Kamp mod AI med AI i det moderne trusselslandskab

Det er ikke ligefrem brændende nyheder at sige, at AI har dramatisk ændret cybersecurity-industrien. Både angribere og forsvarere er begyndt at bruge kunstig intelligens til at forbedre deres evner, hvor hver part stræber efter at være et skridt foran den anden. Dette kat-og-mus-spil er ikke noget nyt – angribere har forsøgt at overliste sikkerhedshold i årtier, efter alt – men opkomsten af kunstig intelligens har introduceret et nyt (og ofte uforudsigeligt) element i dynamikken. Angribere over hele verden gnider deres hænder sammen af glæde over udsigten til at udnytte denne nye teknologi til at udvikle innovative, hidtil usete angrebsmetoder.

Mindst, det er den opfattelse. Men virkeligheden er lidt anderledes. Mens det er sandt, at angribere i stigende grad udnytter AI, bruger de det mest til at øge skalaen og kompleksiteten af deres angreb, hvor de forbedrer deres tilgang til eksisterende taktikker i stedet for at bryde ny jord. Tankegangen her er klar: hvorfor bruge tid og kræfter på at udvikle angrebsmetoderne i morgen, når forsvarerne allerede kæmper med at stoppe dem i dag? Heldigvis udnytter moderne sikkerhedshold AI-kapaciteter af deres egen – mange af disse hjælper med at opdage malware, phishing-forsøg og andre almindelige angrebstaktikker med større hastighed og præcision. Da “AI-våbenkapløbet” mellem angribere og forsvarere fortsætter, vil det blive stadig vigtigere for sikkerhedshold at forstå, hvordan modstanderne faktisk udnytter teknologien – og sikre, at deres egne bestræbelser er fokuseret på det rette sted.

Hvordan angribere udnytter AI

Tanken om en semi-autonom AI, der deployes til metodisk at hakke sig igennem en organisations forsvar, er en skræmmende tanke, men (for nu) forbliver den fast i William Gibson-romaner og anden science fiction-litteratur. Det er sandt, at AI har udviklet sig med en fantastisk hastighed over de seneste årtier, men vi er stadig langt fra den slags kunstig almen intelligens (AGI), der kan perfekt efterligne menneskelige tænkmønstre og adfærd. Det betyder ikke, at dagens AI ikke er imponerende – det er det bestemt. Men generative AI-værktøjer og store sprogmodeller (LLM’er) er mest effektive til at syntetisere information fra eksisterende materiale og generere små, iterative ændringer. De kan ikke skabe noget helt nyt på egen hånd – men lad os ikke tage fejl, evnen til at syntetisere og iterere er utrolig nyttig.

I praksis betyder det, at i stedet for at udvikle nye angrebsmetoder kan modstanderne i stedet forbedre deres nuværende. Ved hjælp af AI kan en angriber måske sende millioner af phishing-e-mails i stedet for tusinder. De kan også bruge en LLM til at skabe en mere overbevisende besked, der trickser flere modtagere til at klikke på en skadelig link eller downloade en malware-belastet fil. Taktikker som phishing er effektivt et spil om tallene: den overvældende majoritet af mennesker vil ikke falde for en phishing-e-mail, men hvis millioner af mennesker modtager den, kan selv en 1% succesrate resultere i tusinder af nye ofre. Hvis LLM’er kan øge denne 1% succesrate til 2% eller mere, kan scammere effektivt fordoble effekten af deres angreb med lidt eller ingen indsats. Det samme gælder for malware: hvis små ændringer i malware-koden kan effektivt kamuflere den fra detectionsværktøjer, kan angribere få langt mere ud af et enkelt malware-program, før de behøver at gå videre til noget nyt.

Det andet element, der spiller ind her, er hastighed. Fordi AI-baserede angreb ikke er underlagt menneskelige begrænsninger, kan de ofte udføre en hel angrebssekvens i en langt hurtigere rate end en menneskelig operatør. Det betyder, at en angriber potentielt kan bryde ind i et netværk og nå offerets kronjuveler – deres mest sensitive eller værdifulde data – før sikkerhedsholdet overhovedet modtager en alarm, endsige reagerer på den. Hvis angribere kan flytte hurtigere, behøver de ikke at være så omhyggelige – hvilket betyder, at de kan slippe af sted med støjende, mere disruptive aktiviteter uden at blive stoppet. De gør ikke nødvendigvis noget nyt her, men ved at fremme deres angreb hurtigere kan de overgå netværksforsvar på en potentielt spilforandrende måde.

Dette er nøglen til at forstå, hvordan angribere udnytter AI. Social engineering-svindel og malware-programmer er allerede succesfulde angrebsvektorer – men nu kan modstanderne gøre dem endnu mere effektive, deployere dem hurtigere og operere på en endnu større skala. I stedet for at kæmpe imod dusinvis af forsøg om dagen kan organisationer måske kæmpe imod hundredvis, tusinder eller endda titusinder af hurtige angreb. Og hvis de ikke har løsninger eller processer på plads til at hurtigt opdage disse angreb, identificere hvilke, der repræsenterer rigtige, konkrete trusler, og effektivt afhjælpe dem, åbner de sig selv farligt for angribere. I stedet for at undre sig over, hvordan angribere måske kan udnytte AI i fremtiden, burde organisationer udnytte AI-løsninger af deres egen med målet at håndtere eksisterende angrebsmetoder på en større skala.

At vende AI til sikkerhedsholdets fordel

Sikkerhedseksperter på alle niveauer i både erhverv og regering søger efter måder at udnytte AI til defensive formål. I august annoncerede den amerikanske forsvars avancerede forsknings- og udviklingsagentur (DARPA) finalisterna til sin seneste AI-cyberudfordring (AIxCC), der uddeler priser til sikkerhedsforskningshold, der arbejder på at træne LLM’er til at identificere og fikse kodebaserede sårbarheder. Udfordringen støttes af store AI-udbydere, herunder Google, Microsoft og OpenAI, der alle tilbyder teknisk og finansielt støtte til disse bestræbelser på at styrke AI-baseret sikkerhed. Selvfølgelig er DARPA kun et eksempel – man kan næsten ikke røre en pind i Silicon Valley uden at ramme en dusin startup-stiftere, der er ivrige efter at fortælle om deres avancerede nye AI-baserede sikkerheds løsninger. Lad os blot sige, at at finde nye måder at udnytte AI til defensive formål er en høj prioritet for organisationer af alle typer og størrelser.

Men ligesom angribere finder sikkerhedshold ofte den største succes, når de bruger AI til at forstærke deres eksisterende evner. Med angreb, der sker i en stadig stigende skala, er sikkerhedshold ofte spændt til bristepunktet – både i forhold til tid og ressourcer – hvilket gør det svært at tilstrækkeligt identificere, undersøge og afhjælpe hver enkelt sikkerhedsalarm, der dukker op. Der er simpelthen ikke tid til det. AI-løsninger spiller en vigtig rolle i at lette denne udfordring ved at tilbyde automatiserede detections- og responskapaciteter. Hvis der er noget, AI er godt til, er det at identificere mønstre – og det betyder, at AI-værktøjer er meget gode til at genkende usædvanligt adfærd, især hvis denne adfærd svarer til kendte angrebsmønstre. Fordi AI kan gennemgå enorme mængder data langt hurtigere end mennesker, giver det sikkerhedshold mulighed for at opskalere deres operationer på en betydelig måde. I mange tilfælde kan disse løsninger endda automatisere grundlæggende afhjælpningsprocesser, modsætte lavniveu-angreb uden behov for menneskelig indgriben. De kan også bruges til at automatisere processen med sikkerhedsvalidering, kontinuerlig prikken og støden omkring netværksforsvar for at sikre, at de fungerer som tiltænkt.

Det er også vigtigt at bemærke, at AI ikke kun giver sikkerhedshold mulighed for at identificere potentiel angrebsaktivitet hurtigere – det forbedrer også dramatisk deres præcision. I stedet for at jagte falske alarmer kan sikkerhedshold være sikre på, at når en AI-løsning alarmerer dem om et potentiel angreb, er det værd at de giver det deres umiddelbare opmærksomhed. Dette er et element af AI, der ikke diskuteres nær så meget, som det burde – mens meget af diskussionen handler om, at AI “erstatter” mennesker og tager deres job, er virkeligheden, at AI-løsninger giver mennesker mulighed for at udføre deres job bedre og mere effektivt, samtidig med at de letter den udbrændthed, der følger med at udføre kedelige og repetitive opgaver. Langt fra at have en negativ indvirkning på menneskelige operatører håndterer AI-løsninger meget af den “busywork”, der er forbundet med sikkerhedsstillinger, hvilket giver mennesker mulighed for at fokusere på mere interessante og vigtige opgaver. På et tidspunkt, hvor udbrændthed er på et hidtil uset niveau, og mange virksomheder kæmper med at tiltrække ny sikkerhedspersonale, kan forbedring af arbejdslivskvalitet og jobtilfredshed have en enorm positiv indvirkning.

Her ligger den virkelige fordel for sikkerhedshold. Ikke kun kan AI-løsninger hjælpe dem med at opskalere deres operationer til at effektivt bekæmpe angribere, der udnytter AI-værktøjer af deres egen – de kan også holde sikkerhedspersonale lykkeligere og mere tilfredse i deres roller. Det er en sjælden vind-vind-løsning for alle parter, og det burde hjælpe virksomhederne i dag med at erkende, at tiden er inde til at investere i AI-baserede sikkerheds løsninger.

AI-våbenkapløbet er kun lige begyndt

Kapløbet om at udnytte AI-løsninger er i gang, og både angribere og forsvarere finder forskellige måder at udnytte teknologien til deres fordel. Mens angribere bruger AI til at øge hastigheden, skalaen og kompleksiteten af deres angreb, må sikkerhedshold kæmpe ild med ild, bruge AI-værktøjer af deres egen til at forbedre hastigheden og præcisionen af deres detections- og afhjælpningskapaciteter. Heldigvis giver AI-løsninger kritisk information til sikkerhedshold, hvilket giver dem mulighed for bedre at teste og evaluere effikaciteten af deres egne løsninger, samtidig med at de frigør tid og ressourcer til mere mission-kritiske opgaver. Lad os ikke tage fejl, AI-våbenkapløbet er kun lige begyndt – men det faktum, at sikkerhedspersonale allerede bruger AI til at holde et skridt foran angribere, er et meget godt tegn.