Киберустойчивость. Часть 2: Сопротивление современным атакам

Ни для кого не секрет, что индустрия кибербезопасности растет в геометрической прогрессии с точки зрения новых технологий, но с появлением новых инструментов появляются и новые векторы атак, что также упрощает подходы к уже реализованным тактикам.

Хотя искусственный интеллект не несет 100% ответственности за этот скачок, мы знаем, что ChatGPT облегчил кибервымогателям создание более убедительных фишинговых писем, что сделало атаки по электронной почте более распространенными и их легче инициировать.

Искусственный интеллект представляет беспрецедентные риски

Учитывая быстро развивающиеся инновации в области технологий и экспоненциальный рост вариантов использования, 2023 год кажется годом искусственного интеллекта. Поскольку ChatGPT и другие ИИ-модели доминируют в заголовках мировых новостей, любой пользователь может получить доступ к новаторским инструментам, которые могут имитировать человеческую речь, обрабатывать длинный текст и обучаться с помощью сложных интеллектуальных моделей.

Со временем киберпреступники также будут использовать ChatGPT и другие подобные инструменты для проведения своих атак. Большие языковые модели (Large Language Model, LLM) могут помочь хакерам ускорить и облегчить кибератаки и упростить создание фишинговых писем на нескольких языках практически без усилий.

Однако ИИ используется не только для имитации человеческой речи – это также автоматизация кибератак. Хакеры могут использовать ИИ для:

• автоматизации атак и анализа собственных вредоносных программ, чтобы сделать их более эффективными;
• мониторинга и изменения сигнатур вредоносных программ, что в конечном итоге позволяет избежать обнаружения.

Существуют автоматизированные сценарии для создания и отправки фишинговых писем, а также для проверки украденных данных на предмет учетных данных конкретного пользователя.

Благодаря эффективной автоматизации и использованию машинного обучения (Machine Learning, ML) злоумышленники могут масштабировать свои операции и атаковать больше целей с помощью более индивидуализированных полезных нагрузок, что усложняет защиту от таких атак.

Один из наиболее интересных методов атак представляет собой случай, когда злоумышленники пытаются сами перепроектировать реальные модели ИИ. Такие состязательные атаки на ИИ (adversarial attacks) могут помочь хакерам понять слабые места или объекты предвзятости в определенной модели обнаружения, а затем создать атаку, которая не обнаруживается этой моделью. В конечном итоге ИИ используется для атаки на ИИ.

Компрометация корпоративной электронной почты (Business Email Compromise, BEC) остается серьезной проблемой

Развивается не только ИИ — новые средства контроля безопасности электронной почты позволяют сканировать ссылки на фишинговые сайты, но не QR-коды. Такой недостаток сканирования привел к увеличению числа преступников, использующих QR-коды для сокрытия вредоносных ссылок. Аналогичным образом, вредоносные электронные письма начинают использовать легитимные облачные приложения, например, Google Документы, для отправки пользователям поддельных уведомлений, которые обычно не блокируются средствами защиты. После того как Microsoft Office стал усложнять выполнение вредоносных макросов, киберпреступники переключились на файлы Microsoft OneNote.

К сожалению, большинство компаний подвергаются взлому из-за простых ошибок. Основная разница между компаниями, которые подвергаются взлому, и теми, которые защищены, заключается в том, насколько быстро они обнаруживают угрозы и реагируют на них.

Например, система, которая сообщает пользователю, что его пароль был украден на прошлой неделе, чрезвычайно полезна. Но было бы лучше, если бы система сообщала пользователю о краже пароля в режиме реального времени и даже автоматически меняла пароль.

Построение надежной защиты с помощью простоты и отказоустойчивости

Несмотря на растущие проблемы, которые кибератаки создают как для частных лиц, так и для предприятий, все же можно оставаться на шаг впереди и перехитрить киберпреступников. Чрезмерная сложность кибербезопасности является одной из самых больших проблем: предприятия всех размеров устанавливают слишком много инструментов в свою инфраструктуру и создают большую поверхность для проникновения хакеров.

Сокращая количество поставщиков систем безопасности, участвующих в инфраструктуре, организации также экономят много времени на обучении по использованию каждого инструмента. Они также экономят деньги, высвобождая ресурсы для других, более прибыльных направлений своего бизнеса. При хорошей интеграции инструменты могут эффективно работать в разных подразделениях.

Будьте в курсе каждого приложения и данных

Также достигнуты эффективные успехи в поведенческом анализе, который анализирует и сортирует действия отдельных приложений в системе. Сюда входят инструменты обнаружения и реагирования на конечных точках (Endpoint Detection and Response, EDR) и расширенные инструменты обнаружения и реагирования (Extended Detection and Response, XDR), которые помогают специалистам собирать больше данных и обеспечивать прозрачность деятельности. Осведомленность о каждом приложении в системе, о каждом фрагменте данных, с которым приложение работает, и о каждом сетевом соединении, которое оно осуществляет, имеет решающее значение.

Однако инструменты безопасности не должны «заваливать» администраторов тысячами предупреждений, которые необходимо анализировать вручную. Наплыв уведомлений может легко вызвать «усталость от оповещений», специалист может пропустить настоящую угрозу. По похожему принципу работает атака MFA Fatigue, которая использует уведомления многофакторной аутентификации (Multi-Factor Authentication, MFA) для взлома систем.

Чтобы этого избежать, администраторам следует использовать искусственный интеллект или машинное обучение для автоматического закрытия ложных предупреждений, тем самым освободив время ИБ-специалистов, чтобы они могли сосредоточиться на критических оповещениях.

Конечно, использование таких технологий должно выходить за рамки обычных средств безопасности. Область AIOps (Artificial Intelligence for IT Operations) повышает видимость всей инфраструктуры и использует ИИ или ML, чтобы предсказать, где произойдет следующая проблема, и автоматически противодействовать ей, пока не стало слишком поздно.

ИИ как инструмент, а не замена

ИИ-решения на основе поведения также особенно важны, поскольку само по себе обнаружение на основе сигнатур не защитит от множества новых образцов вредоносного ПО, которые появляются практически каждый день. Кроме того, ИИ может улучшить системы кибербезопасности, если специалисты предоставят правильную информацию и наборы данных, что позволит ИИ оценивать и обнаруживать угрозы быстрее и точнее, чем это мог бы сделать человек.

Использование преимуществ ИИ и ML необходимо для того, чтобы опережать злоумышленников, хотя также важно помнить, что некоторые процессы всегда требуют участия человека. Искусственный интеллект или машинное обучение следует использовать как инструмент, а не как замену. После точной настройки такие системы могут облегчить работу и в конечном итоге сохранить ресурсы.

В целом, всегда важно создавать комплексную защиту и сохранять киберустойчивость в борьбе с хакерами. Организациям необходимо подготовиться к атакам и предотвратить их как можно раньше. Это включает в себя быстрое устранение уязвимостей ПО, использование многофакторной аутентификации, а также инвентаризацию программного и аппаратного обеспечения.

Нападение, а не только защита

В заключении отметим, что организациям следует протестировать свой план реагирования на инциденты. Компаниям следует периодически проверять, смогут ли они восстановить все критически важные серверы в случае атаки, и убедиться, что они оснащены необходимыми средствами для удаления вредоносных электронных писем из всех почтовых ящиков.

Чтобы быть осведомлённым в вопросах кибербезопасности, требуется подготовка, бдительность и игра в нападении, а не только в защите. Даже несмотря на растущую изощренность некоторых атак, знание того, как обнаружить фишинг или обезопасить учетные данные, поможет в борьбе с киберугрозами. В целом, ключом к достижению киберустойчивости является укрепление защиты и упрощение её устройства.