Menu
KYBERBEZPEČNOST

AI v kybernetické bezpečnosti, 2. díl: Zbraň hackerů i nástroj pro predikci útoků

Kateřina Benešová

Kateřina Benešová
20. 11. 2024

AI v kybernetické bezpečnosti, 2. díl: Zbraň hackerů i nástroj pro predikci útoků

Umělá inteligence se stává nepostradatelnou součástí moderní kybernetické bezpečnosti, zároveň ale otevírá dveře novým hrozbám. Hackeři využívají AI k vytváření sofistikovaných útoků, které je stále těžší odhalit. Bezpečnostní experti zase hledají způsoby, jak tyto útoky předvídat a zastavit. Přečtěte si, jak AI dnes mění pravidla hry v kybernetické bezpečnosti a co to znamená pro vaši ochranu před kybernetickými hrozbami.

Než došlo s příchodem generativních modelů ke zpřístupnění AI široké veřejnosti, mohla většina lidí na umělou inteligenci narazit jen nepřímo: v personalizovaných systémech pro doporučování obsahu na Netflixu a Amazonu nebo v aplikacích, jako je Google Photos a Apple Siri.

V roce 2022 ale došlo k významnému posunu: veřejnosti začaly být přístupné generativní AI modely, jako je nejznámější ChatGPT, které odstartovaly dnešní boom umělé inteligence a zájem o ni. Tyto modely totiž poskytují inovativní nástroje pro široké spektrum využití. Tato všestrannost ovšem přilákala také pozornost hackerů, kteří AI využívají k masivnějším kyberútokům. Stejně tak ale mají i bezpečnostní experti daleko více možností, jak potenciální oběti útoků ochránit.

Nejobávanější vektory útoku s použitím umělé inteligence jsou dnes phishing, který je nejrozšířenější a kde AI pomáhá psát podvodné e-maily i generovat phishingové kampaně, a pak deepfake, kde AI umožňuje generovat falešný vizuální a zvukový obsah v takové kvalitě, který je obtížné rozlišit od autentického – typicky třeba video mluvícího člověka a podobně.

Citace k AI 2. díl Radek Šichtanc
Šéf bezpečnosti O2

Automatizace hackerských útoků za pomoci AI

Kombinací lepší imitace přirozeného jazyka, větší dostupnosti výpočetních zdrojů a pokročilých technik strojového učení došlo ke skokovému zlepšení v kvalitě generovaných výstupů. Hackeři proto začali využívat umělou inteligenci zejména k automatizaci kybernetických útoků a k přesvědčivějším podvodům v rámci sociálního inženýrství.

Model umělé inteligence můžete také vycvičit tak, aby neustále zkoumal slabá místa vybrané sítě a identifikoval je dřív, než se o nich dozví provozovatelé sítě. Zároveň dokážou hackeři pomocí AI rychleji analyzovat obrovské množství dat a identifikovat potenciální zranitelnosti, což jim umožňuje provádět útoky cíleně a s větší precizností.

Mezi moderní typy kybernetických útoků, které hackeři často používají, patří sociální inženýrství, ransomware a DDoS útoky. Jak AI zvyšuje jejich účinnost?

AI a sociální inženýrství

Útoky generované umělou inteligencí využívají schopnosti strojového učení a jazykových modelů mimo jiné k vytváření personalizovaných podvodných e-mailů, které je obtížnější odhalit. Nové podvodné e-maily obsahují minimum gramatických chyb a používají autentičtější, lidský jazyk. Jsou také personalizovanější, takže můžou obsahovat konkrétní odkazy na nedávné aktivity příjemce, a tím se jevit jako legitimní.

To samé platí pro chatboty, u kterých dnes už nemusíte poznat, že si s vámi nepíše člověk, nebo pro nebezpečí v podobě deepfaků. Jedno takové video generálního ředitele stačí jako pokyn zaměstnancům k převodu finančních prostředků nebo předání důvěrných informací tam, kde by rozhodně být neměly.

Výzkumníci společnosti Darktrace například od ledna do února 2023 zaznamenali 135% nárůst nových útoků sociálního inženýrství, jehož příčinu viděli právě v rozšíření dostupnosti nástrojů typu ChatGPT.

AI a ransomware

Ransomware, škodlivý software, který šifruje data a požaduje výkupné za jejich dešifrování, je nyní často doprovázený pokročilými algoritmy strojového učení, které dokážou lépe zmapovat potenciální cíle, optimalizovat mechanismus průniku nebo vyhledávat citlivé soubory a maximalizovat škody.

Algoritmy umělé inteligence mohou skenovat sítě nebo prostředí, mapovat architekturu a koncové body, a především odhalovat zneužitelné zranitelnosti daleko precizněji. Ransomware poháněný umělou inteligencí dokáže taky využívat pokročilého maskování prostřednictvím šifrování škodlivého malwaru nebo změny v jeho kódu, které ztěžuje detekci bezpečnostními nástroji.

AI a DDoS útoky

DDoS útoky, které zahlcují servery nadměrným provozem a způsobují jejich nedostupnost, jsou díky botnetům řízeným AI efektivnější. Hackeři zároveň využívají strojové učení k analýze vzorců síťového provozu a k přizpůsobování strategií útoků v reálném čase. To ztěžuje odhalení a zmírnění útoku tradičními bezpečnostními opatřeními.

Zároveň umí hackeři vycvičit modely strojového učení, které zvládnou generovat klamavé, na první dojem však reálné vzorce provozu. Takový provoz se pak podobá běžnému chování uživatelů.

Jak mohou firmy bojovat proti útokům poháněným AI?

Konkrétní opatření proti kybernetickým útokům využívajícím AI zahrnují především pokročilé techniky monitorování a analýzy dat, které mohou detekovat anomálie a podezřelé chování. Jedním z klíčových nástrojů jsou AI systémy založené na strojovém učení, které se dokážou učit běžné vzorce provozu v síti a identifikovat odchylky, jež mohou signalizovat útok. Například při boji proti ransomwaru může takový systém detekovat neobvyklé šifrovací aktivity a zastavit je dříve, než dojde k rozsáhlým škodám.

Dalším klíčovým aspektem je zlepšení reakčních postupů a krizového řízení, aby byly organizace schopny rychle a efektivně reagovat na útoky vedené pomocí AI. To zahrnuje vývoj a pravidelné aktualizace incident response plánů, které obsahují jasně definované kroky pro detekci, izolaci a nápravu incidentů.

Zajímavým opatřením jsou pak tzv. honeypoty, což jsou nastražené pasti v síti, které lákají útočníky a umožňují bezpečnostním týmům studovat jejich taktiky a nástroje.

Co je to honeypot?

Takzvaný „medový hrnec“ je spolehlivý způsob, jak někoho k něčemu přilákat. A stejně jako Medvídek Pú i hackeři těžko odolávají vábení honeypotu. Zatímco zločinci mohou honeypoty využívat k nalákání obětí, detektivové a týmy kybernetické bezpečnosti je používají naopak k polapení zločinců a hackerů.

V oblasti kybernetické bezpečnosti jsou honeypoty falešná digitální aktiva nebo prostředí určená k přilákání kyberzločinců. Tato aktiva mohou zahrnovat softwarové aplikace a data, která se chovají jako legitimní počítačový systém, obsahují citlivé údaje a nejsou zabezpečena. Honeypoty obvykle obsahují bezpečnostní zranitelnost, která není příliš nápadná, ale zároveň je dostatečně lákavá, aby si mnoho kyberzločinců nechtělo nechat ujít příležitost dostat se do systému. To je odláká nebo odvede jejich pozornost od skutečného systému, který je chráněný lépe.

AI ve službách kyberbezpečnostních expertů

Jak jsme nastínili v prvním díle o AI v kyberbezpečnosti, umělá inteligence zároveň nabízí řadu modelů a praktických nástrojů, kterými lze kyberútoky efektivněji odrážet. Mimo jiné pomáhá firmám zkoumat rizika na základě vzorců chování a jejich odchylek. Které modely AI k tomu lze využít a jak?

Například my v O2 využíváme aplikace z oblasti behaviorální biometrie, které s propojením s algoritmy umělé inteligence dokáží detekovat, že třeba vaši aplikaci nebo mobilní telefon ovládá někdo jiný. Jak to funguje? Využívá se sběru informací o tom, jak aplikaci nebo telefon uživatelé používají, a to se pak porovnává s každým dalším chováním. Hodnotí se široká paleta vstupů – od rychlosti psaní až po délku stisknutí tlačítka při kliknutí.

Je také možné využít hlasové biometrie, která může pomoci s odhalením někoho, kdo se snaží po odcizení mobilního telefonu vydávat za někoho jiného. Tyto aplikace umělé inteligence je možné využít jak k detekci takového chování, tak i k navazujícím akčním krokům. Ty mohou vést k tomu, že majitele informujeme o tom, že se někdo snaží ukrást jeho identitu. V krajních případech může dojít i k rozpojení hovoru.

Modely pro detekci anomálií v síťovém provozu

Učením se na základě vzorců v síťových datech může umělá inteligence rychle rozpoznat a označit neobvyklou aktivitu. Díky tomu můžete zajistit konzistentní a bezpečný výkon sítě v celé firmě. Tyto modely analyzují historické údaje o normálním i abnormálním provozu, což pomáhá expertům během monitorování firemního síťového provozu a běžného chování jeho uživatelů odhalit v systému vzorce, které naznačují přípravu na útok nebo jeho předzvěst.

V praxi to funguje tak, že tyto modely analyzují data z různých zdrojů – jako jsou síťové logy, provozní data a aktivity uživatelů – a srovnávají je s normálními vzorci chování, které se definují při trénování modelu.

Hluboké učení jako zbraň proti malwaru

Hluboké učení funguje tak, že se učí z rozsáhlých datových sad obsahujících jak škodlivé, tak legitimní vzorky. Díky hlubokému učení lze rychleji identifikovat a izolovat škodlivý malware než pomocí starších metod.

Tradiční metody, jako jsou statické analýzy využívající pevné signatury nebo heuristické analýzy, často dokázaly detekovat pouze známé typy hrozeb, které již bezpečnostní týmy dříve zmapovaly. Oproti tomu hluboké učení dokáže automaticky analyzovat komplexní a dynamické vzorce chování. To umožňuje rychlou detekci i nových, dosud neznámých hrozeb.

Tento přístup je nejen rychlejší, ale také přesnější, protože se neomezuje na předdefinované signatury, ale adaptuje se na nové útoky, což může výrazně zkrátit dobu reakce na hrozby a snížit riziko škod.

Modely pro hluboké učení jsou ale náročné na data. Aby mohly dobře fungovat, potřebují obrovské objemy přesných a reprezentativních tréninkových dat o kybernetických útocích, které může být obtížné získat.

NLP modely jako nástroj proti phishingu

Největší silou NLP (Natural Language Processing) modelů, pracujících s přirozeným jazykem, je to, že analyzují lidské vstupy i způsob jazyka. V kyberbezpečnosti se používají například pro analýzu e-mailů, chatů a jiných textových komunikací, aby detekovaly phishingové útoky nebo jiné formy sociálního inženýrství.

Pomocí modelů pro zpracování přirozeného jazyka lze identifikovat phishingové e-maily automatizovanou analýzou textu e-mailu nebo i podezřelých phishingových webových stránek. Modely se také často zaměřují na identifikaci překlepů a gramatických chyb, které jsou často prvním znakem podvodných e-mailů.

AI prediktivní analýza jako prevence

Prediktivní analýza využívá historická data a AI modely k predikci budoucích událostí nebo trendů. Hlavním cílem je odhalit vzorce a vztahy v historických datech, které mohou naznačit, jak se události vyvinou v budoucnu. Podle odhadů byla hodnota trhu s prediktivní analýzou už v roce 2022 stanovena na 20,5 miliardy dolarů a očekává se, že do roku 2028 vzroste o 20,4 % a dosáhne 30 miliard.

V kyberbezpečnosti může prediktivní analýza předvídat, které systémy jsou nejvíce ohrožené útoky. Modely jako regresní analýza nebo prediktivní klasifikační algoritmy se trénují na historických datech, aby identifikovaly pravděpodobnost budoucího vývoje nebo událostí.

Na rozdíl od tradiční prediktivní analýzy, která se opírá o statistické metody, využívá prediktivní AI sílu pokročilých technologií umělé inteligence. Tyto technologie zahrnují celou řadu schopností, včetně zpracování přirozeného jazyka, počítačového vidění a hlubokého učení. Díky použití těchto technik prediktivní AI vyniká v agregaci a analýze rozsáhlých souborů historických dat, odhalování složitých vzorců a přesnějších předpovědích budoucích trendů nebo výsledků. 

Prediktivní analýzu například již dnes využívá finanční sektor, kde pomáhá identifikovat vzorce transakcí, které mohou naznačovat podvodné chování. Díky analýze dat v reálném čase mohou banky a další finanční instituce rychle odhalit neobvyklé transakce, které se neshodují s historickými údaji klienta, a tím zabránit finančním ztrátám způsobeným podvodnými aktivitami. Prediktivní AI tak přispívá k větší bezpečnosti a stabilitě ve finančním sektoru.

Pokrok v oblasti umělé inteligence přináší pro celou oblast kyberbezpečnosti zásadní výzvy. Kyberútoky jsou sofistikovanější, masivnější, automatizovanější. AI ale zároveň zdokonaluje i způsoby obrany jak v oblasti detekce už existujících útoků, tak prevence potenciálních hrozeb. Každé „zlé“ AI se může postavit nějaká „hodná“.

Příkladem takové „hodné AI“ může být využití generativní umělé inteligence a využití síly velkých jazykových modelů v oblasti práce s textovým obsahem. Tyto modely nám dnes umožňují s vysokou přesností například klasifikovat podvodné zprávy SMS (takzvaný smishing).

Citace P. Hirš k AI 2. díl Petr Hirš
ředitel O2 kompetenčního centra pro umělou inteligenci Dataclair

Co si z článku odnést

  • Umělá inteligence se stala účinným nástrojem pro automatizaci kybernetických útoků, včetně sofistikovanějšího sociálního inženýrství a přesvědčivějších phishingových podvodů.
  • Moderní ransomware poháněný AI využívá pokročilé techniky, jako je rychlejší mapování sítí a lepší maskování malwaru, což výrazně komplikuje jeho detekci.
  • Bezpečnostní experti využívají AI k rychlejší a přesnější identifikaci hrozeb pomocí metod, jako je hluboké učení a detekce anomálií v síťovém provozu.
  • Firmy mohou využít AI pro prediktivní analýzu a odhalování hrozeb, což jim umožní proaktivně chránit své systémy a rychle reagovat na vznikající útoky.


Předchozí díl
Kateřina Benešová Kateřina Benešová
Marketingový specialista pro B2B

Sdílet

Byl pro vás článek užitečný?

Ano, byl užitečný Může se hodit Byl příliš obecný Hledal jsem jinou informaci

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
5 nejčastějších chyb při vytváření plánu reakce na incidenty

5 nejčastějších chyb při vytváření plánu reakce na incidenty

Zobrazit článek
5 nejčastějších chyb při vytváření plánu reakce na incidenty
Sociální inženýrství v éře generativní AI: Jaké jsou trendy v roce 2024?

Sociální inženýrství v éře generativní AI: Jaké jsou trendy v roce 2024?

Zobrazit článek
Sociální inženýrství v éře generativní AI: Jaké jsou trendy v roce 2024?
Jak ve firmě správně zálohovat a chránit data

Jak ve firmě správně zálohovat a chránit data

Zobrazit článek
Jak ve firmě správně zálohovat a chránit data
Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?

Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?

Zobrazit článek
Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?
Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Zobrazit článek
Data v cloudu přinášejí nízké náklady a vysokou flexibilitu
V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

Zobrazit článek
V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?
Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?

Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?

Zobrazit článek
Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?
Datová centra: pětihvězdičkový hotel pro vaše data

Datová centra: pětihvězdičkový hotel pro vaše data

Zobrazit článek
Datová centra: pětihvězdičkový hotel pro vaše data
asd