Realnost iz sveta kibernetske varnosti: obramba je vedno korak za napadalci. A tisto, kar šteje daleč največ, je dejstvo, da se zlepa ne predaja.
Kibernetska varnost že dolgo ni več zgolj tehnični problem. Postala je ključni dejavnik našega vsakdana, saj vpliva na poslovanje podjetij, geopolitiko, zaupanje potrošnikov in izkušnje slehernega posameznika. V zadnjih letih se področje kibernetskih groženj in napadov razvija s skrb vzbujajočo hitrostjo, zato mora svoje aktivnosti okrepiti tudi obramba.
Eksplozija tveganj, ki jih poganja umetna inteligenca
Tehnologije umetne inteligence (UI) in generativna UI so najočitnejši trendi današnjih poslovnih okolij. In kolikor te prebojne tehnologije pomagajo podjetjem poslovati učinkoviteje, je moč njihove zmogljivosti izkoristiti tudi za »nečedne« namene. Gre za dvorezni meč. Na eni strani umetna inteligenca ponuja izjemne zmogljivosti za obrambo pred grožnjami (predvsem z odkrivanjem, analizo in razvrščanjem), na drugi pa drastično pospešuje tudi zmogljivosti napadalcev.
Tako kot so številni poslovni uporabniki s pojavom orodij generativne umetne inteligence praktično čez noč postali (vsaj navidezno) bolj pismeni, so možnost priprave prepričljivejših besedil izkoristili tudi kibernetski napadalci in pripravili zelo prepričljive lažne spletne strani, e-poštna sporočila in druge pasti, ki bi jih včasih že po rabi slabe slovenščine uporabniki zlahka »razkrinkali«. Nič več. Prav zato sta ozaveščanje in izobraževanje zaposlenih tako zelo pomembna, saj podjetju vsi varnostni mehanizmi ne pomagajo prav dosti, če napadalcem zaposleni na široko odprejo digitalna vrata v omrežje, sisteme in aplikacije.
Priče smo t. i. hiperrealističnemu socialnemu inženirstvu. UI omogoča ustvarjanje slovnično brezhibnih ter personaliziranih prevarantskih e-poštnih sporočil v kateremkoli jeziku. Še več, omogoča tudi izdelavo izjemno prepričljivih lažnih glasov in videov (angl. deepfake), s čimer se ne ubadajo le varnostni strokovnjaki, temveč tudi kadroviki – sploh v podjetjih, kjer razgovore za delo in zaposlovanje opravljajo na daljavo. Vse našteto namreč zmanjšuje zmožnost človeka, da zazna tehnološko dovršeno prevaro.
Napadalci z rabo tehnologij umetne inteligence prihranijo ogromno časa. In to ne le za pripravo besedil, temveč tudi pri iskanju ranljivosti v digitalni obrambi podjetij. Zadnje je skoraj v celoti postalo avtomatizirano. Strojno učenje bistveno skrajša čas, potreben za iskanje in izkoriščanje ranljivosti v kompleksnih sistemih podjetij, kar je velika težava v očeh varnostnih strokovnjakov, saj lahko različne posodobitve, nove namestitve in integracije mimogrede ustvarijo kakšno »razpoko« v digitalnem ščitu, ki jo nato izkoristijo napadalci.
Velika nadloga sodobnega poslovnega sveta je še polimorfna zlonamerna oprema. Gre za zlonamerno programje, ki ga poganja UI, in sicer tako, da se lahko uči iz okolja in spreminja svojo programsko kodo (postane polimorfna), s čimer zaobide tradicionalne varnostne sisteme za zaznavanje groženj, ki temeljijo na »podpisih« oziroma vzorcih znanih groženj.
Koga in kaj napadajo?
Poleg »klasičnih« tarč v obliki slabo zaščitenih podjetij vseh vrst in velikosti ter bank in bolnišnic, ki so med »najboljšimi« strankami hekerjev, saj pridno plačujejo zahtevane odkupnine, se zadnja leta krepijo tudi napadi na kritično infrastrukturo posameznih držav. To je povezano tako z geopolitično situacijo kot dejstvom, da gre za res prestižne tarče, kjer so visoki zneski za ugrabljene (beri: šifrirane) podatke skorajda zagotovljeni.
Varnostni trendi kažejo tudi na močno povečan obseg napadov na dobavne verige, kjer so napadalci vse bolj premeteni. Zmanjšali so obseg neposrednih napadov na dobro utrjene tarče (beri: velike korporacije), namesto tega pa se osredotočajo na šibkejše člene v dobavni verigi. Pač po pristopu, da se tudi skozi majhna vrata lahko pride do velikih sistemov. Tako so na udaru predvsem najmanjši deležniki dobavnih verig, t. i. tretje- ali celo četrtonivojski partnerji, ki pa še vseeno imajo dostop do osrednjih sistemov in/ali podatkov v njih.
Zelo skrb vzbujajoč pojav je že nekajkrat vidno kompromitiranje manjšega dobavitelja programske opreme ali storitev. Takšna primera sta bila SolarWinds in MOVEit Transfer. Zloraba poverilnic ali pa kar same programske opreme omogoči napadalcem, da dosežejo na tisoče končnih strank naenkrat.
Vse našteto jasno kaže, da bo treba močno okrepiti tudi najšibkejše varnostne člene v verigi. V avtomobilski in številnih drugih vrstah industrije velikani od svojih partnerjev že zahtevajo, da tudi njihovi dobavitelji izvajajo visoke varnostne standarde, vključno z arhitekturo brez zaupanja (Zero Trust) in načelom Nikoli ne zaupaj, vedno preveri.
Avtomatizacija obrambe z orodji in agenti UI
Umetna inteligenca je postala ključna tudi na strani obrambe pred grožnjami in napadalci, saj vsaj delno rešuje težavo preobremenjenosti varnostnih analitikov. Tehnologije UI so vgrajene v vedno več varnostnih orodij, npr. SIEM ter XDR. Napredna orodja za upravljanje varnostnih informacij in dogodkov (SIEM) ter za razširjeno zaznavanje in odzivanje (XDR) uporabljajo strojno učenje za prioritetizacijo opozoril, ločevanje lažnih groženj in koreliranje milijonov dogodkov, kar varnostnim strokovnjakom v podjetjih ali varnostno-operativnih centrih omogoča, da se osredotočijo le na resnične grožnje.
Avtomatizacija odzivanja ob pomoči UI omogoča varnostnim sistemom SOAR (sistemi za varnostno orkestracijo, avtomatizacijo in odzivanje), da sami izolirajo okuženo napravo ali blokirajo zlonamerni IP-naslov v nekaj sekundah po zaznavi ter tako bistveno zmanjšajo povprečni odzivni čas (MTTR) in učinkovito zamejijo potencialno škodo.
A pravi adut na strani obrambe so zagotovo agenti z umetno inteligenco. Pojav agentov UI predstavlja kvantni preskok v kibernetski obrambi, saj obljublja prehod iz reaktivne varnosti v avtonomno in proaktivno. Agenti UI so inteligentni programski sistemi, ki so sposobni zaznavati svoje okolje, samostojno sprejemati odločitve in izvajati dejanja za doseganje vnaprej določenih varnostnih ciljev, pogosto z minimalnim posredovanjem človeka. S tem znatno presegajo tradicionalno varnostno avtomatizacijo (SOAR), ki deluje na podlagi fiksnih pravil.
Za »svoje« so varnostne agente UI že vzeli v varnostno-operativnih centrih (VOC), kjer jih uporabljajo pretežno na treh ključnih področjih: zaznavanje, odzivanje in lov na grožnje. Medtem ko klasični sistemi SIEM ustvarjajo poplavo opozoril in obvestil, agenti UI uporabljajo strojno učenje (ML) in obdelavo naravnega jezika (NLP) za obdelavo in usklajevanje podatkov iz več virov (omrežni promet, dnevniki naprav, oblak). To omogoča agentom, da identificirajo vedenjske anomalije in potrdijo resnične grožnje z visoko stopnjo zaupanja, pri čemer drastično zmanjšajo število lažnih opozoril, s katerimi se morajo ukvarjati varnostni analitiki.
V nasprotju z rigidnimi pravili novodobni programski agenti dinamično interpretirajo kontekst. Na primer, agent UI lahko presodi, ali je prijava uporabnika iz »nenavadne« geografske lokacije resnično sumljiva, to pa stori s preverjanjem uporabnikovega zgodovinskega vzorca potovanj in njegovega koledarja – takšna naloga je sicer prezapletena za klasično avtomatizacijo.
Glavna prednost agentov UI na strani obrambe je hitrost. Pri hitro premikajočih in celo spreminjajočih se grožnjah, kot je izsiljevalska programska oprema, so sekunde ključnega pomena. Sodobni agenti UI že premorejo dovolj avtonomije za zamejitev številnih groženj. Takoj ko je sum na okužbo potrjen, lahko agent UI samodejno izolira napadeno/okuženo napravo, blokira zlonamerni IP-naslov na požarnem zidu in/ali deaktivira napaden uporabniški račun, s čimer hitro in učinkovito omeji gibanje napadalca v napravi ali sistemu. Ta avtonomni, takojšnji odziv skrajša povprečni čas za odzivanje na varnostne incidente z nekaj ur ali celo dni na zgolj minute.
Agenti UI pa postajajo tudi lovci na grožnje! Programski agenti, ki delujejo neprekinjeno, uporabljajo napredne modele ML in tehnologije okrepljenega globokega učenja za prečesavanje ogromnih količin podatkov in iskanje skritih, neopaznih vzorcev, ki bi lahko predstavljali tiho napredno vztrajno grožnjo (APT). S tem prehajajo iz reaktivnega nadzora delovanja sistemov, omrežja in naprav v proaktivno odkrivanje groženj in napadalcev. Prav proaktivni lov na kibernetske grožnje se zdi največji adut obrambe in predstavlja upanje, da se kazalniki v svetu kibernetske varnosti obrnejo – da bosta število napadov in povzročena škoda (nekoč) začela upadati.
Paradoks rabe agentov UI
Paradoks agentov UI v svetu kibernetske varnosti je v tem, da so hkrati najmočnejše varnostno orodje in nova, ranljiva tarča. Njihova avtonomnost namreč predstavlja edinstveno tveganje. Varnostni strokovnjaki so tako že priče napadom na varnostne algoritme. Napadalci aktivno merijo na same modele ML in LLM, ki poganjajo te agente, in sicer s t. i. zastrupljanjem podatkov ter z vbrizgavanjem pozivov. Namerno vnašanje zlonamernih ali pristranskih podatkov v učne sklope agenta lahko povzroči, da se ta v prihodnosti napačno odloča (npr. zlonamerno aktivnost označi kot normalno). Prisotno je tudi izkoriščanje trenutnih omejitev LLM, kjer napadalec vnese zlonamerno kodo v navodila agentu in ga prisili, da razkrije zaupne podatke ali celo izvede nepooblaščeno dejanje (npr. pošiljanje datoteke z gesli zunanjemu uporabniku).
Ker imajo agenti UI pravice za izvajanje dejanj (izolacija sistemov, dostop do zaupnih dnevnikov), postaja obvladovanje njihovega dostopa ključnega pomena. Če je varnostni agent kompromitiran, lahko njegova široka pooblastila (ki so potrebna za učinkovitost) napadalcu omogočijo, da izvede obsežno škodo in se hitro premika znotraj omrežja. Rešitev? Nujno je uvesti močne mehanizme nadzora dostopa, t. i. RBAC (kratica za Role-Based Access Control) in načelo najmanjšega privilegija za agente same, kar omeji njihovo moč na specifične varnostne naloge.
Nujnost odzivanja na dinamične grožnje
Trendi v kibernetski varnosti sicer za zdaj še kažejo na to, da se varnostna krajina ne stabilizira, temveč postaja vse bolj kompleksna, regulatorno obremenjena in hitrejša. Za doseganje kibernetske oziroma kar digitalne odpornosti morajo zato podjetja sprejeti vrsto ukrepov za zaščito. Predvsem morajo uvesti model brez zaupanja ter varovanje »digitalne ograje« zamenjati z zaščito prav vsake uporabniške identitete in IT-vira. Predvsem pa investirati v ljudi, torej zaposlene. Soočena s pomanjkanjem talentov in kadrov na področju kibernetske varnosti so podjetja malodane prisiljena, da vlagajo v usposabljanje obstoječega kadra v navezi z rešitvami UI, ki avtomatizira ponavljajoče se naloge.
