Боротьба з AI за допомогою AI в сучасному ландшафті загроз

Це не зовсім новини сказати, що AI суттєво змінила галузь кібербезпеки. І атакувальники, і захисники однаково звертаються до штучного інтелекту, щоб підвищити свої можливості, кожен намагаючись бути на крок попереду іншого. Ця гра в кота і мишку нічого нового не являє — атакувальники намагаються обманути команди безпеки протягом десятиліть, проте появлення штучного інтелекту ввело новий (і часто непередбачуваний) елемент у динаміку. Атакувальники по всьому світу з радістю чекають можливості використовувати цю нову технологію для розробки інноваційних, раніше невиданих методів атак.

Хоча це правда, що атакувальники все частіше використовують AI, вони в основному використовують його для підвищення масштабу і складності своїх атак, вдосконалюючи свій підхід до існуючих тактик, а не пробуючи нові. Такий підхід зрозумілий: навіщо витрачати час і зусилля на розробку методів атак завтрашнього дня, якщо захисники вже зараз борються з тим, щоб зупинити атаки сьогоднішнього дня? На щастя, сучасні команди безпеки також використовують можливості AI — багато з яких допомагають виявляти шкідливе програмне забезпечення, фішингові спроби та інші загальні тактики атак з більшою швидкістю і точністю. Коли триває “гонка озброєння AI” між атакувальниками і захисниками, буде все важливіше для команд безпеки зрозуміти, як противники насправді розгортають цю технологію — і забезпечити, щоб їхні власні зусилля були зосереджені в правильному місці.

Як атакувальники використовують AI

Ідея про те, що напівавтономний AI розгортається для методичного проникнення крізь оборону організації, є страшною, але (наразі) вона залишається твердо в області романів Вільяма Гібсона і інших науково-фантастичних творів. Це правда, що AI розвивався неймовірними темпами за останні кілька років, проте ми все ще далеко від штучного інтелекту загального призначення (AGI), який може ідеально імітувати людські мислення і поведінку. Це не означає, що сучасний AI не вражаючий — він безумовно є. Але генеративні інструменти AI і більші мовні моделі (LLM) найбільш ефективні при синтезі інформації з існуючого матеріалу і генерації малих, ітеративних змін. Він не може створити щось зовсім нове самостійно — але не помилкуйте, можливість синтезу і ітерації є надзвичайно корисною.

На практиці це означає, що замість розробки нових методів атак, противники можуть вдосконалити існуючі. Використовуючи AI, атакувальник може відправити мільйони фішингових електронних листів, замість тисяч. Вони також можуть використовувати LLM для створення більш переконливого повідомлення, обманюючи更多 одержувачів, щоб вони клали на шкідливий посилання або завантажували файл з шкідливим програмним забезпеченням. Тактика, як фішинг, є ефективною грою в числа: більшість людей не впадуть у фішингову атаку, але якщо мільйони людей отримають її, навіть 1% успішного результату може призвести до тисяч нових жертв. Якщо LLM можуть підвищити цей 1% успішного результату до 2% або більше, шахраї можуть ефективно подвоїти ефективність своїх атак з мінімальними зусиллями. Те саме стосується шкідливого програмного забезпечення: якщо малі зміни коду шкідливого програмного забезпечення можуть ефективно маскувати його від засобів виявлення, атакувальники можуть отримати набагато більше користі від окремої програми шкідливого програмного забезпечення, перш ніж їм потрібно буде перейти до чогось нового.

Інший елемент, який грає роль тут, — це швидкість. Оскільки атаки на основі AI не підлягають людським обмеженням, вони можуть часто проводити весь послідовність атаки з набагато більшою швидкістю, ніж людина-оператор. Це означає, що атакувальник потенційно може проникнути в мережу і досягти найбільш чутливої або цінної інформації жертви — їхньої “корони” — до того, як команда безпеки навіть отримає сповіщення, не кажучи вже про реакцію на нього. Якщо атакувальники можуть рухатися швидше, їм не потрібно бути такими обережними — це означає, що вони можуть дозволити собі шумніші, більш руйнівні дії без зупинки. Вони не роблять нічого нового тут, але шляхом прискорення своїх атак, вони можуть обігнати мережеві оборони потенційно революційним способом.

Це є ключем до розуміння того, як атакувальники використовують AI. Соціальні інженерні атаки і програми шкідливого програмного забезпечення вже є успішними векторами атак — але тепер противники можуть зробити їх ще більш ефективними, розгорнути їх швидше і діяти у ще більшій масштабі. Замість боротьби з десятками спроб на день, організації можуть боротися з сотнями, тисячами або навіть десятками тисяч швидких атак. І якщо вони не мають рішень або процесів для швидкого виявлення цих атак, визначення яких з них представляють справжню, відчутну загрозу, і ефективного усунення їх, вони залишають себе небезпечно відкритими для атакувальників. Замість того, щоб думати, як атакувальники можуть використовувати AI в майбутньому, організації повинні використовувати自己的 рішення AI з метою обробки існуючих методів атак у більшому масштабі.

Перетворення AI на перевагу команд безпеки

Експерти з безпеки на всіх рівнях бізнесу і уряду шукають способи використання AI для оборонних цілей. У серпні Управління перспективних досліджень і розробок міністерства оборони США (DARPA) оголосило фіналістів свого недавнього змагання з кібербезпеки AI (AIxCC), яке присуджує премії командам дослідників безпеки, які працюють над навчанням LLM для виявлення і виправлення вад коду. Цей виклик підтримується великими постачальниками AI, включаючи Google, Microsoft і OpenAI, які всі надають технологічну і фінансову підтримку для цих зусиль з посилення безпеки на основі AI. Очевидно, що DARPA — лише один приклад — у Силіконовій долині ви не можете навіть трясти палицею, не потрапивши на десятки засновників стартапів, які з радістю розповідають про свої нові рішення з безпеки на основі AI. Досить сказати, пошук нових способів використання AI для оборонних цілей є високим пріоритетом для організацій усіх типів і розмірів.

Але, як і атакувальники, команди безпеки часто досягają найбільшого успіху, коли вони використовують AI для посилення своїх існуючих можливостей. З атаками, які відбуваються з усе зростаючою швидкістю, команди безпеки часто розтягнуті тонко — як за часом, так і за ресурсами — що робить важким адекватно ідентифікувати, розслідувати і усунути кожне сповіщення про безпеку, яке з’являється. Просто немає часу. Рішення AI відіграють важливу роль у подоланні цього виклику, забезпечуючи автоматизовані можливості виявлення і реагування. Якщо є щось, у чому AI хороша, то це виявлення закономірностей — і це означає, що інструменти AI дуже хороші у визначенні аномальної поведінки, особливо якщо ця поведінка відповідає відомим моделям атак. Оскільки AI може переглянути величезну кількість даних набагато швидше, ніж люди, це дозволяє командам безпеки масштабувати свої операції значним чином. У багатьох випадках ці рішення можуть навіть автоматизувати базові процеси усунення, протидіючи низькорівневим атакам без потреби у втручанні людини. Вони також можуть бути використані для автоматизації процесу валідації безпеки, постійного тестування мережевих оборонних засобів, щоб забезпечити їх правильну роботу.

Також важливо відзначити, що AI не тільки дозволяє командам безпеки ідентифікувати потенційну атакуючу діяльність швидше — це також суттєво покращує їхню точність. Замість того, щоб гнатися за помилковими сигналами, команди безпеки можуть бути впевнені, що коли рішення AI сповіщає їх про потенційну атаку, воно заслуговує на їхню негайну увагу. Це є елементом AI, про який не говорять майже достатньо — тоді як більша частина дискусії центрується навколо того, що AI “замінює” людей і забирає їхні роботи, реальність полягає в тому, що рішення AI дозволяють людям робити свою роботу краще і більш ефективно, а також усунути втому, яка супроводжує виконання монотонних і повторюваних завдань. Далеко від того, щоб мати негативний вплив на людських операторів, рішення AI обробляють більшу частину “бюрократичної роботи”, пов’язаної з посадами безпеки, дозволяючи людям зосередитися на більш цікавих і важливих завданнях. У час, коли втома досягла свого максимуму, а багато підприємств борються за привабування нового таланту безпеки, покращення якості життя і задоволеності роботою може мати величезний позитивний вплив.

Саме тут лежить справжня перевага для команд безпеки. Не тільки рішення AI можуть допомогти їм масштабувати свої операції для ефективної боротьби з атакувальниками, які використовують інструменти AI, але вони також можуть тримати фахівців з безпеки щасливішими і більш задоволеними своїми ролями. Це рідкісне рішення, вигідне для всіх учасників, і воно повинно допомогти сучасним підприємствам зрозуміти, що час інвестувати в рішення безпеки на основі AI — зараз.

Гонка озброєння AI тільки починається

Гонка за采用 рішеннями AI триває, з атакувальниками і захисниками, які знаходять різні способи використання цієї технології на свою користь. Коли атакувальники використовують AI для підвищення швидкості, масштабу і складності своїх атак, команди безпеки будуть cầnнати боротися вогнем із вогнем, використовуючи інструменти AI для покращення швидкості і точності своїх можливостей виявлення і усунення. На щастя, рішення AI забезпечують критично важливу інформацію командам безпеки, дозволяючи їм краще тестувати і оцінювати ефективність своїх власних рішень, а також звільняти час і ресурси для більш критичних завдань. Не помилкуйте, гонка озброєння AI тільки починається — але той факт, що фахівці з безпеки вже зараз використовують AI, щоб бути на крок попереду атакувальників, є дуже хорошим знаком.