a reklamní sítě jsou natolik komplexní, že jednoduché vzorce dávno přestaly platit. Vedle toho do hry vstupují různé jazykové mutace, které pro většinu lidských analytiků představují nepřekonatelnou bariéru.
Naproti tomu pro AI řešení nepředstavuje jazyk zásadní omezení a jejich schopnosti vzít v úvahu další kontextuální vstupy (včetně těch získaných v dané vzdálené zemi) umožní správně klasifikovat danou situaci. Například, že se jedná o on-line hru, která běží v komerčním datacentru někde v Rusku, do níž byly po interacki uživatele na Aliexpresu přidány reklamní vstupy ze serverů v Číně.
Vedle toho pro AI není zásadní problém udržet informace o různých útočících APT skupinách, identifikovat potenciální útoky a ve spolupráci s lidskými operátory odhalit i velmi sofistikované útoky. Platí však, že pro detekci sofistikovaných útoků je nezbytné zkombinovat tradiční signaturové nástroje a tradiční heuristiku, společně s AI nástrojem a lidským expertem. Zatím však neexistuje nástroj, který by bez rizika narušení legitimních činností uměl zcela autonomně pokročilé útoky odhalovat a zastavovat.
Výhody a nevýhody AI při detekci kybernetických útoků a incidentů
Využití AI pro detekování útoků a dalších kybernetických incidentů s sebou přináší jak výhody, tak i specifické výzvy.
Mezi výhody patří jistě to, že je vůbec možné takovéto detekce provést. Trh expertů na informační bezpečnost je beznadějně probraný a bez automatizace by dnes vůbec nebylo možné s útočníky držet krok. Také vysoká úroveň stresu, které se bezpečnostní analytici nevyhnou, není u AI problém.
Mezi výzvy naopak patří komplikující se regulatorní prostředí. Pro provedení pokročilé analýzy je velmi často nutné zkoumaný soubor či zprávu zaslat do AI enginu. AI engine je obvykle v cloudu, kde má dostatek výpočetního výkonu a rychlou konektivitu s možností flexibilního škálování výkonu. Cloudy ale sestávají z datových center, které někdy bývají mimo EU a přenosy dat tak mohou narážet na regulatorní omezení (např. GDPR u osobních údajů).
Vedle toho jsou přenášená data často chráněným duševním vlastnictvím organizace a jsou-li uložena v cloudu poskytovatele řešení, tento k nim má přístup. A někdy je také využívá i k dalším účelům, např. trénování svého nástroje, sdílení částí informací s ostatními klienty atd.
Organizace může dodavateli NextGen či XDR řešení věřit, ale tento může být ve své zemi také povinen uposlechnout výzvu vlády či různých agentur ke spolupráci nebo vydání zpracovávaných dat. Při volbě dodavatele je tedy obvykle velmi důležité zajistit, aby data organizace zůstala v zemi původu, nebo nejlépe, aby neopouštěla perimetr organizace.
Když vy umělou inteligenci, tak my taky!
Jedinou efektivní obranou proti útokům využívajícím AI se stává opět AI. Jde například o odhalování podvrhů, deep-fake videí, pokusů o podvod, krádež identity aj. Taktéž moderní obrana proti phishingům, smishingům a dalším pokusům vylákat z lidí cenné údaje se obvykle neobejde bez alespoň některých prvků umělé inteligence schopné reagovat na aktuální formy a způsoby útoků.
Stále platí, že mít citlivá data ve vlastním datovém centru (a geografické záloze) pod dohledem vlastních IT expertů a bezpečnostních expertů, je nejbezpečnější. Ovšem pro většinu organizací je to finančně nedostupné, nebo alespoň krajně nevýhodné. Pro mnoho organizací se tak jasnou volbou stala kombinace AI a spravovaného cloudu. Řešení od Microsoftu, Googlu, Amazonu i dalších v sobě zahrnuje pokročilé nástroje, které využívají AI a které se průběžně učí, jak chránit proti hrozbám, včetně těch sofistikovaných. Za příplatek je možné získat vysokou bezpečnost téměř bez nutnosti vlastních expertů, nebot experty dodá dodavatel cloudu.
Nejen ve finančním sektoru pak AI umí nejen v reálném čase detekovat pokusy o podvod, ale také umí odhalovat útoky pomocí AI generovaných hlasů. Anti-fraud systémy bank, jejichž detaily patří mezi nejstřeženější tajemství, již využívají AI několik let.
Jak zajistit soulad s NIS2 a DORA? Pomocí umělé inteligence
S nástupem směrnice NIS2, resp. nového zákona o kybernetické bezpečnosti, a ve finančním světě nařízení DORA, se počet organizací, které musí kyberentickou bezpečnost systematicky řešit, prakticky zdesetinásobí. Nově se více než šest tisíc společností bude muset vypořádat s nutností zavedení systému řízení informační bezpečnosti (ISMS) a systému řízení operační odolnosti (BCMS).
V tuto chvíli ale není nejen v ČR, ale ani celosvětově dostatek expertů (analytiků bezpečnosti, manažerů kybernetické bezpečnosti, auditorů, bezpečnostních administrátorů a dalších), kteří by dokázali požadavek firem na zavedení systému, jež po nich v druhé půlce roku 2024 bude vyžadovat nový zákon o kybernetické bezpečnosti, splnit. Tyto lidské zdroje prostě v tuto chvíli nejsou. A dostatek jich nebude ani za rok.
Jak tento nedostatek lidí alespoň částečně vyřešit?
Bez masivního nasazení automatizace a AI to prostě nepůjde. AI můžeme už dnes využívat při analýze hrozeb, tvorbě dokumentů pro ISMS, identifikaci hrozeb, automatizace procesů (např. zřizování účtů pro nové zaměstnance či rušení oprávnění těch, kdo odešli) a v dalších klíčových prvcích kybernetické bezpečnosti. Autor zaznamenal vývoj nástrojů s ambicí usnadnit a podpořit celý proces zavádění a provozu systémů řízení ze strany např. některých členů "velké čtyřky". Tyto nástroje mohou i menším organizacím usnadnit a umožnit zavedení a provoz funkčního (tj. nikoli jen papírového tygra ...) ISMS a BCMS.
Není náhodou, že s těmito nástroji často přicházejí auditoři. Právě tito mají za cíl přijít do prostředí cizí organizace a prověřit, zda vše funguje dle zákona a předpisů. Pro absolventy však již drezůra v auditní firmě není tak lákavá, například protože se nesetkává s jejich požadavky na work-life balance, a tyto firmy tak čelí problému při náročném a zdlouhavém sběru dat v auditovaných firmách. Byly tak již dávno nuceny zavést automatizační nástroje, které data dokáží sebrat, setřídit a detekovat oblasti, na které se pak lidští experti zaměří. Díky tomu auditorské firmy nasbíraly unikátní znalosti, které mohou nabídnout jiným.
Budoucnost kyberbezpečnosti je v AI!
Nedostatek expertů na trhu nutí všechny typy organizací nasazovat automatizované řešení nebo jiné AI prvky. Dřívější expertní systémy vyžadovaly zdlouhavá nastavování a úpravu podle podmínek dotčené organizace. Pokrok v machine learningu, zejména generativní AI, ale umožnil v mnoha případech dramaticky zkrátit dobu nasazení systému i snížit požadavky na jeho obsluhu. To platí pro kyberbezpečnost dvojnásobně.
Strojové učení (machine learning) je v oblasti kybernetické bezpečnosti využíváno již po mnoho let. Jeho význam dále dramaticky stoupá a bude stoupat. Bez AI komponenty se dnes neobejde prakticky žádný moderní bezpečnostní produkt. AI tak dnes dává obráncům do rukou kvalitní nástroje, bez nichž by obrana proti útočníkům byla prakticky nemožná.
Při jejich nasazování však je nutné vždy dbát na plnění právních požadavků a pravidel a chránit své citlivé informace, ať už osobní údaje, know-how a výrobní postupy, části kódu či jiné informace chráněné duševním právem.