Marcin Spychała, Instytut Kościuszki
Tempo rozwoju świata wymusza coraz większą automatyzację zadań wykonywanych dotychczas albo manualnie, albo przez sterowniki analogowe. Z perspektywy optymalizacji procesu jest to trend, którego nie da się już zawrócić.
Dla specjalisty do spraw bezpieczeństwa automatyzacja jest większym problemem i bólem głowy, poczynając od potrzeby zapewnienia interoperacyjności narzędzi, których wyprodukowanie niejednokrotnie dzielą dekady, do ciągłego śledzenia potencjalnych zagrożeń dla zainstalowanej infrastruktury, które są odkrywane każdego dnia. A to tylko przy założeniu, że taki proces śledzenia podatności jest w przedsiębiorstwie realizowany oraz że podatność da się wykryć zdalnie, a nie przez odwiedzenie wszystkich jednostek organizacyjnych firmy.
Dla przykładu na konferencji Black Hat 2017 przedstawiciel firmy IOActive pokazał wyniki badań nad oprogramowaniem stacji do wykrywania promieniowania radioaktywnego. Odkrycia są równie szokujące, co proste do niewłaściwego wykorzystania. Dla przykładu – jedna z bramek do wykrywania promieniowania miała wprowadzonych kilka poziomów uprawnień. Badanie kodu programu ujawniło jednak, że producent pozostawił również tylną furtkę dającą maksymalne uprawnienia. Konstrukcja kodu pokazuje, że było to działanie jak najbardziej celowe a konsekwencją wykorzystania takiego dostępu jest na przykład możliwość wyłączenia alarmu radiacyjnego, czyli głównej funkcjonalności całego mechanizmu.
W tym momencie przez głowę specjalisty do spraw zabezpieczeń infrastruktury krytycznej przelatuje tornado emocji. Od ulgi związanej z faktem, że ktoś wykrył tę podatność, przez ciekawość, ile takich podatności jest nieznanych, przez niepewność związaną z pytaniem, czy w zarządzanej infrastrukturze są takie tylne furtki, aby w końcu zatrzymać się na uczuciu przytłoczenia związanego z koniecznością zapewnienia ciągłości bezpieczeństwa nie tylko dla infrastruktury jako całości, ale również dla każdego komponentu z osobna wiedząc, że jedna rzecz od 24 lat na pewno się nie zmieniła. W dalszym ciągu zorganizowane grupy przestępcze stają się bardziej aktywne w próbie uzyskania dużych partii cennych materiałów z przedsiębiorstw. Kontaktują się z personelem, badają słabe punkty systemu i możliwości kradzieży lub zakłócenia działalności na wielką skalę.
Czy sztuczna inteligencja może przyjść tu z pomocą? Gdzie już jest wykorzystywana a gdzie powinniśmy ją zacząć wykorzystywać w najbliższej przyszłości? Co ze skutkami działań systemów autonomicznych posiadających funkcje samouczące? Jakie korzyści a jakie zagrożenia niesie za sobą wykorzystanie sztucznej inteligencji nie tylko do wykrywania, ale również do zwalczania cyberataków? Nie bez znaczenia będzie też wyciągnięcie wniosków z istniejących już wdrożeń systemów bezpieczeństwa wspomaganych sztuczną inteligencją.
Przykłady zastosowań
Głównym celem badań nad sztuczną inteligencją jest stworzenie technologii pozwalającej komputerom i maszynom funkcjonować w inteligentny sposób. Całość wyzwań można rozbić na podkategorie w następujący sposób:
• uczenie się,
• rozumienie języka naturalnego,
• wnioskowanie i rozwiązywanie problemów,
• planowanie,
• kreatywność,
• inteligencja społeczna,
• generyczna inteligencja,
• prezentowanie wiedzy,
• percepcja,
• motywacja i manipulacja.
W niedalekiej przyszłości, gdy systemy sztucznej inteligencji staną się bardziej skuteczne, zaczniemy widzieć bardziej zautomatyzowane i coraz bardziej wyrafinowane ataki socjotechniczne. Wzrost liczby cyberataków wspieranych sztuczną inteligencją spowoduje eksplozję włamań do sieci, kradzieży danych osobowych i rozprzestrzeniania się inteligentnych wirusów komputerowych na skalę epidemii. Ironicznie, naszą najlepszą nadzieją, aby bronić się przed włamaniami wspieranymi funkcją sztucznej inteligencji, jest użycie sztucznej inteligencji.
Prawdopodobnie jednak doprowadzi to do wyścigu zbrojeń, którego konsekwencje mogą być bardzo kłopotliwe w dłuższej perspektywie, zwłaszcza gdy aktorzy rządowi dołączą w większej skali do cyberataków na cele komercyjne.
Biorąc pod uwagę ilość zastosowań sztucznej inteligencji w codziennym życiu (Siri, Netflix, Nest, Alexa, chatboty, autonomiczne samochody itp.) oczekiwania wobec zastosowania sztucznej inteligencji do walki z cyberprzestępczością są uprawnione. Niektóre raporty szacują, że wielkość rynku sztucznej inteligencji i robotyki osiągnie 153 miliardy dolarów do 2020 roku. Rozwój tego obszaru w ostatnich latach jest fenomenem. Google przewiduje, że roboty osiągną poziom ludzkiej inteligencji do roku 2029 a analitycy z McKinsey&Company dowiedli, że prawie 50% amerykańskich i europejskich miejsc pracy może być całkowicie zautomatyzowanych.
Czy można przyjąć więc, że mamy do czynienia ze zmierzchem cyberprzestępczości i świtem zautomatyzowanej ochrony opartej na sztucznej inteligencji? Tylko druga teza ma poparcie w analizowanych faktach. W związku z faktem, że cyberzagrożenia robią się coraz bardziej zaawansowane i również wspierane przez sztuczną inteligencję, należy dobrze zrozumieć, co sztuczna inteligencja może zrobić, czego nie może i czego wręcz nie powinna robić, aby zminimalizować płaszczyznę potencjalnego ataku. Zwłaszcza że zgodnie z tezą ortogonalności Bostroma dowolny system sztucznej inteligencji może charakteryzować się dowolną konfiguracją inteligencji i celów. Takie cele mogą zostać zdefiniowane na etapie projektu, przez włamania przestępców lub w późniejszym etapie przy użytkowaniu systemów. W konsekwencji, w zależności od tego czyje cele realizuje system sztucznej inteligencji (korporacji, socjopatów, dyktatorów, wojska, przemysłu, terrorystów itd.) możemy mieć do czynienia z konsekwencjami bezprecedensowymi w historii ludzkości.
Obecnie systemy automatyzujące prace analityków bezpieczeństwa czy automatycznie zabezpieczające infrastrukturę krytyczną bez udziału człowieka są już dostępne. W dalszej części analizie poddane zostaną możliwości w kontekście potencjalnych zastosowań.
Ochrona przed atakiem i przed błędami w oprogramowaniu
Oprogramowanie zarządzające komputerami, sterownikami i urządzeniami typu „smart” w infrastrukturze jest naturalnie podatne zarówno na błędy w kodzie, jak i błędy ludzkie, które mogą być wykorzystane przez przestępców. Potencjał konsekwencji jest praktycznie nieskończony i może dotyczyć bezpieczeństwa jednostki, regionu czy całego kraju. Środki ochrony muszą więc być przystosowane do wykrywania pojedynczego hakera, grupy przestępczej oraz coraz częściej oprogramowania samodzielnie wspieranego przez systemy sztucznej inteligencji z mechanizmami polimorficznymi lub zmieniać sposób zachowania w zależności od konieczności i dostępnych wektorów ataku. Rozwój systemów, które mogą wyszukiwać i naprawiać te błędy i luki w zabezpieczeniach, a także bronić przed atakami wyrósł z tej pilnej potrzeby, a wiele firm, które pracują nad autonomicznymi systemami, jest finansowana przez wojsko (DARPA) i przez uznane uniwersytety na całym świecie.
Najczęściej podawanym przykładem samodzielnego systemu zabezpieczającego jest rozwiązanie Mayhem tworzone w startupie ForAllSecure wspólnie z Uniwersytetem Carnegie Mellon – zwycięzca zawodów autonomicznych systemów bezpieczeństwa – Cyber Grand Challenge, które odbyły się 4 sierpnia 2016 r. w Las Vegas. Ich organizatorem jest amerykańska agencja zaawansowanych projektów obronnych DARPA podlegająca Pentagonowi. Autonomiczne programy miały bronić się przed włamaniami i próbować zaatakować przeciwników, wykorzystując wiedzę o lukach. DARPA wprowadziła jednak nowy element – serwery, na których uruchomiono e-hakerów, musiały cały czas normalnie funkcjonować. Analiza kodu, obrona i atak nie mogły znacząco spowolnić normalnej pracy. Jak się okazało, miało to znaczenie dla ostatecznej klasyfikacji.
Tego typu systemy, autonomicznie analizujące luki w oprogramowaniu i potrafiące je automatycznie zabezpieczać to bliska przyszłość każdego centrum cyberbezpieczeństwa. Na chwilę obecną jednak są jeszcze niedoskonałe, co pokazała późniejsza konferencja Def Con 2016, gdzie Mayhem jako pierwszy w historii autonomiczny „haker” przystąpił do zawodów typu Capture the Flag. Mimo że ostatecznie finiszował na ostatnim miejscu, to w trakcie rozgrywki parokrotnie wyprzedzał zespoły ludzkie. W ostatecznej klasyfikacji zabrakło mu jedynie 1,8% punktu, żeby wyprzedzić zespół sklasyfikowany na przedostatnim miejscu. To pokazuje, jak niewielki postęp jest potrzebny, by wprowadzić autonomiczne systemy do użytku komercyjnego.
Inteligentne systemy wsparcia analityków bezpieczeństwa
Podczas gdy autonomiczne systemy bezpieczeństwa są jeszcze (niedaleką) przyszłością, większość specjalistów do spraw bezpieczeństwa prędzej czy później będzie miała do czynienia z kilkoma problemami obrazującymi prozę współczesnego przedsiębiorstwa w tak dynamicznie rozwijającym się technologicznie środowisku.
Po pierwsze, przedsiębiorstwom zaczynają doskwierać konsekwencje dotychczasowego braku praktyk typu security by design. Innymi słowy, większość systemów komercyjnych, a zwłaszcza systemów dziedzinowych, była pisana nie uwzględniając współczesnych zagrożeń cybernetycznych. Konsekwencją takich wieloletnich zaniedbań jest konieczność de facto monitorowania całości infrastruktury informatycznej, anomalii w zachowaniu użytkowników oraz korelowania informacji między systemami w celu identyfikacji zagrożeń dla infrastruktury i danych firmy. Wykrywać należy również takie niespodziewane tylne furtki jak we wspomnianych systemach do monitorowania radiacji, których zresztą producent odmówił załatania twierdząc, że systemy wykrywania radiacji są instalowane w bezpiecznych lokalizacjach. Pytaniem otwartym pozostaje, co się stanie, jeśli w systemach chroniących te lokalizacje również znajdą się tylne furtki lub błędy w algorytmach zabezpieczeń.
Drugim wyzwaniem dla każdego działu bezpieczeństwa jest efektywne wykorzystanie całości wiedzy dostępnej w Internecie i w sieciach zanonimizowanych typu Tor czy I2P. Każdy analityk bez wątpienia chciałby działać proaktywnie i wykrywać luki w zabezpieczeniach zanim zagrożenie nadejdzie. Praktyka jednak pokazuje, że większość czasu specjaliści spędzają raczej na gaszeniu pożarów, niż na systematycznym przyswajaniu dostępnej wiedzy. Zresztą istniejąca, i wciąż rosnąca ilość dostępnej wiedzy jest nie do przyswojenia przez człowieka. Co więcej, jej realne wykorzystanie w momencie zagrożenia, pod presją czasu i odpowiedzialności, jest mocno ograniczone.
Trzecim problemem, który zaczyna być coraz bardziej widoczny, jest powiększający się niedobór doświadczonych specjalistów ds. bezpieczeństwa. Szacuje się, że na rynku brakuje około 1,5 miliona specjalistów i liczba ta się powiększa.
Odpowiedzią na wszystkie trzy problemy jest efektywne wykorzystanie dostępnych już na rynku systemów kognitywnych, opracowanych (czyt. nauczonych) aby rozumiały zagadnienia z zakresu cyberbezpieczeństwa. Narzędzia kognitywne mają na celu wesprzeć analityków bezpieczeństwa w analizie zdarzeń i korelacji informacji z wewnątrz przedsiębiorstwa z wiedzą dostępną w sieci. Dzięki takiemu podejściu analityk, który zidentyfikuje podejrzane zachowania w infrastrukturze, będzie automatycznie wsparty całą dostępną w sieci wiedzą na temat tego konkretnego zagrożenia. Praktyka pokazuje, że współcześnie systemy kognitywne potrafią oszczędzić analitykom bezpieczeństwa i analitykom SOC do 50% czasu związanego z wyszukiwaniem i klasyfikowaniem informacji.
Ochrona prywatności i bezpieczna komunikacja
W przypadku każdej infrastruktury, ale w szczególności w przypadku infrastruktury krytycznej, zapewnienie bezpiecznej komunikacji pomiędzy komponentami systemu oraz zabezpieczenie danych wrażliwych staje się coraz większym wyzwaniem. Zwłaszcza w przypadku, gdy nadchodząca era komputerów kwantowych zaczyna poważnie zagrażać skuteczności części algorytmów szyfrowania.
Z tym większym zainteresowaniem świat obserwował jeden z najciekawszych eksperymentów przeprowadzonych prze badaczy z Google Brain, którzy oprogramowali dwie uczące się maszyny (a konkretnie dwie sieci neuronowe) Bob i Alice, aby same wymyśliły bezpieczny sposób komunikacji, oraz zlecili trzeciej maszynie (Eve) przechwycić i rozkodować przekaz. W skrócie, naukowcy z Google Brain odkryli, że odpowiednio oprogramowana sztuczna inteligencja, tworzy dziwnie nieludzkie schematy kryptograficzne i że lepiej radzi sobie z szyfrowaniem niż deszyfracją. Ostatecznie naukowcy stwierdzili, że Bob i Alice opracowały solidny protokół szyfrowania. Eve z drugiej strony po początkowych sukcesach nie potrafiła już odszyfrować komunikacji systemów, które nieustannie się uczyły i poprawiały swój algorytm. Oznacza to, że już dzisiaj roboty mogą ze sobą rozmawiać w sposób, którego ani inne roboty ani, co za tym idzie, ludzie, nie są w stanie zrozumieć i złamać.
Mimo że na pierwszy rzut oka taka perspektywa może się wydawać niekomfortowa lub wręcz niebezpieczna, to niesie ze sobą kolosalne możliwości w zakresie zabezpieczania danych, a zwłaszcza w zakresie bezpiecznej pracy na danych zaszyfrowanych. Odkąd w 2009 roku Craig Gentry udowodnił, że pełne szyfrowanie homomorficzne jest możliwe w praktyce – badania nad tym obszarem przybliżają nas z każdym dniem do zastosowań komercyjnych. W skrócie – pełne szyfrowanie homomorficzne umożliwia dowolne działania na danych zaszyfrowanych. Dzięki zastosowaniu takiego szyfrowania oraz bezpiecznej komunikacji stworzonej przez samouczące się sieci neuronowe jesteśmy w stanie pracować na najważniejszych danych dla firmy nie tylko w szerszej skali, ale przede wszystkim bez strachu o to, że te dane wpadną w ręce przestępców lub konkurencji. Przez wielu szyfrowanie homomorficzne postrzegane jest jako Święty Graal kryptografii, a przez dostawców rozwiązań przetwarzania w chmurze wyczekiwana jest pełna komercjalizacja rozwiązań w oparciu o szyfrowanie homomorficzne.
Zabezpieczanie urządzeń IoT
Według Gartnera, do końca roku konsumenci będą korzystać z ponad 8 miliardów podłączonych urządzeń. Te urządzenia IoT, takie jak inteligentne telewizory, tablety, smartfony, notebooki, urządzenia do noszenia, czujniki, termostaty, asystenci itd, sprawią, że nasze życie będzie bardziej efektywne, oszczędzające energię, bardziej komfortowe i mniej kosztowne. Jak pokazał przykład botnetu Mirai z 2016 roku – życie będzie również bardziej wygodne dla przestępców mogących wykorzystać niezabezpieczone (czyli większość) urządzeń IoT do swoich celów.
Rzeczywistość bezpieczeństwa IoT jest dość mizerna: wielu producentów inteligentnych urządzeń nie wie, jak zabezpieczyć urządzenia IOT przed cyberatakiem, a wielu to nie interesuje, bo koncentrują się na funkcjonalności. Przez to jednak ogromna liczba urządzeń IoT nie ma nawet infrastruktury wspierającej do uruchamiania rozwiązań zabezpieczających, a całkiem sporo również nie ma nawet mechanizmów aktualizacji.
Nie bez powodów Senat USA przyjął w sierpniu 2017 r. pierwszą legislację dotyczącą urządzeń IoT – The Internet of Things Cybersecurity Improvement Act. Prawo dotyczy wprawdzie urządzeń IoT używanych i kupowanych w ramach administracji rządowej, ale wprowadzone przez nie standardy będą prawdopodobnie podstawą do stworzenia standardów sektorowych. Tym bardziej przeraża fakt, że w 2017 r. potrzebne jest prawo, które wprowadza dla urządzeń cyfrowych:
a) możliwość aktualizacji;
b) zakazuje wpisywanych „na sztywno” haseł w kodzie;
c) nakazuje, aby urządzenia nie były podatne na znane podatności.
Ten ostatni wymóg jest zresztą trudny do wdrożenia, gdyż znając mechanizm zakupów w administracji udowodnienie, że urządzenie jest podatne, stanie się standardowym mechanizmem walki konkurencyjnej.
Z perspektywy infrastruktury krytycznej pojedynczy smartwatch czy telewizor wiszący w sali konferencyjnej nie jest może zagrożeniem krytycznym (chyba że są połączone w sieć i wykorzystane do przeprowadzenia ataku typu DoS na infrastrukturę firmy), ale nawet takie pojedyncze urządzenia świetnie się sprawdzają w fazie rekonesansu poprzedzającej atak właściwy. Dzieje się tak, ponieważ większość systemów bezpieczeństwa przedsiębiorstwa nie traktuje sprzętu IoT jako części infrastruktury informatycznej, którą należy zabezpieczać. W związku z tym nadają się one idealnie do wykorzystania nie tylko podczas rekonesansu, ale również (jeśli nie przede wszystkim) w atakach z wewnątrz firmy.
Zabezpieczenia przeciwko zagrożeniom wewnętrznym (insider threat)
Niezadowolony pracownik wynoszący w tajemnicy poufne informacje, niedbały kierownik klikający na link ze złośliwym oprogramowaniem, czy może przestępca uzyskujący dostęp do infrastruktury krytycznej za pomocą skradzionych poświadczeń: to wszystko dzieje się na co dzień i stanowi jedno z największych wyzwań cyberbezpieczeństwa w 2017 roku.
Alphabet, firma matka Google, złożyła ostatnio sprawę przeciwko byłemu inżynierowi Anthony’owi Levandowskiemu, który obecnie współpracuje z Uberem. Firma oskarżyła Levandowskiego o kopiowanie ponad 14 000 plików wewnętrznych i przekazanie ich bezpośrednio do swojego nowego pracodawcy.
Co jest zagrożeniem dla bezpieczeństwa spowodowanym przez wewnętrznych użytkowników? Prawdą jest, że typowe zagrożenia, takie jak ataki złośliwego oprogramowania, włamania do sieci, ataki typu „odmowa usługi” i ransomware, są znacznie częstsze niż ataki wewnętrzne. Takie przeświadczenie panuje przynajmniej w większości firm, dopóki nie przeprowadzona zostanie właściwa analiza. Podczas gdy wewnętrzne zagrożenia bezpieczeństwa cybernetycznego często są związane ze złośliwymi użytkownikami, w rzeczywistości zwykli pracownicy nieumyślnie powodują naruszenia i wycieki danych firmowych praktycznie codziennie
Utrata poświadczeń następuje z powodu phishingu, kradzieży lub nieświadomego wpuszczania złośliwego oprogramowania do systemu, gdy pracownik kliknie łącze w wiadomości e-mail lub przynosi zainfekowane urządzenie. Nie obejmuje to zwykłych błędów, takich jak wysyłanie poufnych plików na niewłaściwy adres. Wszystko to jest tylko małą listą sposobów, w jaki pracownicy mogą mniej lub bardziej nieświadomie narażać firmy zarówno na straty finansowe, jak i wizerunkowe.
Urządzenia IoT, a także zachowania pracowników na chwilę obecną wymykają się klasyfikacji jako zasoby wymagające monitorowania z uwagi na zagrożenia cybernetyczne. Na szczęście te niedociągnięcia można już zacząć adresować za pomocą sztucznej inteligencji i analityki, a także wykorzystywać matematykę i technologię rozpoznawania wzorów, aby poznać wzorce zachowań pracowników, przewidywać przyszłość i podejmować bardziej efektywne decyzje. Jest to trend, który sprawdził się już w różnych dziedzinach bezpieczeństwa i może poprawić skuteczność walki z zagrożeniami wewnętrznymi poprzez redukcję fałszywych alarmów i znalezienie przysłowiowej igły w stogu siana.
Kluczową technologią wydaje się tutaj być User Behaviour Analytics (UBA). Gartner definiuje UBA jako rozwiązania analizujące wzorce zachowań człowieka, a następnie stosujące algorytmy i analizę statystyczną w celu wykrycia znaczących anomalii z tych wzorców – anomalii, które wskazują potencjalne zagrożenia. Tym samym rozwiązania UBA nie tyle skupiają się na analizie informacji z systemów informatycznych, co pozyskanych od ich użytkowników.
Systemy typu UBA docelowo mogą bardzo ułatwić również procesy audytu wewnętrznego. Zwłaszcza że nie muszą się przejmować potencjalnymi reperkusjami dla swojej kariery. Co więcej, takie systemy z definicji badają zachowania wszystkich pracowników, podwykonawców i pracowników czasowych mających dostęp do infrastruktury przedsiębiorstwa, a w sytuacji wykrycia niebezpieczeństwa mogą automatycznie zareagować w zaprogramowany sposób.
Zabezpieczanie przed włamaniami do systemów SCADA
Metody zabezpieczania systemów nadzorujących przebieg procesu technologicznego jest tematem na osobne opracowanie, zwłaszcza że jest obciążone wszystkimi wadami struktur tworzonych przez lata. Właściwe zabezpieczenie infrastruktury będzie miało kluczowe znaczenie nie tylko w siedzibie przedsiębiorstwa, ale również (jeśli nie przede wszystkim) w ramach struktur, które znamy pod nazwą smart cities. Inteligentne miasta polegają na wzajemnie połączonych urządzeniach, aby usprawnić usługi miejskie w oparciu o dane uzyskiwane w czasie rzeczywistym. Systemy te łączą sprzęt, oprogramowanie i analizę geoprzestrzenną w celu polepszenia usług komunalnych i optymalizacji wykorzystania przestrzeni miejskiej. Wraz z rozwojem tych technologii stawka ochrony cyfrowych fundamentów miasta będzie coraz wyższa. Tym bardziej że inwestycje w inteligentną infrastrukturę wzrosły, ale wiele z innowacji jest wdrażanych bez solidnych testów, a cyberbezpieczeństwo jest często zaniedbywane. Miasta obecnie wykorzystujące system typu SCADA do kontroli i nadzoru nad swoją infrastrukturą są szczególnie podatne na częste ataki ze względu na słabe protokoły bezpieczeństwa. Choć systemy SCADA sterują procesami na dużą skalę i łączą zdecentralizowane obiekty, rzadko wykorzystują kryptografię na poziomie protokołu i uwierzytelniania.
W ramach europejskich projektów badawczych FP7-SEC-2011-1 Project 285647 i H2020-DS-2015-1 Project 700581 grupa inżynierów przedstawiła pełen zestaw ataków na infrastrukturę opartą na protokole Modbus over TCP/IP. Dlatego też biorąc pod uwagę całą złożoność i historyczne obciążenie systemów SCADA i IASC lepszym pomysłem wydaje się być nie tyle stały i obciążający monitoring całości infrastruktury, co zwłaszcza w przypadku rozproszonego środowiska niesie również problemy związane z opóźnieniami w komunikacji, ale raczej zdefiniowanie standardów inteligentnego analizotora ruchu umożliwiającego zaadresowanie problemu nieprzystosowania systemów SCADA do łączenia się z Internetem. Skoro SCADA jednak jest połączona z Internetem, podstawowym celem takiego inteligentnego filtra jest ochrona przed atakami, które mogłyby doprowadzić do braku ciągłości działania.
Grupa naukowców z University of Michigan opracowała techniczną architekturę takiego samouczącego się systemu mającego na celu dopuszczanie do systemu wyłącznie zachowań o znanych parametrach, weryfikując pochodzenie ruchu płynącego przez system oraz przechwytując i buforując podejrzany ruch wykryty w systemie, równolegle testując wykorzystanie przydzielonego pasma. Takie podejście może nie rozwiązuje problemów w sposób systemowy ani nie zwalnia działu bezpieczeństwa od ciągłego monitoringu zagrożeń, ale umożliwia bezpieczne działanie systemu, gdzie bezpieczeństwo jest nadzorowane przez algorytmy samouczące.
Wsparcie procesu uwierzytelniania
Zarządzanie tożsamością i dostępem jest już obecnie jedną z kluczowych broni w arsenale bezpieczeństwa wielu organizacji w celu złagodzenia przypadków naruszania i wycieku danych oraz zaadresowania wyzwań wynikających z przyjęcia nowych trendów, takich jak BYOD. Często za naruszenie danych odpowiada nie tyle system zarządzania tożsamością, co wykorzystanie danych poświadczających tożsamość przez niewłaściwą osobę.
Naturalnym kierunkiem migracji wydaje się być więc przejście od haseł biometrycznych do systemu sztucznej inteligencji, dodatkowo weryfikującego tożsamość przy użyciu bodźców wizualnych i dźwiękowych. Zamiast więc uwierzytelniać dostęp opierając się na wcześniej zdefiniowanych i możliwych do wykradzenia danych, takich jak identyfikator i hasło, maszyna może zidentyfikować osobę na podstawie wskazówek wizualnych i fonologicznych, nauczyć się, kiedy taki dostęp może być przydzielony i zachowywać się konsekwentnie w oparciu o zestaw wyuczonych wzorców zachowań użytkowników systemu. Taka sztuczna inteligencja posiada też potencjał w zapewnianiu inteligentnej i ścisłej kontroli dostępu. Dla przykładu – tylko dlatego, że użytkownik poświadczył swoją tożsamość 10 minut temu, system nadal powinien uważać, że to ten sam użytkownik korzysta z dostępu? Systemy sztucznej inteligencji mogą tutaj zarządzać dostępem użytkownika wykorzystując parametry biometrii dynamicznej nawet gdy przemieszcza się on po sieci czy terenie przedsiębiorstwa.
Światowi liderzy i szefowie bezpieczeństwa przedsiębiorstw powinni zapoznać się z najnowocześniejszymi zagadnieniami związanymi z bezpiecznym wykorzystaniem sztucznej inteligencji przy zapewnianiu cyberbezpieczeństwa. Uzbrojeni w tę wiedzę liderzy będą mogli świadomie zadecydować, jak dodanie sztucznej inteligencji do swojego produktu lub usługi pozwoli zapewnić pozytywne doświadczenia użytkowników, przy jednoczesnym wyważeniu kosztów potencjalnych zagrożeń związanych z dodatkowym ryzykiem wycieku danych i innymi, opisanymi powyżej zagrożeniami. Zatrudnienie dedykowanego specjalisty do spraw sztucznej inteligencji może być naturalnym krokiem, ponieważ większość specjalistów do spraw bezpieczeństwa cybernetycznego nie jest przeszkolona (a co dopiero doświadczona) w zakresie przewidywania lub zapobiegania ataków wspieranych przez systemy inteligentne. Pozostaje mieć nadzieje, że obecnie trwające badania oraz prace legislacyjne pomogą włączyć sztuczną inteligencję w globalne i lokalne struktury zabezpieczeń z jak największym sukcesem.
Artykuł pochodzi z raportu Instytutu
Kościuszki Cyberbezpieczeństwo polskiego przemysłu. Sektor energetyczny.
