Ostatnie dwa lata to okres nasilonej działalności grup APT w Polsce i na świecie. Powiedz proszę — z czego to wynika i jak ewoluowały zagrożenia typu APT w ostatnich latach?
Mirosław Maj: Ostatnie lata to systematyczny wzrost aktywności grup APT. Warto zaznaczyć, że zjawisko to w szczególności dotyczy naszego kraju. Według wielu raportów Polska i Ukraina były krajami najczęściej atakowanymi przez grupy APT sponsorowane przez inne państwa. Czynników, które przyczyniły się do ogólnego wzrostu zagrożeń, jest dużo i należą do nich między innymi: pandemia COVID-19, która przyspieszyła cyfryzację, zwiększenie liczby urządzeń podłączonych do internetu (IoT, IIoT, urządzenia mobilne, ale i nieumiejętna migracja do chmury), konflikty zbrojne czy rozwój technologii. To do ostatniej kategorii zalicza się rozwój i popularyzacja sztucznej inteligencji, która wykorzystywana jest przez grupy APT do przeprowadzania skuteczniejszych ataków.
Wykorzystanie AI przyczyniło się do ewolucji zagrożeń klasy APT — AI i uczenie maszynowe wykorzystywane są do automatyzacji i skutecznego ukrywania ataków (np. dzięki wyspecjalizowanemu malware, które dynamicznie zmienia kod). Ataki stały się bardziej zróżnicowane i skoordynowane, często również realizowane są w na bazie wieloetapowych strategii. Wykorzystanie nowych technologii podniosło też skuteczność atakujących i znacznie skróciło czas potrzebny do infiltracji zasobów.
W odpowiedzi musimy wprowadzać nowe narzędzia obronne, również oparte na AI, aby skutecznie neutralizować te zagrożenia. Właśnie o tym starałem się przekonywać w czasie Trecom Security 360.
Żyjemy w ciekawych czasach — z jednej strony grupy APT wykorzystują AI do przeprowadzania skuteczniejszych ataków, z drugiej dostawcy rozwiązań cyberbezpieczeństwa prześcigają się we wprowadzaniu rozwiązań opartych na AI. Mamy do czynienia z wyścigiem zbrojeń po obu stronach. Opowiedz proszę, w jaki sposób grupy APT wykorzystują AI w cyberatakach?
Grupy APT wykorzystują sztuczną inteligencję na różne sposoby, co czyni ich ataki bardziej skutecznymi i trudniejszymi do wykrycia. Na przykład rosyjska grupa Forest Blizzard korzysta z AI do badań nad protokołami komunikacji satelitarnej i technologią obrazowania radarowego oraz do wsparcia zadań związanych z pisaniem skryptów. Natomiast chiński Charcoal Typhoon używa AI do rekonesansu celów ataku, tworzenia narzędzi, debugowania kodu oraz tworzenia treści do kampanii phishingowych.
Jeszcze inaczej jest w przypadku irańskiej grupy Crimson Sandstorm, która używa AI do wsparcia skryptowania w aplikacjach i stronach internetowych oraz do generowania treści dla kampanii spear-phishingowych i badań nad metodami unikania wykrycia przez malware. To zaledwie kilka przykładów. Widać z nich jak AI staje się narzędziem umożliwiającym grupom APT przeprowadzanie bardziej zaawansowanych i złożonych cyberataków.
A jak wygląda druga strona barykady? Jakie są najciekawsze produkty cyberbezpieczeństwa oparte o AI?
Po drugiej stronie barykady dostawcy rozwiązań cyberbezpieczeństwa korzystają z AI, aby skutecznie bronić się przed zagrożeniami. Najciekawsze produkty skupiają się na trzech kluczowych obszarach: obrona przed malware tworzonym przy użyciu AI, ochrona systemów opartych na AI przed atakami oraz minimalizowanie błędów w systemach AI.
Jednym z najciekawszych projektów jest DARPA's GARD (Guaranteeing AI Robustness Against Deception), który koncentruje się na zapewnieniu odporności AI na oszustwa, szczególnie w obszarze bezpieczeństwa kodu. Projekty tego typu wykorzystują AI do analizy i monitorowania kodu w czasie rzeczywistym, identyfikowania i neutralizowania złośliwego oprogramowania oraz wykrywania anomalii, które mogą wskazywać na próby ataku na systemy AI.
Ponadto, istnieją rozwiązania AI, które potrafią analizować ogromne ilości danych w celu wykrycia wzorców sugerujących ataki, a także automatyzować procesy reagowania na incydenty, co pozwala na szybszą i bardziej efektywną reakcję na zagrożenia. Dzięki takim technologiom możemy skuteczniej chronić nasze systemy przed zaawansowanymi zagrożeniami.
Ostatnio w Twoim życiu zawodowym nastąpiła spora zmiana, pożegnałeś się z firmą, której byłeś współtwórcą — Comcert i rozpocząłeś współpracę z Trecom oraz SecureVisio. Czym dokładnie będziesz się zajmował i jakie są Twoje plany z nowym wyzwaniem?
Trecom i SecureVisio to już uznane marki, które chciałbym w miarę swoich możliwości wesprzeć w dalszym rozwoju. Zresztą, nie chodzi tylko o mnie – równolegle do mnie współpracę rozpoczyna cały zespół specjalistów, z którymi wspólnie działam już od wielu lat. Do istniejącego portfolio usług i produktów chcemy dołożyć komponent zaawansowanych usług cyberbezpieczeństwa.
Z naszych doświadczeń wynika, że to niezwykle ważny obszar, dopiero wdrożenie takich usług sprawia, że temat cyberbezpieczeństwa jest poprawnie potraktowany w organizacji. Jeśli to się uda, o czym zresztą jestem przekonany, to uda się stworzyć kompleksowe rozwiązanie i gotowość do realizacji najbardziej zaawansowanych projektów.
Jak w to wszystko wpisuje się Twój projekt Cyber Twierdzy? Wiem, że w tym obszarze również planujesz ambitny rozwój.
Projekt-produkt Cyber Twierdza to dziecko Fundacji Bezpieczna Cyberprzestrzeń. To gra symulacyjna, w której zadaniem gracza jest zbudowanie najbardziej odpornego systemu zabezpieczeń przy ograniczonym budżecie i reagowaniu na incydenty. Dzięki temu Cyber Twierdza uczy budować systemy cyberbezpieczeństwa w kontekście najbardziej aktualnych zagrożeń. Program ma już pięcioletnią historię i miejsce na rynku, chociażby dzięki Lidze Cyber Twierdzy, w której drużyny rywalizują ze sobą. Właśnie rozpoczęliśmy 4 sezon ligi – zachęcam do kibicowania i dołączenia do rozgrywek, zgodnie z regulaminem można to zrobić w dowolnym momencie rozgrywek. Dzięki strategicznemu partnerstwu Fundacji, Trecom i SecureVisio chcemy skorzystać z tego narzędzia do szeroko rozumianego uświadamiania, aby realizować strategiczny cel kompleksowego cyberbezpieczeństwa. Jestem zwolennikiem praktycznych rozwiązań, nawet jeśli temat dotyczy tzw. “warstwy wyższej” o charakterze procesowym i zarządczym. Taki cel mamy w Fundacji od kilkunastu lat, a Cyber Twierdza jest najlepszym dowodem na to, że jest to możliwe.
Ostatnie pytanie — jaką jedną radę na przyszłość dałbyś osobom związanym zawodowo z cyberbezpieczeństwem?
Bardzo ciekawe jest to, że mimo coraz większego grona specjalistów cyberbezpieczeństwa w Polsce, to pytanie nieustannie wraca. Swego czasu nagrywaliśmy nawet jeden z odcinków podcastu “Cyber, Cyber” na ten temat. W skrócie — zachęcam do postawienia na specjalizację. Dzisiejsze cyberbezpieczeństwo to konglomerat wielu kompetencji.
Trudno być specjalistą od wszystkiego, a jednocześnie skuteczne rozwiązywanie problemów wymaga coraz więcej wiedzy specjalistycznej. Warto sobie odpowiedzieć na pytanie, czy chcę strategicznie pomagać układać cyberbezpieczeństwo, specjalizować się w testowaniu bezpieczeństwa aplikacji, wykonywać pentesty, czy integrować rozwiązania vendorskie. Świadomy wybór daje szanse na dołączenie do grona najlepszych, czego wszystkim serdecznie życzę.
Dziękuję za inspirującą rozmowę.