Ještě chytřejší tah na bránu: kyberzločinci také používají AI

Představte si nepřátelskou skupinu vydávající se za členy správní rady. Nebo falešné faktury, které tvrdí, že pocházejí od známých dodavatelů. Pokud by kyberzločinci získali model strojového učení jazyka, který by byl schopen generovat přesvědčivě znějící e-maily, mohli by vyladit systém tak, aby generoval odpovědi, které by přejímaly tón a tón vydávaného odesílatele, a dokonce by odkazovaly na předchozí korespondenci. To může znít jako přitažené za vlasy - ale mezi akademiky již rostou obavy, že nástroje jako GPT-3 by skutečně mohly být využity k podněcování neshod šířením dezinformací a naprostých lží.

 

 

V průzkumu společnosti Deloitte z roku 2017 považovalo pouze 42 % respondentů své instituce za mimořádně nebo velmi účinné při řízení kybernetických bezpečnostních rizik. Pandemie tyto obavy rozhodně nijak nezmírnila.

Navzdory zvýšeným investicím do zabezpečení IT, které společnosti v roce 2020 uskutečnily s cílem vypořádat se s problémy distribuovaného IT a práce z domova, se podle IDG téměř 80 % vedoucích pracovníků IT a vedoucích pracovníků v oblasti zabezpečení IT domnívá, že jejich organizace nemají dostatečnou ochranu proti kybernetickým útokům.

Bohužel, prostředí kybernetické bezpečnosti je připraveno stát se ještě zrádnějším s nástupem kybernetických útoků poháněných umělou inteligencí, které by mohly umožnit kyberzločincům proniknout pod radarem běžných detekčních nástrojů založených na pravidlech.

Když se do hry zapojí umělá inteligence, může se například stát, že falešný e-mail bude téměř nerozeznatelný od důvěryhodných kontaktních zpráv. A deepfakes - média, která vezmou osobu na existujícím obrázku, zvukové nahrávce nebo videu a nahradí ji podobiznou někoho jiného pomocí umělé inteligence - by mohla být použita k páchání podvodů, což by společnosti stálo miliony dolarů.

Řešení by mohlo spočívat v defenzivní AI neboli samoučících se algoritmech, které rozumí běžným vzorcům uživatelů, zařízení a systémů v organizaci a odhalují neobvyklé aktivity, aniž by se spoléhaly na historická data. Cesta k širokému rozšíření by však mohla být dlouhá a klikatá, protože kyberzločinci se snaží být o krok před svými cíli.

 

 

Co jsou kybernetické útoky na bázi umělé inteligence?

Kybernetické útoky na bázi umělé inteligence jsou konvenční kybernetické útoky rozšířené o technologie umělé inteligence a strojového učení. Vezměme si například phishing - typ sociálního inženýrství, kdy útočník pošle zprávu, která má člověka oklamat a přimět ho k odhalení citlivých informací nebo instalaci malwaru. Pomocí umělé inteligence lze phishingové zprávy přizpůsobit tak, aby se zaměřily na vysoce postavené zaměstnance podniků (například členy vedení), což je praktika známá jako spear phishing.

Představte si, že se nepřátelská skupina pokouší vydávat za členy správní rady nebo posílat falešné faktury, které tvrdí, že pocházejí od známých dodavatelů. Pokud by skupina získala model strojového učení jazyka, který by byl schopen generovat přesvědčivě znějící e-maily, mohla by vyladit systém tak, aby generoval odpovědi, které by přejímaly tón a tón vydávaného odesílatele, a dokonce by odkazovaly na předchozí korespondenci. To může znít přitažené za vlasy - ale mezi akademiky již rostou obavy, že nástroje jako GPT-3 by mohly být využity k podněcování neshod šířením dezinformací a naprostých lží.

 

Phishingové emaily

Phishingové e-maily nemusí být cílené vysoko, aby představovaly hrozbu pro organizace. Dokonce i laicky vytvořené spear-phishingové zprávy mohou zaznamenat až 40krát vyšší míru prokliků ve srovnání se šablonovitým obsahem, takže nástroje umělé inteligence, které urychlují jejich tvorbu, jsou pro hackery nesmírně cenné. Kromě vytváření přirozeného jazyka lze AI využít k identifikaci vysoce hodnotných cílů v organizacích na základě jejich firemních profilů a e-mailových podpisů, nebo dokonce na základě jejich aktivity na sociálních sítích včetně Facebooku, Twitteru a LinkedIn.

V rozhovoru pro společnost Darktrace, která se zabývá kybernetickou obranou, Ed Green, hlavní digitální architekt ve společnosti McLaren Racing, poznamenal, že před pandemií se technologický tým ve společnosti McLaren setkával s hrubými útoky na hesla, které Green přirovnal ke strojovému zpracování přihlašovacích údajů. V posledním roce se však útoky začaly přizpůsobovat tak, aby se zaměřovaly na jednotlivce, role nebo týmy v ohromujícím rozsahu.

 

 

Phishing a spam jsou jen špičkou ledovce, pokud jde o kybernetické útoky poháněné umělou inteligencí. Například malware by mohl být rozšířen o umělou inteligenci, aby se snadněji pohyboval v organizaci, sondoval interní systémy, aniž by se prozradil, a analyzoval síťový provoz. Malware poháněný umělou inteligencí by se také mohl naučit, jak se zaměřit na konkrétní koncové body, a implementovat mechanismus sebedestrukce nebo samopauzy, aby se vyhnul detekci antimalwarem nebo sandboxovými řešeními.

 

Kontext jako jeden z nejcennějších nástrojů

Kromě toho by se software pro kybernetické útoky poháněný umělou inteligencí mohl učit ze sond ve velkém botnetu a vybírat nejúčinnější formy útoku. A před útokem by sondy mohly být použity k průzkumu, který by útočníkům pomohl rozhodnout, zda se vyplatí na danou společnost zaútočit, nebo monitorovat provoz na infikovaném uzlu (např. stolním počítači, serveru nebo zařízení internetu věcí) a vybrat si tak cenné cíle.

Podle nedávno zveřejněného whitepaperu společnosti Darktrace je kontext jedním z nejcennějších nástrojů, které umělá inteligence přináší do arzenálu kybernetických útočníků. Umělá inteligence jako zbraň se může být schopna přizpůsobit prostředí, které infikuje, tím, že se učí z kontextových informací, zaměřuje se na slabá místa, která objeví, nebo napodobuje důvěryhodné prvky systému, aby maximalizovala škody, které způsobí.

"Namísto hádání, v jakých časech probíhají běžné obchodní operace, se to malware naučí," píše ředitel monitorování hrozeb společnosti Darktrace Max Heinemeyer. "Místo aby hádal, zda prostředí používá převážně počítače se systémem Windows nebo Linux, nebo zda by byl lepší kanál Twitter nebo Instagram, bude schopen získat představu o tom, jaká komunikace v cílové síti převládá, a splynout s ní." To by mohlo dát vzniknout tomu, co Darktrace nazývá "low-and-slow" útoky na exfiltraci dat, kdy se malware naučí vyhýbat detekci tím, že provádí akce, které jsou pro člověka a tradiční bezpečnostní nástroje příliš nenápadné na to, aby je odhalily.

 

Jak řídit kybernetická rizika práce na dálku? Přečtěte si 6 doporučení hvězdy kybernetické bezpečnosti Michaela Codena.

 

 

Připravil: Radek Svoboda