Raport specjalny. Bezpieczeństwo banków: Cyberwojna: maszyna versus człowiek

BANK 2018/04

Przewiduje się, że w najbliższych latach możemy spodziewać się stworzenia prawdziwie autonomicznej sztucznej inteligencji. Systemu, który będzie, ukradkiem i praktycznie bez pozostawiania żadnych śladów, skutecznym narzędziem wykorzystywanym przez hakerów.

image

Jakub Jagielak
Menedżer ds. Rozwoju Sprzedaży Cyberbezpieczeństwa w Atende S.A.

Istnieje wiele dyskusji na temat przyszłości sztucznej inteligencji. Tworzone są programy i projekty, mające na celu jak najefektywniejsze wykorzystanie jej na polu bitwy. Autonomiczne systemy AI zaczynają być wdrażane w sieciach cyfrowych. Dziś technologia sztucznej inteligenci umożliwia nie tylko infiltrowanie infrastruktury IT, ale również pozostawanie w sieci przez miesiące lub lata bez wykrycia.

Wykorzystanie sztucznej inteligenci daje praktycznie nieograniczone możliwości pozyskiwania danych o naszych zasobach informatycznych, a nawet o nas samych. Realne wydaje się, że pozostająca w ukryciu sztuczna inteligencja zacznie rozpoznawać różnice w stylu pisania e-maili w zależności od adresata. Stąd już krok do podszycia się AI za człowieka.

Mechanizmy wykorzystujące sztuczną inteligencję oraz narzędzia pozwalające na automatyzację przeciwdziałania incydentom bezpieczeństw to chyba najszybciej obecnie rozwijająca się część rynku bezpieczeństwa. Zaczyna się walka między maszynami, bo cyberprzestępcy już od jakiegoś czasu wykorzystują mechanizmy pozwalające na automatyzację ataków np. DDoS (ang. Distributed Denial od Service). Jeśli skuteczna obrona systemu IT przed zagrożeniami generowanymi maszynowo zależy od reakcji ludzi, to – z reguły – bez wspomagania przez oprogramowanie automatyzujące reakcję stoją oni na straconej pozycji i prawdopodobnie przegrają walkę z dynamicznie zmieniającymi się zagrożeniami.

Początki są trudne

Jeszcze kilka lat temu agencja rządowa DARPA przy Departamencie Obrony Stanów Zjednoczonych, zajmująca się projektami badawczymi w zakresie obronności, rokrocznie organizowała „olimpiadę” specjalistów ds. bezpieczeństwa IT oraz hakerów. Konkurs w swoim założeniu przypominał grę komputerową, gdzie po jednej stronie mieliśmy do czynienia z „przestępcami”, pragnącymi wykorzystać luki bezpieczeństwa systemów komputerowych, a po drugiej – z analitykami, którzy mieli za zadanie przygotować i wdrożyć jak najszybciej działania ochronne, celem niedopuszczenia do narażenia zasobów informatycznych na szwank.

W roku 2014 został powołany do życia nowy, dwuletni projekt: konkurs Cyber Grand Challenge. Naprzeciwko siebie mieli stanąć nie ludzie, lecz maszyny. Celem konkursu było stworzenie automatycznego systemu zdolnego do obrony swoich zasobów w czasie rzeczywistym. Systemu, który potrafiłby wykrywać błędy, wnioskować, a także w czasie rzeczywistym przygotowywać i wdrażać poprawki uniemożliwiające włamanie się do systemu oraz wyrządzenie groźnych szkód. Do jego zadań należało ponadto skuteczne wyprowadzanie ataków na podstawie wcześniej przechwyconych danych od konkurencyjnych rozwiązań.

Konkurs podzielono na dwa etapy. Eliminacje, na starcie których stanęło ok. 100 drużyn, oraz finały, które odbyły się w roku 2016. W finałach udział wzięło siedem najlepszych zespołów z rundy eliminacyjnej. Po obserwowanej przez setki osób i trwającej ponad 12 godzin rywalizacji, pierwsze miejsce w konkursie zajęła maszyna o nazwie „Mayhem” drużyny ForAllSecure. W nagrodę za zajęcie pierwszego miejsca (oprócz premii finansowej) Mayhem zmierzył się z ludźmi. Tym razem jednak maszyna zajęła ostatnie miejsce, ustępując wszystkim siedmiu zespołom złożonym z najlepszych specjalistów od cyberochrony. O ile do zwycięskiego zespołu Mayhem straciło sporo, o tyle do ostatniej, siódmej drużyny złożonej z analityków i hakerów zabrakło jej naprawdę niewiele.

Skąd takie zainteresowanie zautomatyzowanymi systemami cyberbezpieczeństwa?

Coraz więcej ataków skierowanych na firmy jest już dziełem systemów automatycznych. Nawet domorosły haker jest w stanie zamówić sobie za parę dolarów atak DDoS à la carte. Już w 2014 r. Brian Dye – ówczesny wiceprezes firmy Symantec – powiedział na łamach Wall Street Journal: „Antivirus is dead”. Coraz częściej mamy do czynienia z atakami, których nie znamy. Średni czas wykrycia włamania w organizacji to nadal ok. 200 dni. Dajemy się wyprzedzać przestępcom, którzy stosują coraz bardziej wyrafinowane metody ataków. Głównym celem staje się obrona przed nieznanym. Na obecnym etapie rozwoju systemów cyberbezpieczeństwa automatyzacja jest możliwa tylko w ograniczonym zakresie. Samouczące się, kognitywne systemy podnoszą alarm w razie wykrycia anomalnego zachowania się stacji roboczej użytkownika. Mogą podjąć też ograniczone działania, jak np. odciąć stację roboczą od sieci. W obecnym stanie techniki pozostałe działania pozostają w rękach ludzi – analityków i specjalistów ds. bezpieczeństwa IT.

Mechanizmy wykorzystujące sztuczną inteligencję oraz narzędzia pozwalające na automatyzację przeciwdziałania incydentom bezpieczeństw to chyba najszybciej obecnie rozwijająca się część rynku bezpieczeństwa. Zaczyna się walka między maszynami, bo cyberprzestępcy już od jakiegoś czasu wykorzystują mechanizmy pozwalające na automatyzację ataków np. DDoS. Jeśli skuteczna obrona systemu IT przed zagrożeniami generowanymi maszynowo zależy od reakcji ludzi, to z reguły stoją oni na straconej pozycji i bez wspomagania przez oprogramowanie automatyzujące reakcję mogą przegrać walkę z dynamicznie zmieniającymi się zagrożeniami. Przyszłe lata będą więc czasem ataku maszyna – maszyna.

Warto pamiętać, że nawet najbardziej zaawansowany system ochrony, który w trakcie eksploatacji nie będzie poddawany odpowiedniej weryfikacji oraz systematycznemu doskonaleniu, może stać się bardzo szybko podatny na zagrożenia z zewnątrz, jak i z wewnątrz organizacji. Szczególne, że użytkownicy, przeświadczeni o zapewnionej przez dział IT ochronie, zapominają o czyhających na nich niebezpieczeństwach oraz osobach, które potrafią ominąć zabezpieczenia natury technicznej i w nieświadomy sposób mogą narazić swoją organizację na poważne straty.

Niestety, coraz częściej pojawiają się także problemy z brakiem wykwalifikowanej kadry. Dzisiejsi specjaliści od bezpieczeństwa mogą dowolnie przebierać w ofertach pracy. Docelowym rozwiązaniem na brak ludzi i coraz częstszą automatyzację ataków powinna być automatyzacja obrony. Twórca algorytmu Mayhem uważa, że któregoś dnia nowe rozwiązania oparte na sztucznej inteligencji będą w stanie wyeliminować nawet podatność dnia zerowego, zdefiniowaną jako luka w zabezpieczeniach oprogramowania, o której nie wie nawet producent. Dopóki jednak taka technologia nie istnieje, pamiętajmy o tym, że utrzymywanie wysokiego poziomu bezpieczeństwa strategicznych systemów teleinformatycznych wymaga stałego monitorowania, okresowego przeglądu stanu zabezpieczenia wszystkich elementów wchodzących w ich skład, oraz inwestycji w rozwiązania, dzięki którym nie damy się przegonić cyberprzestępcom.

Udostępnij artykuł: