Elszaporodhatnak az olyan kibertámadások, amelyek már nemcsak az adatokat, hanem a fizikai eszközöket, például intelligens kamerákat, érzékelőket vagy ipari vezérlőrendszereket is célba veszik, így konkrét fizikai károkat okozhatnak – figyelmeztetett az Economxnak adott januárban megjelent interjúban Renate Strazdina, a Microsoft régiós technológiai vezetője. 

A szakértőt arról is kérdeztük, hogy a kiberbűnőzők ellen bevetik-e, illetve hogyan használják a mesterséges intelligenciát.

„A kibervédelmi eszköztárunk része a mesterséges intelligencia és a nagyméretű nyelvi modellek (LLM) alkalmazása is”

– fogalmazott az Economxnak Renate Strazdina. Ezek a nyelvi modellek ugyanis a kibervédelem számos aspektusát automatizálhatják és egészíthetik ki, beleértve a fenyegetések felderítését, a különböző incidensekre történő reagálást és a rendszerek helyreállítását.

Kapcsolódó

mesterséges intelligenciával új képességekre is szert tettek, amelyek értelemszerűen új lehetőségeket is kínálnak a kibervédelemben: például olyan új információkat tudnak velük feltárni az összegzett adatokra támaszkodva, hogy azokkal már konkrét ajánlásokat tudnak megfogalmazni, ezzel pedig már a kezdő elemzők munkáját is hatékonyabbá tudják tenni, a tanulási lehetőségekről nem beszélve.

Strazdina néhány példát is hozott, hogy pontosan miben is segíthet a mesterséges intelligencia a kibervédelemben:

  • Fenyegetés-felderítés és -elemzés: Az LLM-ek segíthetnek a kibervédelemmel megbízott szakembereknek az adatok összegyűjtésében és elemzésében, akik így kiberbűnözési mintázatokat és trendeket állapíthatnak meg. Ezeket az információkat aztán arra használják fel, hogy ajánlásokat fogalmazzanak meg, illetve riasztásokat küldjenek a felhasználóknak. Az LLM-ek a különböző forrásokból származó információk felhasználásával kontextust is adnak a fenyegetésekkel kapcsolatos információknak. Emellett olyan technikai feladatokat is ellátnak, mint a reverse engineering (a rosszindulatú szoftverek működési mechanizmusainak feltárása) és a rosszindulatú programok elemzése.
  • Reagálás biztonsági incidensekre és a megtámadott rendszerek helyreállítása: Az LLM-ek segíthetnek a kiberbiztonsági szakembereknek a biztonsági incidensekre történő gyors reagálásban és a helyreállításban: képesek ellenőrzés alatt tartani, megfékezni, majd felszámolni a támadást, majd helyreállítani az esetlegesen kompromittálódott adatokat. Tipizálni tudják az incidenseket, és a válaszadáshoz automatizált szkripteket hoznak létre, koordinálhatják a szakértők tevékenységét, valamint dokumentálják és kommunikálják az incidensek lezajlását és az azokra adott válaszintézkedéseket. Az LLM-ek segíthetnek abban is, hogy tanuljunk az incidensekből, és javaslatokat tegyünk a védelem fejlesztésére, a megelőzésre és a kárenyhítésre.
  • Biztonsági felügyelet és észlelés: Az LLM-ek segíthetnek a kiberbiztonsági szakembereknek a biztonsági események és incidensek monitorozásában és észlelésében a hálózatokon, rendszereken és alkalmazásokon belül. 
  • Biztonsági tesztelés és validálás: Automatizálhatják és továbbfejleszthetik a kiberbiztonsági teszteket és validálási folyamatokat, például a behatolás- és sebezhetőségi teszteket, a kódelemzést és a konfigurációk auditálását.
  • A kiberbiztonságot érintő tudatosság fejlesztése és edukáció: Olyan érdekes és személyre szabott tartalmak, szcenáriók megalkotása, amelyeket oktatási programokban felhasználva fokozzák a felhasználók éberségét és kibertudatosságát.
  • Kiberbiztonsági stratégia, kockázatkezelés és megfelelés: Segíthetnek a kiberbiztonsági stratégia és a kockázatkezelési tervek megalkotásában, és a megfelelőségi tevékenységek automatizálásában, ide értve a szabályok kidolgozását és érvényesítését, a kockázatértékelést/kezelést, az auditálást, valamint a megfelelőség biztosítását és a jelentés/kimutatás készítését.

Kibervédelem a hadszíntéren

A mesterséges intelligencia sikeres alkalmazására jó példa Ukrajna védelme az orosz kibertámadások ellen – olvasható a szoftveróriás 2023-as digitális védelmi jelentésében (MDDR). Strazdina szerint Ukrajna esetében azt látható, hogy 

az MI sikeresen használható a fenyegetések felderítésében és elemzésében – alkalmas adatok gyűjtésére és elemzésére, a mintázatok és anomáliák észlelésére, a potenciális fenyegetések azonosítására és a kommunikációs csatornák biztosítására.

A mesterséges intelligencia a biztonsági incidensek kezelésében és a helyreállításban is szerepet játszik, segítve a kiberbiztonsági szakemberek munkáját, a biztonsági incidensekre adott válaszreakciókat és a helyreállítására irányuló tevékenységeket – az incidensek felderítését, akadályozását, a támadások kiiktatását, az elemzést és helyreállítást, valamint a védekezés automatizálását. 

A cég régiós technológiai vezetője hangsúlyozta, hogy a mesterséges intelligencia segít a fenyegetések valós idejű észlelésében és az azokra adott gyors reakcióban, javítva a rendszerek és a hálózat ellenállóképességét.

„2014 óta figyeljük az ukrán infrastruktúrát ért kibertámadásokat. Ezek a támadások olyan kritikus infrastruktúrákat céloznak, mint a bankok, minisztériumok, erőművek, közlekedési hálózatok és benzinkutak, ezzel szolgáltatáskiesést, valamint az államba vetett közbizalom megrendülését okozva”

– mondta az Economxnak Strazdina, hozzátéve, hogy az oroszok az infrastruktúra elleni közvetlen támadások mellett a dezinformációt és az álhírek terjesztését is alkalmazzák a közösségi médiában. „Ez rávilágít a szilárd kibervédelmi stratégiák fontosságára” – hangsúlyozta a szakértő.

Az invázió megindulásakor a hekkerek is aktivizálták magukat

Az orosz állam által támogatott bűnözők változatos eszközöket használtak az eszközökhöz és hálózatokhoz történő hozzáférés megszerzéséhez és a támadások végrehajtásához – az adathalászkampányoktól az olyan sérülékenységeket kihasználó támadásokig, amelyekről nem tud az üzemeltető, ezért gyakorlatilag válaszolni sincs módja ezekre (zero-day attacks).

A nagy volumenű, pusztító támadások, amelyek az ukrajnai orosz invázió korai szakaszát dominálták, Strazdina szerint mára erősen lecsökkentek.

Az ukrán hálózatok elleni romboló orosz támadások közel 50 százaléka a háború első hat hetét jellemezte.

A Microsoftnál azt is tudják, hogy pontosan miket használtak az orosz hekkerek: a legtöbb esetben a támadók törlőprogramokat vetettek be a célba vett kritikus infrastruktúrát üzemeltető szervezetek hálózatai ellen. Az operatív hálózatok ugyancsak sebezhetőek. Az IRIDIUM például tavaly áprilisban kísérelt meg súlyos károkat okozni az energiatermelésben, amikor egy ukrán energiaszolgáltató ipari vezérlőrendszereit (ICS) vette célba. A CERT-UA és a nemzetközi partnerek gyors intézkedése meghiúsította a támadást, de a jövőben nagy a kockázata az olyan ICS-támadásoknak, amelyek megzavarnák az ukrán energetikai vagy vízügyi infrastruktúra működését, vagy leállítanák azok egyes elemeit.

Az orosz kibertámadások azonban Ukrajnán kívülre is kiterjednek.

Strazdina erre példát is hozott: 2022 októberében és novemberében egy orosz állami szereplő, a Seashell Blizzard romboló zsarolóprogramokkal bővítette eszköztárát, és Prestige zsarolóprogramot vetett be egy lengyel szervezet ellen, valamint Prestige és Sullivan zsarolóprogramokat használt ukrán szervezetek ellen is. 

Az elosztott szolgáltatásmegtagadásos (DDoS) támadások elsődleges célpontjai amerikai entitások, az összes támadás 54 százalékát ezek szenvedték el. Az elmúlt évben Európa a támadások 14 százalékával a második helyre jött fel, megelőzve ezzel Kelet-Ázsiát. 

„A változás a geopolitikai konfliktusokhoz köthető, az oroszbarát hackercsoportok fokozták az Európa és az Egyesült Államok elleni támadásaikat”

– fogalmazott portálunknak Renate Strazdina.

Akár háborút is kirobbanthat a mesterséges intelligencia

A média- és infokommunikációs szakértők magától a technológiától is várják a mesterséges intelligenciával kapcsolatos súlyos kérdések megoldását – mutatott rá egy friss kutatás.
Az Economx ősszel egy egész napos konferenciát is tartott a témában: az AI Summit 2023-ról készült cikkeinket itt érheti el.