Metody prowadzenia cyberataków stały się w ostatnich latach bardziej wyrafinowane, przez co wzrosła ich skuteczność i szybkość. Tendencja ta prawdopodobnie będzie się utrzymywać, dopóki przedsiębiorstwa nie zmienią sposobu myślenia o swojej strategii bezpieczeństwa. Zasięg spotykanych w globalnej skali cyberzagrożeń, ich poziom wyrafinowania oraz szybkość modyfikowania powodują, że przedsiębiorstwa muszą być gotowe do reagowania w czasie rzeczywistym z prędkością maszyny, aby skutecznie przeciwdziałać agresywnym atakom. Zasadnicze znaczenie w tej walce będą miały postępy w wykrywaniu zagrożeń z wykorzystaniem sztucznej inteligencji (AI).
Jednym z celów rozwoju sztucznej inteligencji specjalizującej się w bezpieczeństwie jest stworzenie adaptacyjnego układu odpornościowego dla sieci, podobnego do tego w ludzkim ciele. Pierwsza generacja tego typu rozwiązań została zaprojektowana do korzystania z modeli uczenia maszynowego w celu zbierania danych, korelowania ich, a następnie określania konkretnego kierunku działania. Druga generacja sztucznej inteligencji wykorzystuje coraz bardziej wyrafinowaną zdolność wykrywania wzorców, aby znacznie poprawić takie obszary, jak kontrola dostępu, poprzez dystrybucję węzłów edukacyjnych w całym środowisku. W trzeciej generacji natomiast, zamiast polegać na centralnym, monolitycznym centrum przetwarzania, sztuczna inteligencja połączy swoje regionalne węzły uczące się, aby lokalnie zgromadzone dane mogły być udostępniane, korelowane i analizowane w bardziej rozproszony sposób. Będzie to bardzo ważny etap rozwoju, ponieważ przedsiębiorstwa planują zabezpieczenie swoich rozwijających się środowisk przetwarzania na brzegu sieci.
Oprócz wykorzystania tradycyjnych form analizy zagrożeń zbieranych z różnego typu kanałów informacyjnych lub pochodzących z przeprowadzanej wewnętrznie analizy ruchu i danych, uczenie maszynowe będzie ostatecznie bazować na mnóstwie istotnych informacji spływających z nowych urządzeń brzegowych do lokalnych, uczących się węzłów. Śledząc i korelując te informacje w czasie rzeczywistym, system sztucznej inteligencji będzie mógł nie tylko wygenerować pełniejszy obraz zagrożeń, ale także dopracować sposób, w jaki wdrożone w firmach systemy mogą reagować na zdarzenia lokalne. Systemy AI będą w stanie widzieć pojawiające się zagrożenia, korelować informacje o nich, śledzić i przygotowywać się na atak, m.in. udostępniając informacje o tym fakcie w sieci. Ostatecznie federacyjny system uczenia maszynowego pozwoli na połączenie zestawów danych, przez co modele uczenia się będą mogły dostosować się do zmieniających się trendów dotyczących środowisk i zdarzeń. Dzięki temu zaobserwowanie incydentu tylko w jednym punkcie poprawi inteligencję całego systemu.
Inwestowanie w sztuczną inteligencję pozwala przedsiębiorstwom nie tylko na automatyzację zadań, ale także zapewnia zautomatyzowany system wyszukujący i wykrywający ataki oraz działający prewencyjnie. Połączenie uczenia maszynowego z analizą statystyczną umożliwia opracowanie indywidualnych planów działań powiązanych ze sztuczną inteligencją w celu lepszego wykrywania zagrożeń i reagowania na nie. W ten sposób powstają katalogi opisujące zagrożenia - Playbooks, dzięki którym można odkryć podstawowe wzorce pozwalające systemowi AI przewidzieć następny ruch atakującego, wykryć, gdzie może nastąpić następny atak, a nawet określić kto jest najbardziej prawdopodobnym winowajcą. Jeśli te informacje zostaną dodane do systemu uczenia sztucznej inteligencji, jego węzły będą mogły zapewnić zaawansowaną i proaktywną ochronę, w ramach której nie tylko wykrywają zagrożenie, ale także prognozują ruchy, proaktywnie interweniują i koordynują wiedzę z innymi węzłami, aby jednocześnie wykluczyć wszystkie możliwości ataku.
Jedną z najbardziej kluczowych dziedzin w świecie szpiegostwa jest kontrwywiad. To samo dotyczy prowadzenia ataku na środowisko, w którym ruchy są dokładnie monitorowane przez jego właścicieli. Broniący się mają wyraźną przewagę nad cyberprzestępcami dzięki dostępowi do rodzajów informacji o zagrożeniach, których jakość można zwiększyć dzięki uczeniu maszynowemu i sztucznej inteligencji. Mogą zatem pokusić się na swego rodzaju oszustwo – wprowadzenie do transmisji danych sztucznego ruchu, który utrudni przestępcom nauczenie się wzorców prawdziwego ruchu i uniemożliwi – przynajmniej przez pewien czas – stworzenie odpowiednich algorytmów wykradających informacje. Ale równocześnie należy spodziewać się, że cyberprzestępcy zaczną zdawać sobie sprawę z tego, że są oszukiwani i mogą rozpocząć działania kontrwywiadowcze. Będą musieli nauczyć się odróżniać wzorce tradycyjnego i sztucznego ruchu, bez przyłapania na szpiegowaniu. Ale i tego typu działania będą mogły być wykrywane dzięki sztucznej inteligencji, która pomoże stworzyć katalogi opisujące najlepsze praktyki w tej dziedzinie (Playbooks). Ułatwi także kreowanie sztucznego ruchu, aby jak najbardziej skutecznie „zaciemniał” on potok danych zawierających właściwe informacje.
Cyberbezpieczeństwo ma szczególne wymagania dotyczące prywatności i dostępu do danych, coraz bardziej regulowane przez lokalne ustawodawstwo w poszczególnych krajach. Natomiast cyberprzestępczość nie ma granic, co powoduje, że organy ścigania nie tylko zostały zmuszone do tworzenia globalnych centrów dowodzenia, ale także zaczęły łączyć je z sektorem prywatnym, dzięki czemu są o krok bliżej do wykrywania działań cyberprzestępców i reagowania na nie w czasie rzeczywistym. Struktura organów ścigania oraz ich relacje z sektorem publicznym i prywatnym mogą pomóc w identyfikowaniu cyberprzestępców. Inicjatywy promujące bardziej jednolite podejście do współpracy pomiędzy różnymi międzynarodowymi i lokalnymi organami ścigania, rządami, przedsiębiorstwami i ekspertami ds. bezpieczeństwa pomogą przyspieszyć bezpieczną wymianę informacji w celu ochrony infrastruktury krytycznej i przed cyfrową przestępczością.
Oczywiste jest, że wszelkie zmiany w strategiach ochrony przedsiębiorstw zostaną w końcu zauważone przez cyberprzestępców. Firmy stosujące zaawansowane zabezpieczenia sieciowe oraz wyrafinowane metody wykrywania ataków i reagowania na nie, powinny liczyć się z podejmowanymi próbami jeszcze silniejszych ataków – zarówno w skali, jak też sposobie ich przeprowadzenia. Nie jest tajemnicą, że cyberprzestępcy także interesują się sztuczną inteligencją i coraz częściej będzie ona wykorzystywana do skutecznego prowadzenia ataków.
Ogłoszony niedawno raport Fortinet Threat Landscape pokazuje wzrost wykorzystania przez cyberprzestępców zaawansowanych technik omijania zabezpieczeń, zaprojektowanych w celu zapobiegania wykrywaniu, wyłączania funkcji ochronnych oraz unikania wykrycia dzięki korzystaniu do ataku wyłącznie z zasobów posiadanych przez potencjalną ofiarę, np. zainstalowane u niej oprogramowanie. Wiele współczesnych narzędzi przestępczych zawiera już funkcje pozwalające „omijać” oprogramowanie antywirusowe lub inne środki wykrywania zagrożeń. Natomiast cyberprzestępcy stają się coraz bardziej wyrafinowani w swoich praktykach zaciemniania i antyanalizy, aby uniknąć wykrycia. Takie strategie maksymalizują szansę na wykorzystanie słabości technik ochronnych i brak odpowiedniego przygotowania personelu w przedsiębiorstwie.
W ciągu ostatnich kilku lat wykształciła się nowa technika ataku nazywana rojem botów. Do atakowania w ten sposób sieci oraz podłączonych do nich urządzeń wykorzystywane są uczenie maszynowe i sztuczna inteligencja, których potencjał może być wykorzystywany do infiltracji sieci, blokowania pracy wewnętrznych mechanizmów obronnych oraz skutecznego wyszukiwania i wykradania danych. Wyspecjalizowane boty, uzbrojone w określone funkcje, będą mogły wymieniać się zgromadzonymi informacjami i korelować je w czasie rzeczywistym, aby przyspieszyć zdolność całego roju do wybierania i modyfikowania ataków, nawet na wiele celów jednocześnie.
Transmisja danych w sieciach 5G może stać się katalizatorem rozwoju ataków wykorzystujących roje botów. Dzięki tej technologii możliwe będzie tworzenie lokalnych sieci ad hoc, które mogą szybko udostępniać i przetwarzać informacje. Działające na brzegu sieci urządzenia, wyposażone w moduł transmisji danych 5G, mogą stać się kanałem dystrybucji złośliwego kodu, zaś grupy zainfekowanych urządzeń mogą współpracować, aby atakować ofiary z jeszcze większą szybkością, zapewnianą przez 5G. W takiej sytuacji, biorąc pod uwagę szybkość, inteligencję i lokalny charakter tego typu ataków, starsze rozwiązania ochronne mogą okazać się nieskuteczne.
Do tej pory znalezienie luki zero-day oraz opracowanie dla niej exploita było kosztowne, więc przestępcy wykorzystywali je tak długo, aż nie zostały zneutralizowane. Jednak rosnąca ilość możliwości przeprowadzenia ataku, łatwość wykrywania luk z wykorzystaniem sztucznej inteligencji oraz rosnąca liczba dostępnych na świecie usług i oprogramowania wpływają na zdecydowany wzrost ryzyka częstego pojawiania się nowych podatności typu zero-day. Konieczne będzie podejmowanie dodatkowych środków bezpieczeństwa, aby przeciwdziałać temu trendowi.
