Kaip išvengti kibernetinių grėsmių ir sustiprinti apsaugą DI amžiuje
Šiandien kibernetinės saugos pasaulyje vyksta didžiulės permainos. Dirbtinis intelektas (DI) yra šių pokyčių priešakyje, o tai yra ir grėsmė, ir galimybė. Nors DI gali padėti organizacijoms mašininiu greičiu įveikti kibernetines atakas ir paskatinti inovacijas bei efektyvumą grėsmių aptikimo, paieškos ir reagavimo į incidentus srityse, priešininkai gali naudoti DI kaip savo išnaudojimo atakų dalį. Dar niekada nebuvo taip svarbu saugiai kurti, diegti ir naudoti DI.
„Microsoft“ tyrinėja DI galimybes, kad galėtų patobulinti savo saugos priemones, atskleisti naujas ir pažangias apsaugos priemones ir sukurti geresnę programinę įrangą. Naudodami DI galime prisitaikyti prie kintančių grėsmių, akimirksniu aptikti anomalijas, greitai reaguoti, kad neutralizuotume riziką, ir pritaikyti gynybą pagal organizacijos poreikius.
DI taip pat gali padėti įveikti dar vieną iš didžiausių pramonės iššūkių. Pasaulyje trūksta kibernetinės saugos darbuotojų – visame pasaulyje reikia maždaug 4 mln. kibernetinės saugos specialistų, todėl DI gali tapti pagrindine priemone, padėsiančia užpildyti talentų spragą ir užtikrinti didesnį gynėjų produktyvumą.
Jau žinome iš vieno tyrimo apie tai, kaip „Copilot“ saugai gali padėti saugos analitikams nepriklausomai nuo jų kompetencijos lygio – atlikdami visas užduotis dalyviai buvo 44 proc. tikslesni ir 26 proc. greitesni.
Siekdami užtikrinti saugią ateitį, turime užtikrinti, kad saugiai pasiruoštume dirbtiniam intelektui ir išnaudotume jo teikiamą naudą, nes DI gali padidinti žmogaus potencialą ir išspręsti kai kuriuos rimčiausius iššūkius.
Norint užtikrinti saugesnę DI ateitį, reikės esminės programinės įrangos inžinerijos pažangos. Reikės suprasti DI keliamas grėsmes ir kovoti su jomis kaip su esminiais bet kurios saugos strategijos komponentais. Be to, kovodami su piktavaliais veikėjais, turime bendradarbiauti ir užmegzti glaudų bendradarbiavimą ir partnerystę tarp viešojo ir privačiojo sektorių.
Dėdami šias pastangas ir vykdydami savo iniciatyvą „Secure Future Initiative“, „OpenAI“ ir „Microsoft“ šiandien skelbia naują žvalgybinę informaciją apie grėsmių sukėlėjų bandymus išbandyti ir ištirti didžiųjų kalbos modelių (LLM) naudingumą atakų metodams.
Tikimės, kad ši informacija bus naudinga įvairiose pramonės šakose, nes visi siekiame saugesnės ateities. Galų gale vis mes esame gynėjai.
Bret Arsenault,
CVP, vyriausiasis kibernetinės saugos patarėjas
CVP, vyriausiasis kibernetinės saugos patarėjas
Žiūrėkite „Cyber Signals“ skaitmeninę santrauką, kurioje Vasu Jakkal, „Microsoft Security Business“ įmonės viceprezidentas bendrauja su svarbiausiais grėsmių žvalgybos ekspertais apie kibernetines grėsmės DI amžiuje, tai, kaip „Microsoft“ naudoja DI saugai didinti, ir ko organizacijos gali imtis, kad sustiprintų gynybą.
Įsilaužėliai tyrinėja DI technologijas
Kibernetinių grėsmių aplinka tampa vis sudėtingesnė, nes užpuolikai tampa vis labiau motyvuoti, sudėtingesni ir turi vis daugiau išteklių. Tiek grėsmių sukėlėjai, tiek gynėjai siekia naudotis DI, įskaitant LLM, kad padidintų savo produktyvumą ir pasinaudotų prieinamomis platformomis, kurios galėtų atitikti jų tikslus ir atakų metodus.
Atsižvelgdami į sparčiai kintantį grėsmių kraštovaizdį, šiandien skelbiame „Microsoft“ principus, kuriais vadovaujamės imdamiesi veiksmų, mažinančių grėsmių sukėlėjų, įskaitant pažangias nuolatines grėsmes (APT), pažangius nuolatinius manipuliatorius (APM) ir kibernetinių nusikaltėlių sindikatus, naudojančius DI platformas ir API, riziką. Šie principai apima kenkėjiškų grėsmių sukėlėjų naudojimosi dirbtiniu intelektu identifikavimą ir veiksmus prieš juos, pranešimą kitiems DI paslaugų teikėjams, bendradarbiavimą su kitais suinteresuotaisiais subjektais ir skaidrumą.
Nors grėsmių sukėlėjų motyvai ir sudėtingumas skiriasi, rengdami atakas jie atlieka tas pačias užduotis. Tai žvalgyba, pavyzdžiui, potencialių aukų pramonės šakų, vietovių ir ryšių tyrimas, kodavimas, įskaitant programinės įrangos scenarijų tobulinimą ir kenkėjiškų programų kūrimą, ir pagalba mokantis žmonių ir mašininių kalbų bei jomis naudojantis.
Nacionalinės valstybės bando naudotis dirbtiniu intelektu
Bendradarbiaudami su „OpenAI“, dalijamės grėsmių žvalgyba, kuri rodo aptiktus su valstybėmis susijusius priešininkus – jie vadinami „Forest Blizzard“, „Emerald Sleet“, „Crimson Sandstorm“, „Charcoal Typhoon“ ir „Salmon Typhoon“ – naudojančius LLM kibernetinėms operacijoms pagerinti.
„Microsoft“ tyrimų partnerystės su „OpenAI“ tikslas – užtikrinti saugų ir atsakingą DI technologijų, tokių kaip „ChatGPT“, naudojimą, laikantis aukščiausių etikos standartų, kad bendruomenė būtų apsaugota nuo galimo piktnaudžiavimo.
„Forest Blizzard“ (STRONTIUM) – itin veiksminga Rusijos karinės žvalgybos bendrovė, susijusi su RusijosGginkluotųjų pajėgų Generalinio štabo Vyriausiosios valdybos arba GRU 26165 padaliniu, taikėsi į Rusijos vyriausybei taktiškai ir strategiškai svarbias aukas. Jos veikla apima įvairius sektorius, įskaitant gynybos, transporto ir logistikos, vyriausybės, energetikos, nevyriausybinių organizacijų ir informacinių technologijų
„Emerald Sleet“ („Velvet Chollima“) – tai Šiaurės Korėjos grėsmių veikėjas, kurį „Microsoft“ aptiko apsimetantį gerbiamomis akademinėmis institucijomis ir nevyriausybinėmis organizacijomis, kad įtikintų aukas atsakyti pateikiant ekspertinių įžvalgų ir komentarų apie užsienio politiką, susijusią su Šiaurės Korėja.
„Emerald Sleet“, naudodamasi LLM, atliko Šiaurės Korėjos analitinių centrų ir ekspertų tyrimus, taip pat kūrė turinį, kuris gali būti naudojamas tikslinio sukčiavimo apsimetant kampanijose. „Emerald Sleet“ taip pat naudojosi LLM, kad suprastų viešai žinomas pažeidžiamumo vietas, spręstų technines problemas ir padėtų naudotis įvairiomis žiniatinklio technologijomis.
„Crimson Sandstorm“ (CURIUM) yra Irano grėsmės sukėlėjas, kuris, kaip manoma, yra susijęs su Islamo revoliucinės gvardijos korpusu (IRGC). LLM buvo naudoti prašant pagalbos, susijusios su socialine inžinerija, pagalba šalinant klaidas, .NET kūrimu ir būdais, kaip užpuolikas gali išvengti aptikimo, kai yra užkrėstame kompiuteryje.
„Charcoal Typhoon“ (CHROMIUM) yra su Kinija susijęs grėsmės sukėlėjas, daugiausia dėmesio skiriantis Taivano, Tailando, Mongolijos, Malaizijos, Prancūzijos, Nepalo ir atskirų asmenų, kurie priešinasi Kinijos politikai, sekimui visame pasaulyje. Pastaruoju metu pastebėta, kad „Charcoal Typhoon“ į tyrimus, skirtus konkrečioms technologijoms, platformoms ir pažeidžiamoms vietoms suprasti, įtraukia LLM, o tai rodo preliminarius informacijos rinkimo etapus.
Kita Kinijos remiama grupė „Salmon Typhoon“ 2023 m. vertino LLM naudojimo veiksmingumą siekiant gauti informacijos apie potencialiai jautrias temas, aukšto rango asmenis, regioninę geopolitiką, JAV įtaką ir vidaus reikalus. Šis eksperimentas LLM naudojimas gali atspindėti tiek žvalgybos informacijos rinkimo priemonių rinkinio išplėtimą, tiek eksperimentinį naujų technologijų galimybių vertinimo etapą.
Vykdydami savo tyrimus su „OpenAI“, nenustatėme reikšmingų atakų, kuriose būtų naudojami mūsų atidžiai stebimi LLM.
Ėmėmės priemonių, kad sutrikdytume su šiais grėsmių sukėlėjais susijusio turto ir paskyrų veikimą, taip pat suformavome apsauginius aptvarus ir saugos mechanizmus aplink savo modelius.
Atsiranda kitų DI grėsmių
Kitas svarbus klausimas – DI pagrįstas sukčiavimas. To pavyzdys – balso sintezė, kai iš trijų sekundžių trukmės balso pavyzdžio modelį galima išmokyti skambėti kaip bet kas kitas. Netgi tokį nekaltą dalyką kaip jūsų balso pašto pasveikinimas galima panaudoti norint gauti pakankamą imtį.
Didelė dalis mūsų bendravimo ir verslo santykių priklauso nuo identiškumo įrodymo, pavyzdžiui, atpažįstant asmens balsą, veidą, el. pašto adresą ar rašymo stilių.
Labai svarbu suprasti, kaip piktavaliai naudoja DI, kad pakenktų ilgametėms tapatybės įrodymo sistemoms, kad galėtume kovoti su sudėtingais sukčiavimo atvejais ir kitomis kylančiomis socialinės inžinerijos grėsmėmis, kurios paslepia tapatybę.
DI taip pat galima naudoti siekiant padėti įmonėms užkirsti kelią bandymams sukčiauti. Nors „Microsoft“ nutraukė bendradarbiavimą su įmone Brazilijoje, mūsų DI sistemos aptiko jos bandymus iš naujo įsitvirtinti mūsų ekosistemoje.
Grupė nuolat bandė užtušuoti savo informaciją, nuslėpti nuosavybės šaknis ir vėl patekti į rinką, tačiau mūsų DI aptikimo funkcijos, naudodamosi beveik tuzinu rizikos signalų, pažymėjo sukčiaujančią įmonę ir susiejo ją su anksčiau pripažinta įtartina elgsena, taip užkirsdamas kelią jos bandymams.
„Microsoft“ yra įsipareigojusi užtikrinti atsakingą žmogaus vadovaujamą dirbtinį intelektinį intelektą , užtikrinantį privatumą ir saugą, žmonėms vykdant priežiūrą, vertinant apeliacijas ir aiškinant politiką bei taisykles.
Švieskite darbuotojus ir visuomenę apie kibernetines krizes:
- Naudokite sąlyginės prieigos politiką: šiose politikose pateikiamos aiškios, savaime įdiegiamos gairės, kaip sustiprinti saugos padėtį, kurios automatiškai apsaugos nuomotojus pagal rizikos signalus, licencijavimą ir naudojimą. Sąlyginės prieigos politiką galima pritaikyti ir pritaikyti prie kintančios kibernetinių grėsmių aplinkos.
- Apmokykite ir iš naujo mokykite darbuotojus apie socialinės inžinerijos taktiką: išmokykite darbuotojus ir visuomenę atpažinti ir reaguoti į sukčiavimo apsimetant el. laiškus, sukčiavimą telefonu (balso paštas), sukčiavimą apsimetant siunčiant SMS (SMS žinutės) socialinės inžinerijos atakas ir taikyti geriausią saugos praktiką.
- Griežtai saugokite duomenis: užtikrinkite, kad duomenys išliktų privatūs ir kontroliuojami nuo vieno galo iki kito.
- Panaudokite generatyvines DI saugos priemones: tokios priemonės, kaip „Copilot“ saugai, gali išplėsti galimybes ir pagerinti organizacijos saugos būklę.
- Įjunkite kelių dalių autentifikavimą: įjunkite kelių dalių autentifikavimą visiems naudotojams, ypač administratoriaus funkcijoms, nes tai daugiau nei 99 proc. sumažina paskyros perėmimo riziką.
Gynyba nuo atakų
„Microsoft“ išlieka priekyje su visapusiška sauga ir generuojamuoju dirbtiniu intelektu
„Microsoft“ aptinka didžiulį kenkėjiško srauto kiekį – daugiau nei 65 trilijonus kibernetinės saugos signalų per dieną. DI didina mūsų gebėjimą analizuoti šią informaciją ir užtikrinti, kad būtų atskleistos vertingiausios įžvalgos, padedančios sustabdyti grėsmes. Šią signalų žvalgybą taip pat naudojame generuojamjam dirbtiniam intelektui, skirtam pažangiai apsaugai nuo grėsmių, duomenų saugai ir tapatybės apsaugai, kad padėtume gynėjams pastebėti tai, ko kiti nepastebi.
„Microsoft“ savo ir klientų apsaugai nuo kibernetinių grėsmių naudoja keletą metodų, įskaitant grėsmių aptikimą naudojant DI, kad būtų pastebėti tinklo išteklių ar srauto naudojimo pokyčiai; elgsenos analizę, kad būtų aptikti rizikingi prisijungimai ir neįprastas elgesys; mašininio mokymo (ML) modelius, kad būtų aptikti rizikingi prisijungimai ir kenkėjiška programinė įranga; nulinio pasitikėjimo modelius, pagal kuriuos kiekviena prieigos užklausa turi būti visiškai autentifikuota, autorizuota ir užšifruota; ir įrenginio būklės patikrinimą prieš prietaisui prisijungiant prie įmonės tinklo.
Kadangi grėsmių sukėlėjai suprantai, jog „Microsoft“ griežtai naudoja kelių dalių autentifikavimą (MFA), kad apsisaugotų – visiems mūsų darbuotojams nustatytas MFA arba apsauga be slaptažodžių – matėme, kaip įsilaužėliai, bandydami pažeisti mūsų darbuotojų saugą, naudoja socialinę inžineriją.
Svarbiausios sritys yra tos, kuriose teikiama vertė, pavyzdžiui, nemokami bandymai arba reklaminės paslaugų ar produktų kainos. Šiose srityse įsilaužėliams neapsimoka vogti po vieną prenumeratą, todėl jie stengiasi nepastebėti šias atakas operatyvizuoti ir išplėsti.
Suprantama, kuriame DI modelius, siekdami aptikti šias atakas, orientuotas į „Microsoft“ ir mūsų klientus. Nustatome netikras studentų ir mokymo įstaugų paskyras, netikras įmones ar organizacijas, kurios pakeitė savo firmografinius duomenis arba nuslėpė savo tikrąją tapatybę, kad išvengtų sankcijų, apeitų kontrolės priemones arba nuslėptų ankstesnius kriminalinius nusižengimus, pvz., nuteisimus už korupciją, bandymus įvykdyti vagystę ir pan.
Naudojimasis „GitHub Copilot“, „Microsoft Copilot“ saugai ir kitas „copilot“ pokalbių funkcijomis, integruotomis į mūsų vidaus inžinerijos ir operacijų infrastruktūrą, padeda išvengti incidentų, galinčių turėti įtakos operacijoms.
Siekdama pažaboti el. pašto grėsmes, „Microsoft“ tobulina galimybes nustatyti ne tik el. laiško sudėtį, bet ir kitus signalus, kad būtų galima suprasti, ar jis yra kenkėjiškas. Grėsmių sukėlėjų rankose atsidūrus dirbtiniam intelektui, padaugėjo tobulai parašytų el. laiškų, kuriuose patobulintos akivaizdžios kalbos ir gramatikos klaidos, dažnai atskleidžiančios sukčiavimo bandymus, todėl tokius bandymus aptikti tampa sunkiau.
Norint kovoti su socialine inžinerija, kuri yra vienintelis svertas, 100 proc. priklausantis nuo žmogiškųjų klaidų, reikia nuolatinio darbuotojų švietimo ir visuomenės informavimo kampanijų. Istorija mus išmokė, kad veiksmingos visuomenės informavimo kampanijos padeda keisti elgesį.
„Microsoft“ numato, kad DI plėtos socialinės inžinerijos taktiką, sukurdamas sudėtingesnes atakas, įskaitant gilumines klastotes ir balso klonavimą, ypač jei įsilaužėliai pastebės, kad DI technologijos veikia be atsakingos praktikos ir integruotų saugos kontrolės priemonių.
Kovojant su visomis kibernetinėmis grėsmėmis, nepriklausomai nuo to, ar jos tradicinės, ar pagrįstos DI, svarbiausia yra prevencija.
Rekomendacijos:
Taikykite teikėjų DI kontrolės priemones ir nuolat vertinkite jų tinkamumą: dėl bet kokio įmonėje diegiamo DI ieškokite atitinkamų tiekėjų integruotų funkcijų, kurios leistų apriboti DI prieigą technologiją naudojantiems darbuotojams ir komandoms, kad būtų skatinamas saugus ir reikalavimus atitinkantis DI diegimas. Suburkite visos organizacijos kibernetinės rizikos suinteresuotąsias šalis, kad jos suderintų apibrėžtus DI darbuotojų naudojimo atvejus ir prieigos kontrolę. Rizikos vadovai ir vyriausieji informacijos apsaugos pareigūnai turėtų reguliariai vertinti, ar naudojimo atvejai ir politika yra tinkami, ar jie turi būti keičiami keičiantis tikslams ir žinioms.
Apsisaugokite nuo raginimų įterpimo: įgyvendinkite griežtą įvesties patvirtinimą ir naudotojo pateiktų raginimų tvarkymą. Naudokite kontekstinį filtravimą ir išvesties kodavimą, kad išvengtumėte manipuliacijų su raginimais. Reguliariai atnaujinkite ir koreguokite LLM, kad geriau suprastumėte kenkėjiškus įvesties duomenis ir kraštutinius atvejus. Stebėkite ir registruokite LLM sąveikas, kad aptiktumėte ir išanalizuotumėte galimus raginimų įterpimo bandymus.
Reikalaukite skaidrumo visoje DI tiekimo grandinėje: aiškiai ir atvirai vertinkite visas sritis, kuriose DI gali turėti kontaktą su jūsų organizacijos duomenimis, įskaitant trečiųjų šalių partnerius ir teikėjus. Naudokitės santykiais su partneriais ir tarpfunkcinėmis kibernetinės rizikos grupėmis, kad išnagrinėtumėte įgytą patirtį ir pašalintumėte atsiradusias spragas. Dabartinių nulinio pasitikėjimo ir duomenų valdymo programų palaikymas DI eroje yra svarbesnis nei bet kada anksčiau.
Sutelkite dėmesį į komunikaciją: kibernetinės rizikos vadovai turi pripažinti, kad darbuotojai mato DI poveikį ir naudą asmeniniame gyvenime ir natūraliai norės išbandyti panašias technologijas hibridinėje darbo aplinkoje. Vyriausieji informacijos apsaugos pareigūna ir kiti kibernetinę riziką valdantys vadovai gali aktyviai dalytis savo organizacijų politika dėl DI naudojimo ir rizikos, įskaitant tai, kurios paskirtos DI priemonės yra patvirtintos įmonei, ir kontaktiniais taškais, per kuriuos galima prieiti bei gauti informaciją. Aktyvi komunikacija padeda informuoti darbuotojus ir suteikti jiems daugiau galių, kartu sumažindama jų riziką, kad nevaldomas DI gali susidurti su įmonės IT turtu.
Gaukite daugiau įžvalgų apie DI iš Homa Hayatafar, pagrindinės duomenų ir taikomųjų mokslų vadovės, aptikimo analizės vadovės.
Tradicinės priemonės nebeatitinka kibernetinių nusikaltėlių keliamų grėsmių masto. Dėl vis didėjančio pastarojo meto kibernetinių atakų greičio, masto ir sudėtingumo reikia naujo požiūrio į saugą. Be to, atsižvelgiant į tai, kad trūksta kibernetinės saugos darbuotojų, o kibernetinės grėsmės tampa vis dažnesnės ir rimtesnės, būtina skubiai šalinti šį įgūdžių trūkumą.
DI gali pakreipti situaciją gynėjų naudai. Vienas neseniai atliktas „Copilot“ saugai tyrimas (šiuo metu atliekamas klientų peržiūros testavimas) parodė, kad saugos analitikai, nepriklausomai nuo jų kompetencijos lygio, greičiau ir tiksliau atlieka įprastas užduotis, pavyzdžiui, identifikuoja įsilaužėlių naudojamus scenarijus, rengia incidentų ataskaitas ir nustato tinkamus taisomuosius veiksmus.1
- [1]
Metodika:1 momentiniai duomenys atspindi atsitiktinių imčių kontroliuojamąjį tyrimą (RCT), kurio metu testavome 149 žmones, siekdami įvertinti produktyvumo poveikį naudojant „Microsoft Copilot“ saugai. Šio RCT metu vieniems analitikams atsitiktinai davėme „Copilot“, o kitiems – ne, tada atėmėme jų veiklos rezultatus ir nuotaikas, kad gautume „Copilot“ poveikį, atskirtą nuo bet kokio bazinio poveikio. Testuojamieji turėjo pagrindinius IT įgūdžius, tačiau buvo saugos srities naujokai, todėl galėjome išbandyti, kaip „Copilot“ padeda pradedantiesiems analitikams. „Microsoft Copilot“ saugai kontroliuojamąjį tyrimą atliko „Microsoft“ vyriausiojo ekonomisto biuras, 2023 m. lapkritį. Be to, „Microsoft Entra ID“ pateikė anoniminius duomenis apie grėsmių veiklą, pavyzdžiui, kenkėjiškas el. pašto paskyras, apgaulingus el. laiškus ir įsilaužėlių judėjimą tinkluose. Papildomos įžvalgos yra iš 65 trilijonų kasdienių saugos signalų, gautų iš „Microsoft“, įskaitant debesį, galinius punktus, išmaniosios pažangos, mūsų Pažeidimų saugos atkūrimo praktikos bei Aptikimo ir reagavimo komandų, telemetrijos iš „Microsoft“ platformų ir tarnybų, įskaitant „Microsoft Defender“, bei 2023 metų „Microsoft“ skaitmeninės gynybos ataskaitos.