Fortinet przedstawił prognozy zespołu FortiGuard Labs dotyczące krajobrazu zagrożeń w roku 2020 i późniejszym okresie.
Eksperci Fortinet zaprezentowali w nich metody, które – jak przewidują – cyberprzestępcy
będą stosować w najbliższej przyszłości. Wskazano też na ważne strategie, które pomogą
firmom chronić się przed nadchodzącymi atakami.
Zmiana trajektorii cyberataków
Metody prowadzenia cyberataków stały się w ostatnich latach bardziej wyrafinowane, przez co wzrosła ich skuteczność i szybkość. Tendencja ta prawdopodobnie będzie się utrzymywać, dopóki przedsiębiorstwa nie zmienią sposobu myślenia o swojej strategii bezpieczeństwa.
Zasięg spotykanych w globalnej skali cyberzagrożeń, ich poziom wyrafinowania oraz szybkość modyfikowania powodują, że przedsiębiorstwa muszą być gotowe do reagowania w czasie rzeczywistym z prędkością maszyny, aby skutecznie przeciwdziałać agresywnym atakom. Zasadnicze znaczenie w tej walce będą miały postępy w wykrywaniu zagrożeń z wykorzystaniem sztucznej inteligencji (AI).
Ewolucja sztucznej inteligencji jako systemu
Jednym z celów rozwoju sztucznej inteligencji specjalizującej się w bezpieczeństwie jest
stworzenie adaptacyjnego układu odpornościowego dla sieci, podobnego do tego w ludzkim
ciele. Pierwsza generacja tego typu rozwiązań została zaprojektowana do korzystania z modeli uczenia maszynowego w celu zbierania danych, korelowania ich, a następnie określania konkretnego kierunku działania.
Druga generacja sztucznej inteligencji wykorzystuje coraz bardziej wyrafinowaną zdolność wykrywania wzorców, aby znacznie poprawić takie obszary, jak kontrola dostępu, poprzez dystrybucję węzłów edukacyjnych w całym środowisku. W trzeciej generacji natomiast, zamiast polegać na centralnym, monolitycznym centrum przetwarzania, sztuczna inteligencja połączy swoje regionalne węzły uczące się, aby lokalnie zgromadzone dane
mogły być udostępniane, korelowane i analizowane w bardziej rozproszony sposób.
Będzie to bardzo ważny etap rozwoju, ponieważ przedsiębiorstwa planują zabezpieczenie swoich rozwijających się środowisk przetwarzania na brzegu sieci.
Federacyjne uczenie maszynowe
Oprócz wykorzystania tradycyjnych form analizy zagrożeń zbieranych z różnego typu kanałów informacyjnych lub pochodzących z przeprowadzanej wewnętrznie analizy ruchu i danych, uczenie maszynowe będzie ostatecznie bazować na mnóstwie istotnych informacji spływających z nowych urządzeń brzegowych do lokalnych, uczących się węzłów. Śledząc i korelując te informacje w czasie rzeczywistym, system sztucznej inteligencji będzie mógł nie tylko wygenerować pełniejszy obraz zagrożeń, ale także dopracować sposób, w jaki wdrożone w firmach systemy mogą reagować na zdarzenia lokalne.
Systemy AI będą w stanie widzieć pojawiające się zagrożenia, korelować informacje o nich, śledzić i przygotowywać się na atak, m.in. udostępniając informacje o tym fakcie w sieci. Ostatecznie federacyjny system uczenia maszynowego pozwoli na połączenie zestawów danych, przez co modele uczenia się będą mogły dostosować się do zmieniających się trendów dotyczących środowisk i zdarzeń. Dzięki temu zaobserwowanie incydentu tylko w jednym punkcie poprawi inteligencję całego systemu.
Łączenie AI (sztucznej inteligencji) i Playbooks (katalaogów informacji o zagrożeniach) w celu przewidywania ataków
Inwestowanie w sztuczną inteligencję pozwala przedsiębiorstwom nie tylko na automatyzację zadań, ale także zapewnia zautomatyzowany system wyszukujący i wykrywający ataki oraz działający prewencyjnie. Połączenie uczenia maszynowego z analizą statystyczną umożliwia opracowanie indywidualnych planów działań powiązanych ze sztuczną inteligencją w celu lepszego wykrywania zagrożeń i reagowania na nie.
W ten sposób powstają katalogi opisujące zagrożenia – Playbooks, dzięki którym można odkryć podstawowe wzorce pozwalające systemowi AI przewidzieć następny ruch atakującego, wykryć, gdzie może nastąpić następny atak, a nawet określić kto jest najbardziej prawdopodobnym winowajcą.
Jeśli te informacje zostaną dodane do systemu uczenia sztucznej inteligencji, jego węzły będą mogły zapewnić zaawansowaną i proaktywną ochronę, w ramach której nie tylko wykrywają zagrożenie, ale także prognozują ruchy, proaktywnie interweniują i koordynują wiedzę z innymi węzłami, aby jednocześnie wykluczyć wszystkie możliwości ataku.
Szansa w kontrwywiadzie i oszukiwaniu
Jedną z najbardziej kluczowych dziedzin w świecie szpiegostwa jest kontrwywiad. To samo
dotyczy prowadzenia ataku na środowisko, w którym ruchy są dokładnie monitorowane przez jego właścicieli. Broniący się mają wyraźną przewagę nad cyberprzestępcami dzięki dostępowi do rodzajów informacji o zagrożeniach, których jakość można zwiększyć dzięki uczeniu maszynowemu i sztucznej inteligencji.
Mogą zatem pokusić się na swego rodzaju oszustwo – wprowadzenie do transmisji danych sztucznego ruchu, który utrudni przestępcom nauczenie się wzorców prawdziwego ruchu i uniemożliwi – przynajmniej przez pewien czas – stworzenie odpowiednich algorytmów wykradających informacje. Ale równocześnie należy spodziewać się, że cyberprzestępcy zaczną zdawać sobie sprawę z tego, że są oszukiwani i mogą rozpocząć działania kontrwywiadowcze.
Będą musieli nauczyć się odróżniać wzorce tradycyjnego i sztucznego ruchu, bez przyłapania na szpiegowaniu. Ale i tego typu działania będą mogły być wykrywane dzięki sztucznej inteligencji, która pomoże stworzyć katalogi opisujące najlepsze praktyki w tej dziedzinie (Playbooks). Ułatwi także kreowanie sztucznego ruchu, aby jak najbardziej skutecznie „zaciemniał” on potok danych zawierających właściwe informacje.
Ścisła współpraca z organami ścigania
Cyberbezpieczeństwo ma szczególne wymagania dotyczące prywatności i dostępu do danych, coraz bardziej regulowane przez lokalne ustawodawstwo w poszczególnych krajach. Natomiast cyberprzestępczość nie ma granic, co powoduje, że organy ścigania nie tylko zostały zmuszone do tworzenia globalnych centrów dowodzenia, ale także zaczęły łączyć je z sektorem prywatnym, dzięki czemu są o krok bliżej do wykrywania działań cyberprzestępców i reagowania na nie w czasie rzeczywistym.
Struktura organów ścigania oraz ich relacje z sektorem publicznym i prywatnym mogą pomóc w identyfikowaniu cyberprzestępców. Inicjatywy promujące bardziej jednolite podejście do współpracy pomiędzy różnymi międzynarodowymi i lokalnymi organami
ścigania, rządami, przedsiębiorstwami i ekspertami ds. bezpieczeństwa pomogą przyspieszyć bezpieczną wymianę informacji w celu ochrony infrastruktury krytycznej i przed cyfrową przestępczością.
Poziom wyrafinowania działań cyberprzestępców nie maleje
Oczywiste jest, że wszelkie zmiany w strategiach ochrony przedsiębiorstw zostaną w końcu
zauważone przez cyberprzestępców. Firmy stosujące zaawansowane zabezpieczenia sieciowe oraz wyrafinowane metody wykrywania ataków i reagowania na nie, powinny liczyć się z podejmowanymi próbami jeszcze silniejszych ataków – zarówno w skali, jak też sposobie ich przeprowadzenia. Nie jest tajemnicą, że cyberprzestępcy także interesują się sztuczną inteligencją i coraz częściej będzie ona wykorzystywana do skutecznego prowadzenia ataków.
Zaawansowane techniki unikania
Ogłoszony niedawno raport Fortinet Threat Landscape pokazuje wzrost wykorzystania przez
cyberprzestępców zaawansowanych technik omijania zabezpieczeń, zaprojektowanych w celu zapobiegania wykrywaniu, wyłączania funkcji ochronnych oraz unikania wykrycia dzięki
korzystaniu do ataku wyłącznie z zasobów posiadanych przez potencjalną ofiarę, np. zainstalowane u niej oprogramowanie. Wiele współczesnych narzędzi przestępczych zawiera już funkcje pozwalające „omijać” oprogramowanie antywirusowe lub inne środki wykrywania zagrożeń.
Natomiast cyberprzestępcy stają się coraz bardziej wyrafinowani w swoich praktykach zaciemniania i antyanalizy, aby uniknąć wykrycia. Takie strategie maksymalizują szansę na
wykorzystanie słabości technik ochronnych i brak odpowiedniego przygotowania personelu w przedsiębiorstwie.
Rój botów atakuje
W ciągu ostatnich kilku lat wykształciła się nowa technika ataku nazywana rojem botów. Do
atakowania w ten sposób sieci oraz podłączonych do nich urządzeń wykorzystywane są uczenie maszynowe i sztuczna inteligencja, których potencjał może być wykorzystywany do infiltracji sieci, blokowania pracy wewnętrznych mechanizmów obronnych oraz skutecznego wyszukiwania i wykradania danych. Wyspecjalizowane boty, uzbrojone w określone funkcje, będą mogły wymieniać się zgromadzonymi informacjami i korelować je w czasie rzeczywistym, aby przyspieszyć zdolność całego roju do wybierania i modyfikowania ataków, nawet na wiele celów jednocześnie.
5G i przetwarzanie na brzegu sieci przyspieszą ataki
Transmisja danych w sieciach 5G może stać się katalizatorem rozwoju ataków wykorzystujących roje botów. Dzięki tej technologii możliwe będzie tworzenie lokalnych sieci ad hoc, które mogą szybko udostępniać i przetwarzać informacje.
Działające na brzegu sieci urządzenia, wyposażone w moduł transmisji danych 5G, mogą stać się kanałem dystrybucji złośliwego kodu, zaś grupy zainfekowanych urządzeń mogą współpracować, aby atakować ofiary z jeszcze większą szybkością, zapewnianą przez 5G. W takiej sytuacji, biorąc pod uwagę szybkość, inteligencję i lokalny charakter tego typu ataków, starsze rozwiązania ochronne mogą okazać się nieskuteczne.
Zmiana sposobu prowadzenia ataków zero-day przez cyberprzestępców
Do tej pory znalezienie luki zero-day oraz opracowanie dla niej exploita było kosztowne, więc przestępcy wykorzystywali je tak długo, aż nie zostały zneutralizowane. Jednak rosnąca ilość możliwości przeprowadzenia ataku, łatwość wykrywania luk z wykorzystaniem sztucznej inteligencji oraz rosnąca liczba dostępnych na świecie usług i oprogramowania wpływają na zdecydowany wzrost ryzyka częstego pojawiania się nowych podatności typu zero-day. Konieczne będzie podejmowanie dodatkowych środków bezpieczeństwa, aby przeciwdziałać temu trendowi.
Derek Manky, Chief, Security Insights & Global Threat Alliances, Fortinet
„Sukcesy osiągane przez cyberprzestępców wynikają z możliwości wykorzystania powiększającej się powierzchni ataku i rosnącej liczby luk bezpieczeństwa powstających w wyniku cyfrowej transformacji. Ostatnio metody podejmowanych ataków stały się jeszcze bardziej wyrafinowane dzięki integracji sztucznej inteligencji i technologii roju botów. Na szczęście tempo tego wzrostu zostanie wkrótce wyhamowane, jeśli więcej przedsiębiorstw użyje do ochrony swoich sieci tego samego rodzaju strategii, które przestępcy stosują do atakowania ich. Wymaga to ujednoliconego podejścia o szerokim zakresie, zintegrowanego i zautomatyzowanego, aby zapewnić wymianę informacji pomiędzy segmentami sieci, jej brzegiem, Internetem Rzeczy oraz dynamicznymi chmurami.”