Petr Kocmich portrait square
20. februára 2025

AI ako zbraň aj štít

Umelá inteligencia (AI) je katalyzátorom kybernetickej bezpečnosti. Mení ju na neustály boj medzi útočníkmi a subjektmi, ktoré sa bránia. Kyberzločinci využívajú AI na vytváranie dokonale cielených a ťažko zastaviteľných ransomvérových útokov. Ako ju možno, naopak, využiť na obranu, ktorá umožní udržať krok s týmito sofistikovanými hrozbami? Nielen na toto odpovedá náš kolega Petr Kocmich, Global Cyber Security Delivery Manager.

Ako rýchlo dokáže ransomvér zašifrovať údaje po preniknutí do systému?

Potrebný čas môže byť veľmi odlišný. Niektoré typy ransomvéru začínajú šifrovať dáta takmer okamžite, počas niekoľkých minút po prieniku do systému. Na druhej strane existujú aj ransomvéry, ktoré zámerne odďaľujú proces šifrovania, aby sa vyhli detekcii a dôkladne preskúmali prostredie obete. Tieto útoky môžu trvať hodiny, dni alebo dokonca týždne, než dôjde k zahájeniu samotného šifrovania. Pri cielených útokoch kyberzločinci často strávia týždne alebo mesiace vnútri siete, než začnú šifrovať, aby maximalizovali škody a tlak na obete.

Ako využívajú kyberzločinci AI pri ransomvérových útokoch?

Umelá inteligencia hrá stále väčšiu rolu v rôznych fázach kybernetických útokov, vrátane ransomvéru. Môže byť využitá na vytváranie veľmi presvedčivých phishingových e-mailov, ktoré napodobňujú štýl písania „odosielateľa“ a sú personalizované, čo zvyšuje šancu, že obete kliknú na škodlivé odkazy. AI tiež pomáha pri automatizovanom skenovaní siete, identifikácii zraniteľných systémov a klonovaní či optimalizácii falošných webových stránok, aby vyzerali čo najdôveryhodnejšie.

Umelá inteligencia môže výrazne vylepšiť tvorbu a optimalizáciu falošných vstupných stránok (landing pages), ktoré kyberzločinci používajú na podvody. AI nástroje totiž dokážu generovať vizuálne atraktívne a vierohodné webové stránky, ktoré napodobňujú skutočné stránky. Navyše pri generovaní dochádza k analýze cieľovej skupiny a prispôsobeniu obsahu vstupných stránok tak, aby oslovili konkrétne demografické skupiny alebo záujmy používateľov. To zvyšuje pravdepodobnosť, že obete kliknú na škodlivé odkazy. AI dokonca môže sledovať výkon vstupných stránok a vykonávať úpravy v reálnom čase, napríklad meniť farby, texty alebo rozloženie, aby maximalizovala mieru konverzie (teda akciu návštevníka, napr. vyplnenie dotazníka, zadanie čísla karty) a vylepšila účinnosť podvodných kampaní.

AI nástroje môžu ďalej výrazne uľahčiť a zefektívniť prieskum siete a laterálny pohyb kyberzločincov. Prostredníctvom mapovania štruktúry a topológie siete dokážu nástroje identifikovať zraniteľné systémy a navrhovať optimálne cesty pre laterálny pohyb. Analýzou správania pomáhajú útočníkom lepšie sa maskovať a vyhnúť sa detekcii. Strojové učenie môže identifikovať normálne vzorce správania a upraviť správanie malvéru tak, aby nevytváralo podozrivé aktivity, ktoré by mohli upozorniť bezpečnostné systémy.

A v neposlednom rade využitie AI pomáha kyberzločincom prekonať bezpečnostné opatrenia. Umelá inteligencia umožňuje malvéru adaptívne reagovať na bezpečnostné opatrenia v reálnom čase. Pomocou strojového učenia môže malvér meniť svoje postupy a signatúru, aby sa vyhol detekcii modernými bezpečnostnými systémami. To zahŕňa napríklad zmenu správania, šifrovanie kódu alebo prispôsobenie sa pravidlám firewallov a antivírusových programov.

IT bezpečnosť v priemysle

Uvieď príklady ransomvérových operácií, ktoré využívajú AI.

Jedným z príkladov je malvér Emotet, ktorý využíva AI na zlepšenie svojich phishingových kampaní, čo zvyšuje mieru infekcie. TrickBot, ďalší nebezpečný malvér, používa AI na automatizovaný prieskum sietí a adaptívne správanie, čo mu umožňuje prispôsobiť sa bezpečnostným opatreniam, s ktorými sa stretne. Ryuk, známy pre svoje cielené útoky, využíva nástroje založené na AI na prieskum siete a zvyšovanie oprávnení pred nasadením ransomvéru.

Dokáže nás AI brániť pred ransomvérovými útokmi?

Áno, funguje. Napríklad monitorovaním a analyzovaním sieťovej prevádzky. Tak deteguje anomálie a nezvyčajné správanie v reálnom čase, ktoré môžu naznačovať prítomnosť malvéru. To znamená, že AI môže včas odhaliť a reagovať na potenciálne hrozby ešte predtým, než útok spôsobí škody. Na hrozby môže dokonca automaticky reagovať, napríklad izolovať napadnuté zariadenia od siete. Rovnako vykonáva prediktívnu analýzu, ktorá pomáha predvídať potenciálne útoky a odporúča proaktívne opatrenia. Zlepšenie phishingovej detekcie a monitorovanie koncových bodov sú ďalšie oblasti, kde AI môže výrazne prispieť k ochrane.

Dá sa automatizovať odpoveď AI nástrojov na incidenty?

Áno, či už ide o vyššie spomenutú izoláciu napadnutých zariadení alebo koordináciu rôznych bezpečnostných nástrojov a procesov, čo zabezpečuje rýchlu a efektívnu reakciu na incidenty. Táto automatizácia nielen skracuje čas reakcie, ale tiež minimalizuje ľudské chyby pri riešení problémov.

Ako môže AI prispieť k prediktívnej analýze a prevencii kyberútokov?

Prediktívna analýza je jednou z kľúčových oblastí, kde AI bude hrať zásadnú úlohu. Pomocou prediktívnych modelov analyzuje historické dáta a aktuálne trendy, aby predvídala možné budúce útoky. To umožňuje organizáciám prijímať proaktívne opatrenia a pripraviť sa na potenciálne hrozby. AI rovnako pomáha v oblasti zraniteľností a správy opráv (patch management) tým, že identifikuje slabé miesta v systémoch a odporúča prioritu ich opravy na základe pravdepodobnosti útoku a závažnosti zraniteľnosti.

Množia sa phishingové útoky. Vie ich AI detegovať alebo im zabrániť?

AI môže analyzovať e-mailové správy a prílohy, aby identifikovala phishingové pokusy, pričom využíva rozpoznávanie vzorov a kontextovú analýzu. To zahŕňa identifikáciu podozrivých znakov, ako sú neobvyklé odkazy alebo jazyk, ktorý môže naznačovať podvod. Rovnako pomáha pri ochrane pred spear phishingom tým, že analyzuje personalizované správy a blokuje tie, ktoré obsahujú podvodné prvky.

Existujú výhody na použitie AI v rámci Endpoint Detection and Response?

Áno. Môže ísť o monitoring koncových bodov, ako sú servery, pracovné stanice, mobilné zariadenia a tablety, a detekciu podozrivých aktivít, ktoré môžu indikovať prítomnosť malvéru alebo pokusy o infiltráciu. AI vie vykonávať forenzné analýzy kompromitovaných systémov, aby identifikovala zdroj útoku a navrhla opatrenia na jeho odstránenie a zabránenie budúcim incidentom. Týmto spôsobom pomáha zlepšiť rýchlosť a presnosť detekcie a reakcie na incidenty.

Môžu AI nástroje zlepšiť bezpečnostné operácie a manažment v SOC?

Určite. Tým, že znížia počet falošne pozitívnych udalostí, respektíve incidentov. AI analyzuje a opravuje bezpečnostné upozornenia, čím umožňuje bezpečnostným tímom sústrediť sa na skutočné hrozby. AI taktiež podporuje aktívne vyhľadávanie hrozieb (threat hunting) na základe známych i nových vzorov útokov.

Akú úlohu bude v budúcnosti spĺňať AI v spojitosti s kyberbezpečnosťou?

Budúcnosť využitia AI v kybernetickej bezpečnosti je veľká. Ako sa ransomvérové útoky stávajú sofistikovanejšími, AI bude hrať kľúčovú úlohu v detekcii a prevencii týchto hrozieb. Vďaka jej schopnostiam v oblasti detekcie, reakcie, prevencie a analýzy môžu organizácie lepšie chrániť svoje systémy, minimalizovať dopady útokov a zvýšiť celkovú bezpečnostnú efektivitu. Vývoj pokročilých AI technológií umožní rýchlejšie a efektívnejšie reakcie na incidenty, čo zníži riziko úspešných útokov. Avšak s rastúcimi schopnosťami AI na strane obrancov sa dá očakávať, že aj kyberzločinci budú tiež ďalej vylepšovať svoje AI nástroje, čo vytvorí neustály boj medzi útočníkmi a obrancami.

Súvisiace články