Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Cybernews
  3. Artykuł
Powrót

Najważniejsze zmiany technologiczne w sektorze AI w kontekście cybersecurity

02 grudzień 2024

Najważniejsze zmiany technologiczne w sektorze AI w kontekście cybersecurity
Jarosław Homa

Jarosław Homa

Mówiąc o zastosowaniu najnowszych rozwiązań technologii AI w obszarze cyberbezpieczeństwa, należałoby zastanowić się nad największymi, aktualnymi cyber zagrożeniami i wyzwaniami dla tego segmentu informatyki. Tu z pomocą przyjdzie nam raport Europejskiej Agencji ds. Cyberbezpieczeństwa (European Union Agency for Cybersecurity — ENISA). Przeglądając katalog zagrożeń w raporcie za rok 2023 i za rok 2024 na pierwszych miejscach plasują się odpowiednio ataki: DDoS, RANSOMWARE, DATA, MALWARE czy social engineering threats. W roku 2023 w zasadzie zamieniają się tylko miejscami dwie pierwsze pozycje. Można stwierdzić z całym przekonaniem, że pierwsza trójka zagrożeń jest niezmienna od lat. Gdybym zatem został zapytany jako ekspert ds. cyberbezpieczeństwa o największe cyberzagrożenia (bieżące wyzwania) i metody ich mitygacji wskazałbym zdecydowanie te trzy typy cyber ataków: DDoS, ransomware, i ataki typu DATA. Co do sposobów ich mitygacji oczywiście sugerowałbym użycie najnowszych rozwiać oparty o różne narzędzia AI.  

Po pierwsze — detekcja zagrożeń w czasie rzeczywistym

System informatyczne do wykrywania ataków skalsyfikowanych jako „zero-day”,czyli jeszcze nie znanych badaczom cyberprzestrzeni, w tym producentom oprogramowania systemowego i bazujące na nieznanych lukach w oprogramowaniu – to przecież atak aplikacyjny DDoS. Systemy AI monitorujący określony segment sieci komputerowej w oparciu o sondy IDS-owe, wykrywają wszelkie odchylenia od „normalnych” typowych zachowań użytkowników w monitorowanej sieci komputerowej. Wykrywają ponadprzeciętne transfery danych w nietypowych godzinach pracy organizacji, wprost wskazujące na działania zapowiadające w finale atak typu ransomware — kradzież danych (wyciek) a potem szyfrowanie i okup.

Po drugie — analiza z użyciem wytrenowanych modeli uczenia maszynowego LLM danych historycznych o ruchu sieciowym

Uczenie maszynowe jako element sztucznej inteligencji, a właściwie sieci neuronowej, wykorzystując mechanizmy ML (machine learning) – uczenia maszynowego lub DL (deep learning) głębokiego uczenia maszynowego mają świetne rezultaty wykrywania np. ataków typu DDoS (Distributed Denial of Service) w wersji aplikacyjnej i wolumetrycznej. Gotowe zbiory „wzorcowe” dostępne od ręki na stronach między innymi Kanadyjskiego Instytutu Cyberbezpieczeństwa posiadają wzorce charakterystycznego, typowego ruchu sieciowego np. dla sieci typu OT czy IoT. Wytrenowany w ten sposób system NDR (Network Detection and Response) producentów takich jak np. VECTRA, Palo Alto, czy Fidelis z bardzo dużym powodzeniem wykryje ww. ataki. W połączeniu z system IPS (Intrusion Prevention System) i firewall-em tworzą proaktywny automatyczny system ochrony z silnikiem detekcji opartym o rozwiązanie AI. Tego typu systemy z modułem skanowania ruchu sieciowego wykrywają również kampanie (ataki) phishingowe zaszyte w korespondencję email. Reasumując wszelkie odchylenia od typowego ruchu sieciowego dla organizacji są natychmiast wykrywane przez silniki AI wytrenowane na wzorcowych modelach językowych i proaktywnie ochraniają nasze sieci.

Po trzecie — automatyzacja XDR, SOAR

Kiedyś użylibyśmy skryptu w języku Python… Dzisiaj systemy automatyzacji działań typu SOAR (Security Orchestration, Automation, and Response), lub XDR (Extended Detection and Response) automatycznie blokują podejrzany ruch sieciowy. Usuwaj MALWARE podejrzane pliki lub z użyciem segmentacji przenoszą zainfekowany, podejrzany endpoint do podsieci kwarantanny.

Po wtóre — User Behavior Analytics, penetration testing

Testowanie automatyczne! Współczesne testy penetracyjne, z wykorzystaniem AI to tysiące scenariuszy znanych ataków, olbrzymia baza podatności, błyskawiczne detekcja niezgodności i to w czasie rzeczywistym. Kiedyś „w czasach przed AI” testy penetracyjne trwały tygodniami, wykonywane manualnie na aplikacjach, statycznym kodzie czy w black-box-ach, sieciach i systemach komputerowych. O wynikach ciężkiej i monotonnej pracy pentesterów z zespołów RED TEAM dowiadywaliśmy się z raportów z audytów – często zbyt późno „po czasie”, z brakiem możliwość na szybka reakcje. Obecnie środowiska testowe są w pełni automatyczne, zasilane codziennie nowa bazą podatności, czy nowym wzorcem modelu LLM (large language model), testowanie odbywa się w zasadzie online, ich wyniki w połączeniu z systemami proaktywnymi praktycznie od razu wdrażane są w sieciach komputerowych zabezpieczając je. Analiza behawioralna zachowania się systemów czy użytkowników w sieci w praktyce na bieżąco identyfikuje wszelkie szkodliwe działania w systemach IT. W szczególności próby nieautoryzowanego dostępu, siłowe ataki na hasła, nietypowe transfery i wszelkie odchylenia wskazujące na cyberatak.

Reasumując, współczesne systemy cyberbezpieczeństwa bez zaimplementowanych rozwiązań AI są w praktyce nie skuteczne. Dzięki zastosowaniu mechanizmów sztucznej inteligencji do kluczowych rozwiązań w dziedzinie ochrony sieci komputerowych typu IT, OT czy IoT zaliczamy systemy:

  • Aktywnej detekcji anomalii w czasie rzeczywistym
  • Systemy analizy bieżącego ruch sieciowego w oparciu o analizę danych historycznych
  • Systemy detekcji ataków DDoS w tym „zero-day”
  • Systemy analizy behawioralnej
  • Systemy detekcji i ochrony przed atakami phishingowymi, malwarem i ransomware
  • Systemy ochrony sieci komputerowych w oparciu o detekcje z użyciem globalnej bazy wiedzy o cyberzagrożeniach.

Czy zagrożenia w używaniu AI – tak, głównie niebezpieczne są ataki silniki LLM. Jak również rozwiązania AI wykorzystywane do automatyzacji cyberataków, te ostatnie jak u Lema mogą ze sobą nawet walczyć AI v AI.

Oceń artykuł

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności