W przyszłym roku zaatakuje nas sztuczna inteligencja

Należy spodziewać się coraz bardziej zaawansowanych cyberataków opartych na automatyzacji i sztucznej inteligencji – ostrzegają eksperci firmy Fortinet, która opublikowała opracowane przez laboratorium FortiGuard Labs prognozy dotyczące cyfrowych niebezpieczeństw.

Wiele organizacji cyberprzestępczych ocenia techniki ataków nie tylko pod kątem efektywności, lecz również kosztów związanych z ich tworzeniem, modyfikowaniem i wdrażaniem. Jak tłumaczy Jolanta Malak, regionalna dyrektor Fortinet w Polsce, na powodzenie ataków mają wpływ technologie, procesy i ludzie. Biorąc to pod uwagę, niektóre przedsiębiorstwa wdrażają takie rozwiązania, jak uczenie maszynowe (z ang. machine learning) i automatyzację. – Nowe strategie obrony prawdopodobnie wpłyną w efekcie na postępowanie cyberprzestępców – twierdzi Malak.

Jej zdaniem zmienią oni swoje dotychczasowe metody ataków i przyspieszą opracowywanie nowych. Fachowcy spodziewają się, że środowiska cyberprzestępcze zaczną stosować takie strategie, jak AIF, czy „rój jako usługa”.

Niebezpieczny „fuzzing”

AIF (skrót od Artificial Intelligence Fuzzing) to nic innego, jak „fuzzing” sztucznej inteligencji – zaawansowana technika, która jest tradycyjnie stosowana w środowiskach laboratoryjnych. Korzystają z niej specjaliści ds. badania zagrożeń w celu wykrywania luk w zabezpieczeniach interfejsów sprzętu i oprogramowania. Polega ona na wstrzykiwaniu nieprawidłowych, nieoczekiwanych danych do interfejsu lub programu oraz monitorowanie ich pod kątem takich zdarzeń, jak awarie, nieudokumentowane przeskoki do procedur debugowania, nieudane asercje kodu i potencjalne wycieki pamięci. Gdy technika ta zostanie uzupełniona o modele uczenia maszynowego, stanie się jeszcze bardziej efektywna i lepiej dostosowana do indywidualnych wymagań, ale też szerzej dostępna dla mniej zaawansowanych cyberprzestępców.

Hakerzy zaczynają wykorzystywać uczenie maszynowe do tworzenia programów automatycznego „fuzzingu”, co pozwoli im szybciej wykrywać nowe luki w zabezpieczeniach oraz zwiększyć liczbę ataków typu zero-day (w których wykorzystywane są nieznane wcześniej luki) wymierzonych w różne programy i platformy.

Metodę AIF można zastosować do kodu w kontrolowanym środowisku, aby wykrywać luki umożliwiające ataki zero-day. Może to znacznie przyspieszyć rozwój nowych eksploitów tego typu. Gdy cyberprzestępcy zaczną stosować technologię wykrywania takich luk w formie usługi, przedsiębiorstwa będą musiały zmienić swoje podejście do bezpieczeństwa, ponieważ nie będą w stanie przewidzieć, gdzie pojawią się ataki zero-day, ani skutecznie się przed nimi bronić.

Specjaliści wskazują, że tworzenie eksploitów zero-day zawsze było dość kosztowne, głównie ze względu na czas, nakłady pracy i umiejętności potrzebne do wykrywania luk. Wykorzystanie sztucznej inteligencji może jednak sprawić, że eksploity takie, kiedyś bardzo rzadkie, staną się powszechne. Już teraz stają się coraz liczniejsze i bardziej zróżnicowane. Cyberprzestępcy tworzą je i udostępniają w formie usług, co może radykalnie wpłynąć na rodzaje i koszty produktów oferowanych w ukrytej sieci (tzw. dark web).

Uwaga na boty

Cyberprzestępcy coraz częściej wykorzystują również sztuczną inteligencję opartą na rojach (z ang swarm). W związku z tym – jak ostrzega Fortinet – trzeba się przygotować na ataki botnetów opartych na rojach. Ta technologia zagrożeń nowej generacji zostanie wykorzystana do tworzenia dużych rojów inteligentnych botów, które mogą działać pojedynczo lub w grupach. Aby chronić się przed takimi rojami, przedsiębiorstwa będą potrzebować nowych, bardziej zaawansowanych zabezpieczeń. Z drugiej strony, podobnie jak w przypadku ataków zero-day, rój zmieni model biznesowy stosowany przez cyberprzestępców. Profesjonalni hakerzy do wynajęcia tworzą eksploity na zamówienie za opłatą. Nawet takie nowości, jak szkodliwe oprogramowanie typu ransomware oferowane jako usługa (ang. Ransomware-as-a-Service), wymagają zaangażowania inżynierów, którzy zajmują się tworzeniem i testowaniem eksploitów. Gdy jednak pojawią się autonomiczne, samouczące się roje jako usługi (ang. swarm-as-a-service), bezpośrednie kontakty między cyberprzestępcami na zasadzie „twórca eksploita – klient” zostaną ograniczone.

Aby zapobiec opisanym powyżej zagrożeniom, przedsiębiorstwa muszą cały czas podnosić poprzeczkę cyberprzestępcom. Zmuszać ich do zmiany taktyki i modyfikowania ataków.

Na wspólnym froncie

Jedną z taktyk obrony przed hakerami jest wprowadzanie ich w błąd. Chodzi o strategię oszustw, które umożliwiają wprowadzanie w sieci zmian na podstawie fałszywych informacji. Jak przekonują eksperci FortiGuard Labs, zmusi to hakerów do ciągłej weryfikacji narzędzi analitycznych, wykrywania fałszywych alarmów oraz sprawdzania, czy obserwowane zasoby sieciowe są prawdziwe. Każdy atak na fałszywe zasoby sieciowe może zostać natychmiast wykryty i zablokowany poprzez automatyczne uruchomienie odpowiednich środków. Sprawcy będą więc musieli zachować wyjątkową ostrożność nawet podczas wykonywania podstawowych czynności, takich jak badanie sieci.

Jednym z najłatwiejszych sposobów stosowanych przez cyberprzestępców w celu maksymalizacji korzyści oraz uniknięcia wykrycia jest wprowadzanie drobnych zmian, nawet takich, jak modyfikacja adresu IP. Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce, wyjaśnia, że – aby nadążyć za tymi zmianami – firmy powinny udostępniać sobie informacje o zagrożeniach. Ciągle aktualizowane dane umożliwiają dostawcom zabezpieczeń i ich klientom skuteczne blokowanie najnowszych rodzajów ataków. Otwarta współpraca między organizacjami wyspecjalizowanymi w badaniu cyberzagrożeń, związkami branżowymi, producentami zabezpieczeń i organami ścigania znacznie przyspieszy wykrywanie nowych zagrożeń i taktyk stosowanych przez hakerów.

– Nie można ograniczać się do reagowania na ataki. Warto przeprowadzać analizy behawioralne i udostępniać je w czasie rzeczywistym za pośrednictwem kanałów informacyjnych w środowisku otwartej współpracy. Wówczas można przewidywać zachowania szkodliwego oprogramowania i uniemożliwiać cyberprzestępcom wielokrotne stosowanie tych samych ataków – mówi Dąbrowski.

Skokowe wzrosty zagrożeń

A jak wygląda dzisiejszy obraz nieustannie trwającej wojny z cyberprzestępcami? Dane Fortinetu za III kwartał br. wskazują, że wykryto o 43 proc. więcej unikalnych wariantów oraz o 32 proc. więcej rodzin szkodliwego oprogramowania niż w II kwartale 2018 r. O 62 proc. zwiększyła się liczba unikatowego malware’u wykrywanego w ciągu jednego dnia przez organizację. O 10 proc. wzrosła także liczba wykrywanych eksploitów. – Cyberprzestępcy stale rozwijają swoje narzędzia i wykorzystują coraz bardziej zautomatyzowane techniki ataków. Widać więc wyraźnie, jak ważne jest stosowanie rozwiązań do wykrywania i oceny zagrożeń w czasie rzeczywistym – zauważa Jolanta Malak.

Ponad jedna czwarta badanych organizacji doświadczyła ataku na urządzenia mobilne. W większości przypadków dotykały one smartfonów i tabletów z systemem Android, natomiast naruszenia systemu iOS wyniosły zaledwie ułamek procenta.  Co więcej, ataki na system operacyjny Google stanowiły aż 14 proc. wszystkich przypadków naruszeń bezpieczeństwa odnotowanych przez czujniki FortiGuard. – Liczba ataków na urządzenia mobilne będzie rosła podczas sezonu świątecznych zakupów. Smartfony są dla cyberprzestępców łatwym celem. Przejęcie kontroli i danych na urządzeniu mobilnym często umożliwia wejście do firmowej sieci i dalszą infiltrację organizacji – tłumaczy Robert Dąbrowski.

O 38 proc. wzrosła liczba platform dotkniętych tzw. cryptojackingiem (nieautoryzowane wykorzystywanie mocy obliczeniowej komputerów i innych urządzeń wyposażonych w procesory w celu kopania krypto walut), aktywnie rozwijane są narzędzia oraz platformy w modelu usługowym (ang. „as-a-service”) do prowadzenia kampanii cryptojackingu, rozwiązania te zawierają funkcjonalności adresowane zarówno do zaawansowanych, jak i początkujących cyberprzestępców. Cryptojacking jest także coraz szerzej stosowany w atakach z użyciem sieci botnet, zbudowanych z przejętych urządzeń IoT (z ang Internet of Things – internet rzeczy).

Liczba dni, po których organizacja wykrywa aktywność botnetu, wzrosła średnio z 7,6 do 10,2. Może to wskazywać, że botnety stają się coraz bardziej zaawansowane, trudne do wykrycia czy do usunięcia.