Upravljanje kibernetičkim pretnjama i jačanje odbrane u dobi veštačke inteligencije
Danas svet kibernetičke bezbednosti prolazi kroz veliku transformaciju. Veštačka inteligencija (AI) je na samom čelu ove promene jer ujedno predstavlja i pretnju i priliku. Premda AI ima potencijal da pomogne organizacijama da se bore protiv kibernetičkih napada brzinom mašine i da podstakne inovaciju i efikasnost prilikom otkrivanja pretnji, potrage za pretnjama i reagovanja na incidente, napadači mogu da koriste AI za zloupotrebe. Nikada nije bilo važnije da projektujemo, primenjujemo i koristimo AI na bezbedan način.
U korporaciji Microsoft, istražujemo potencijal veštačke inteligencije za poboljšanje bezbednosnih mera, otkrivanje novih i naprednih zaštita i pravljenje boljih softvera. Zahvaljujući veštačkoj inteligenciji, možemo da se prilagodimo uprkos napredovanju pretnji, da odmah otkrijemo anomalije, da brzo reagujemo kako bismo neutralizovali rizike i da prilagodimo zaštite potrebama organizacije.
AI može da nam pomogne i da prevaziđemo još jedan od najvećih problema u sektoru. S obzirom na globalni manjak radne snage u oblasti kibernetičke bezbednosti – otprilike je potrebno 4 miliona stručnjaka za kibernetičku bezbednost širom sveta – AI ima potencijal da postane ključna alatka za prevazilaženje tog manjka i za pomoć zaštitnicima da budu produktivniji.
U jednoj studiji smo već videli kako Copilot za sigurnost može da pomogne analitičarima bezbednosti bez obzira na nivo stručnost; u svim zadacima, učesnici su bili precizniji za 44% i brži za 26%.
U težnji ka bezbednoj budućnosti, moramo da uspostavimo ravnotežu između bezbedne pripreme za AI i iskorišćavanje njegovih prednosti jer AI ima moć da podigne ljudski potencijal i reši neke od najtežih problema.
Bezbednija budućnost uz AI zahtevaće fundamentalne napretke u softverskom inženjeringu. Biće potrebno da razumemo pretnje zasnovane na AI i da se borimo protiv njih jer su one osnovni elementi svake bezbednosne strategije. Moramo zajedno da radimo na izgradnji čvrstih saradnji i partnerstava u javnom i privatnom sektoru u borbi protiv zlonamernih aktera.
U sklopu tih težnji i naše Inicijative za sigurnu budućnost, OpenAI i Microsoft danas objavljuju nove informacije o pokušajima zlonamernih aktera da testiraju i istraže korisnost velikih jezičkih modela (LLM) za tehnike napada.
Nadamo se da će ove informacije biti korisne u raznim sektorima jer svi radimo na bezbednijoj budućnosti. Na kraju krajeva, svi smo mi zaštitnici.
Bret Arseno,
korporativni potpredsednik, glavni savetnik za kibernetičku bezbednost
Gledajte kratki digitalni izveštaj Cyber Signals, gde Vasu Džakal, korporativni potpredsednik za Microsoft Security Business intervjuiše ključne stručnjake za informacije o pretnjama o kibernetičkim pretnjama u dobi AI, načinima na koje Microsoft koristi AI za poboljšanje bezbednosti i o tome šta organizacije mogu da urade da ojačaju zaštitu.
Napadači istražuju AI tehnologije
Pejzaž kibernetičih pretnji je postao još problematičniji s obzirom da su napadači sve motivisaniji, sofisticiraniji i opremljeniji. I zlonamerni akteri i zaštitnici se okreću veštačkoj inteligenciji, uključujući i LLM, radi povećanja produktivnosti i iskorišćavanja dostupnih platformi koje odgovaraju njihovim ciljevima i tehnikama napada.
S obzirom na brz napredak pejzaža pretnji, danas objavljujemo principe korporacije Microsoft kojima se vodimo pri delovanju u cilju ublažavanja rizika od zlonamernih aktera, uključujući napredne neprekidne pretnje (APT), napredne uporne manipulatore (APM) i skupine kibernetičkih kriminalaca, koji koriste AI platforme i API. Ti principi obuhvataju uočavanje korišćenja AI od strane zlonamernih aktera i delovanje protiv njih, obaveštavanje ostalih pružalaca AI usluga, saradnju sa drugim zainteresovanim stranama i transparentnost.
Iako se motivi i nivo sofisticiranosti zlonamernih aktera razlikuju, oni imaju zajedničke zadatke prilikom sprovođenja napada. Tu spadaju izviđanje, kao na primer istraživanje sektora, lokacija i odnosa potencijalnih žrtava; kodiranje, uključujući poboljšanje skripti za softvere i pravljenje zlonamernih softvera i pomoć pri učenju i korišćenje i prirodnih i mašinskih jezika.
Pokušaj nacionalnih država da koriste AI
U saradnji sa organizacijom OpenAI, delimo informacije o pretnjama koje pokazuju otkrivene napadače povezane sa državama, koje smo nazvali „Forest Blizzard“ („Šumska mećava“), „Emerald Sleet“ („Smaragdna susnežica“), „Crimson Sandstorm“ („Crvena peščana oluja“), „Charcoal Typhoon“ („Crni tajfun“) i „Salmon Typhoon“ („Roze tajfun“), a koji koriste LLM da bi proširili kibernetičke operacije.
Cilj partnerstva u istraživanju između korporacije Microsoft i organizacije OpenAI jeste osiguravanje bezbednog i odgovornog korišćenja AI tehnologija, kao što je ChatGPT, uz primenu najviših standarda etičke primene u cilju zaštite zajednice od potencijalne zloupotrebe.
„Forest Blizzard“ („STRONTIUM“), veoma efikasan ruski vojno-obaveštajni akter povezan sa Jedinicom 26165 Glavnog direktorata Generalštaba oružanih snaga Rusije ili GRU, targetira žrtve od taktičkog i strateškog značaja za Vladu Rusije. Njegove aktivnosti obuhvataju razne sektore, među kojima su odbrana, saobraćaj/logistika, vlada, energetika, NVO i informacione tehnologije
„Emerald Sleet“ („Velvet Chollima“) je zlonamerni akter iz Severne Koreje za kojeg je korporacija Microsoft ustanovila da imitira ugledne akademske ustanove i nevladine organizacije sa ciljem navođenja žrtava da odgovore stručnim uvidima i komentarima o spoljnoj politici u vezi sa Severnom Korejom.
„Emerald Sleet“ je koristio LLM za istraživanja o trustovima mozgova i stručnjacima za Severnu Koreju, kao i stvaranje sadržaja koji će se verovatno koristiti u kampanjama ciljanog phishinga. „Emerald Sleet“ je koristio LLM i za razumevanje opšte poznatih ranjivosti, rešavanje tehničkih problema i pomoć u korišćenju raznih veb tehnologija.
„Crimson Sandstorm“ („CURIUM“) je iranski zlonamerni akter koji je, prema procenama, povezan sa Korpusom čuvara islamske revolucije (IRGC). LLM su korišćeni za slanje zahteva za podršku u vezi sa društvenim inženjeringom, pomoć pri rešavanju grešaka, razvoju .NET aplikacija i načinima kako da napadač izbegne da bude razotkriven na ugroženoj mašini.
„Charcoal Typhoon“ („CHROMIUM“) je zlonamerni akter povezan sa Kinom, koji se pre svega koncentriše na praćenje grupa u Tajvanu, Tajlandu, Mongoliji, Maleziji, Francuskoj, Nepalu i pojedinaca širom sveta, koji su protiv politike Kine. Primećeno je da je „Charcoal Typhoon“, tokom nedavnih operacija, koristio LLM da bi dobio uvide u istraživanja kako bi razumeo konkretne tehnologije, platforme i ranjivosti, što ukazuje na faze preliminarnog prikupljanja informacija.
Još jedna grupa koju podržava Kina, Salmon Typhoon, procenjivala je efikasnost korišćenja LLM tokom 2023. za prikupljanje informacija na potencijalno osetljive teme, o istaknutim osobama, regionalnoj geopolitici, uticaju SAD i unutrašnjim poslovima. Ovo probno korišćenje LLM može da ukazuje i na širenje kompleta alatki za prikupljanje informacija i na eksperimentalnu fazu procene funkcionalnosti novih tehnologija.
U našem istraživanju sa organizacijom OpenAI, nisu otkriveni značajni napadi u kojima se koriste LLM koje pažljivo posmatramo.
Preduzeli smo mere ometanja resursa i naloga povezanih sa tim zlonamernim akterima i oblikovanja zaštitne ograde i bezbednosnih mehanizama oko naših modela.
Pojavljuju se druge AI pretnje
Prevara korišćenjem veštačke inteligencije predstavlja još jedan ključni razlog za brigu. Primer toga je sinteza glasa, gde na osnovu uzorka glasa od tri sekunde, model može da se obuči da zvuči kao bilo ko. Čak i nešto bezazleno, kao što je pozdrav na govornoj pošti, može da se iskoristi za pribavljanje dovoljne količine uzorka.
Način na koji interagujemo jedni s drugima i vodimo posao uglavnom se oslanja na dokazivanje identiteta, na primer prepoznavanje nečijeg glasa, lica, e-pošte ili stila pisanja.
Važno je da razumemo kako zlonamerni akteri koriste AI da podrivaju etablirane sisteme dokazivanja identiteta da bismo mogli da se bavimo složenim slučajevima prevare i drugim novonastalim pretnjama putem društvenog inženjeringa, kojima se prikrivaju identiteti.
AI mogu da koriste i kompanije za ometanje pokušaja prevare. Iako je Microsoft prekinuo saradnju sa kompanijom u Brazilu, naši AI sistemi su otkrili njene pokušaje da se rekonstituiše i ponovo uđe u naše ekosisteme.
Grupa je uporno pokušavala da zamaskira svoje informacije, prikrije korene vlasništva i ponovo uđe, ali naša AI otkrivanja su koristila skoro desetak signala o riziku da obeleži zastavicom prevarantsku kompaniju i da je poveže sa prethodno prepoznatim sumnjivim ponašanjem i tako blokira pokušaje.
Microsoft je posvećen odgovornoj veštačkoj inteligenciji koju vode ljudi i gde se uvažavaju privatnost i bezbednost tako što ljudi nadgledaju, procenjuju žalbe i tumače smernice i propise.
Edukujte zaposlene i javnost o kibernetičkim rizicima:
- Koristite smernice za uslovni pristup: Ove smernice pružaju jasna i samoprimenljiva uputstva za jačanje stanja bezbednosti, koja automatski štite korisnike na osnovu signala o riziku, licenciranja i korišćenja. Smernice za uslovni pristup su prilagodljive i adaptiraće se promenljivom pejzažu kibernetičkih pretnji.
- Sprovedite obuke i ponovne obuke za zaposlene o taktikama društvenog inženjeringa: Edukujte zaposlene i javnost da prepoznaju i reaguju na e-poruke za phishing, vishing (govorna pošta), smishing (SMS poruka), napade putem društvenog inženjeringa i da primene najbolje prakse bezbednosti za Microsoft Teams.
- Zaštitite podatke rigorozno: Postarajte se da podaci ostanu privatni i da se kontrolišu s jednog kraja na drugi.
- Koristite bezbednosne alatke zasnovane na generativnim AI: Alatke kao što su Microsoft Copilot za sigurnost mogu da prošire funkcije i poboljšaju stanje bezbednosti organizacije.
- Aktivirajte višestruku potvrdu identiteta: Aktivirajte višestruku potvrdu identiteta za sve korisnike, a naročito za administratorske funkcije jer se time smanjuje rizik od preuzimanja naloga za više od 99%.
Odbrana od napada
Microsoft prednjači sa sveobuhvatnom bezbednošću, u kombinaciji sa generativnim AI
Microsoft svakog dana otkrije neverovatnu količnu zlonamernog saobraćaja – više od 65 biliona signala za kibernetičku bezbednost. AI povećava našu sposobnost da analiziramo te informacije i da se postaramo da najvredniji uvidi isplivaju na površinu da bi se zaustavile pretnje. Te informacije u vidu signala koristimo i da omogućimo generativnom AI naprednu zaštitu od pretnji, bezbednost podataka i bezbednost identiteta da bismo pomogli zaštitnicima da zapaze ono što drugima promakne.
Microsoft koristi nekoliko metoda da zaštiti sebe i svoje klijente od kibernetičkih pretnji, uključujući otkrivanje pretnji pomoću AI za uočavanje promena u korišćenju resursa ili saobraćaja na mreži; analitiku ponašanja za otkrivanje rizičnih prijavljivanja i anomalnog ponašanja; modele mašinskog učenja (ML) za otkrivanje rizičnih prijavljivanja i zlonamernih softvera; modele nulte pouzdanosti, gde svaki zahtev za pristup mora u potpunosti da se proveri, odobri i šifruje; i proveru stanja uređaja pre povezivanja uređaja na korporativnu mrežu.
Pošto zlonamerni akteri znaju da Microsoft rigorozno koristi višestruku potvrdu identiteta (MFA) da se zaštiti, svi naši zaposleni imaju MFA ili zaštitu bez lozinke, primetili smo da napadači pribegavaju društvenom inženjeringu u pokušaju da ugroze naše zaposlene.
Aktivne oblasti za to su one gde se pružaju vredne stvari, kao što su besplatne probne verzije ili promotivne cene usluga ili proizvoda. U tim oblastima, napadačima se ne isplati da kradu jednu po jednu pretplatu, pa se trude da ti napadi budu efikasniji i veći, a da se ne otkriju.
Naravno, mi pravimo modele veštačke inteligencije za otkrivanje tih napada za Microsoft i naše klijente. Otkrivamo lažne učeničke i školske naloge, lažne kompanije ili organizacije, koje su izmenile svoje firmografske podatke ili prikrili prave identitete da bi izbegli sankcije, zaobišli kontrole i sakrili prošle kriminalne aktivnosti, kao što su osuđujuće presude za korupciju, pokušaji krađe itd.
Korišćenjem softvera GitHub Copilot, Microsoft Copilot za sigurnost i drugih funkcija kopilota za ćaskanje ugrađenih u našu internu infrastrukuru za inženjering i operacije, mogu da se spreče incidenti koju mogu da utiču na operacije.
Da bi se bavila pretnjama u e-pošti, korporacija Microsoft unapređuje funkcije za prikupljanje signala, pored sadržaja e-poruke, da bi se utvrdilo da li su zlonamerni. Otkad zlonamerni akteri koriste AI, došlo je do priliva savršeno napisanih e-poruka, gde su otklonjene očigledne jezičke i gramatičke greške, koje često odaju pokušaje phishinga, pa se pokušaji phishinga teže otkrivaju.
Potrebni su stalna edukacija zaposlenih i kampanje za podizanje nivoa javne svesti za borbu protiv društvenog inženjeringa, koji je jedina tehnika koja se u potpunosti oslanja na ljudsku grešku. Istorija nas je naučila da efikasne kampanje za podizanje nivoa javne svesti uspevaju da promene ponašanja.
Microsoft predviđa da će AI unaprediti taktike društvenog inženjeringa, što će dovesti do sofisticiranijih napada, kao što su deepfake i kloniranje glasa, naročito ako napadači utvrde da tehnologije veštačke inteligencije funkcionišu bez odgovornih praksi i ugrađenih bezbednosnih kontrola.
Prevencija je ključna za borbu protiv svih kibernetičkih pretnji, bez obzira da li su tradicionalne ili zasnovane na AI.
Preporuke:
Kontrolišite snabdevače veštačke inteligencije i stalno procenjujte da li su pogodni: Za sve AI uvedene u vaše preduzeće, tražite ugrađene funkcije odgovarajućih snabdevača da biste ograničili pristup veštačkoj inteligenciji na zaposlene i timove pomoću tehnologije kako biste omogućili bezbedno i usaglašeno usvajanje AI. Okupite strane zainteresovane za kibernetički rizik u organizaciji da biste se dogovorili oko definisanih slučajeva korišćenja veštačke inteligencije od strane zaposlenih i kontrola pristupa. Istaknuti ljudi za rizike i vodeći direktori za bezbednost informacija treba redovno da određuju da li su slučajevi korišćenja i smernice adekvatni ili moraju da se menjaju zajedno sa ciljevima i učenjem.
Zaštitite se od ubačenih odziva: Primenite strogu proveru valjanosti ulaznih podataka i pročišćavanje na odzive korisnika. Koristite filtriranje u skladu sa kontekstom i kodiranje izlaznih podataka da biste sprečili manipulisanje odzivima. Redovno ažurirajte i fino podešavajte LLM da bi bolje razumeli zlonamerne ulazne podatke i granične slučajeve. Pratite i evidentirajte interakcije sa LLM da biste otkrili i analizirali potencijalne pokušaje ubacivanja odziva.
Naložite transparentnost celog lanca nabavke AI: Jasnim i otvorenim praksama procenite sve oblasti gde AI može da dođe u dodir sa podacima vaše organizacije, uključujući i preko spoljnih partnera i dobavljača. Koristite odnose sa partnerima i međufunkcionalne timove za kibernetički rizik da biste istražili učenja i otklonili eventualne propuste. Održavanje aktuelnih programa nulte pouzdanosti i upravljanja podacima, u dobi AI, bitnije je nego ikad.
Fokusirajte se na komunikaciju: Istaknuti ljudi za kibernetički rizik moraju da shvate da su zaposleni svesni uticaja i prednosti AI u privatnom životu i da će prirodno želeti da istraže primenu sličnih tehnologija u okruženjima hibridnog rada. Vodeći direktori za bezbednost informacija i drugi istaknuti ljudi koji upravljaju kibernetičkim rizikom mogu da proaktivno dele i jačaju smernice svojih organizacija o upotrebi i rizicima AI, uključujući i o tome koje su naznačene alatke veštačke inteligencije odobrene za preduzeće i tačke kontakta za pristup i informacije. Uz proaktivnu komunikaciju, zaposleni su obavešteni i osnaženi, a smanjuje se rizik od toga da dovedu nekontrolisani AI u dodir sa IT resursima preduzeća.
Tradicionalne alatke više ne mogu da isprate pretnje od kibernetičkih kriminalaca. Sve veća brzina, razmera i sofisticiranost nedavnih kibernetičkih napada zahtevaju novi pristup bezbednosti. Takođe, s obzirom na manjak radne snage u kibernetičkoj bezbednosti i da kibernetičke pretnje postaju sve češće i ozbiljnije, hitno je potrebno da se reši problem nedostatka veština.
AI može da preokrene situaciju u korist zaštitnika. U nedavnoj studiji o rešenju Microsoft Copilot za sigurnost (trenutno ga testiraju klijenti), otkrivena je veća brzina i preciznost analitičara bezbednosti, bez obzira na njihov nivo stručnosti, u zajedničkim zadacima, kao što su otkrivanje skripti koje koriste napadači, kreiranje izveštaja o incidentima i donošenje odgovarajućih koraka za oporavak.1
- [1]
Metodologija:1 Podaci snimka stanja predstavljaju randomizovano kontrolisano ispitivanje (RCT), gde smo ispitali 149 osoba da bismo izmerili uticaj na produktivnost pri korišćenju Microsoft Copilot za sigurnost. U ovom RCT ispitivanju, nasumično smo dali Copilot nekim analitičarima, a nekima ne, a zatim smo oduzeli njihov učinak i raspoloženja da bismo dobili efekat rešenja Copilot, odvojeno od osnovnih efekata. Ispitanici su imali osnovne veštine u IT, ali su bili novi u bezbednosti, pa smo mogli da testiramo kako Copilot pomaže analitičarima na početku karijere. RCT za Microsoft Copilot za sigurnost sprovela je Microsoft kancelarija glavnog ekonomiste u novembru 2023. Pored toga, Microsoft Entra ID je pružio anonimizovane podatke o aktivnostima pretnji, kao što su zlonamerni nalozi e-pošte, e-poruke za phishing i kretanje napadača unutar mreža. Dodatni uvidi proističu iz 65 biliona dnevnih bezbednosnih signala dobijenih širom korporacije Microsoft, uključujući oblak, krajnje tačke, inteligentnu lokaciju, našu službu za uklanjanje bezbednosnih proboja i timove za otkrivanje i reagovanje, telemetriju sa Microsoft platformi i usluga, uključujući Microsoft Defender, kao i Microsoft izveštaj o digitalnoj bezbednosti iz 2023.