W starciu ze sztuczną inteligencją jesteśmy skazani na porażkę? Ataki hakerskie coraz bardziej zaawansowane

• Hakerzy coraz częściej korzystają ze sztucznej inteligencji
• Zwykłe zasady bezpieczeństwa obowiązują, ale już nie wystarczą
• Ćwiczenia walki z hakerami przypominają te na poligonie
• Systemy bezpieczeństwa kosztują, ale bez odpowiedniej wiedzy nie chronią
• Specjaliści sami tworzą techniki ataków, by im przeciwdziałać

- Specjaliści z branży IT często powtarzają, że "najsłabszym punktem w zabezpieczeniu każdej firmy przed cyberatakiem jest człowiek", sam tak kiedyś mówiłem, dziś jednak czuję się z tym stwierdzeniem coraz bardziej niekomfortowo. Wymagamy od użytkowników urządzeń informatycznych czegoś, co nie jest możliwe. Ataki są coraz bardziej zaawansowane, techniki sprytniejsze, oczekiwanie że wyłapie je zwykły użytkownik jest nierealne. Przecież cel naszej pracy to zwykle coś innego niż unikanie ataków, mamy co innego do zrobienia - uważa Leszek Tasiemski.

- Oczywiście od użytkowników możemy wymagać podstawowej wiedzy o zasadach bezpieczeństwa, technologia nie jest jeszcze na poziomie, który może ich z tego zwolnić. W skrajnych przypadkach istotne może być przecież nawet to, że ktoś spojrzy nam na ekran lub że zostawimy odblokowany komputer w miejscu publicznym. Trzeba jednak iść w kierunku takiego kształtowania zabezpieczeń, by - nawet jeśli użytkownik popełni błąd - ograniczyć jego skutki. Przykładem niech będzie kwestia haseł i wieloskładnikowego uwierzytelniania - bez niego haker dostanie się do wszystkich kont, których używa dana osoba. Jeśli jednak przestrzegamy zasad, to nawet przejęcie hasła nie powoduje żadnych skutków. Codziennie każdy z nas dostaje dziesiątki maili z różnymi linkami czy załącznikami. Nie możemy obawiać się otwarcia wiadomości, a gdybyśmy mieli analizować każdą z nich pod kątem zagrożenia, to... nie robilibyśmy nic innego. Poza tym większość z nas tego nie potrafi. To systemy powinny wyłapywać podejrzane maile i linki - w branży nazywamy to "detonowaniem". Jeżeli podejrzenia się potwierdzą, system sam zablokuje dostęp użytkownika do pliku - podkreśla ekspert.

- Mój sposób myślenia zmienił się, bo zmieniły się same ataki. Jeszcze kilka lat temu były one dosyć prymitywne i potrafił je wyłapać sam zwykły użytkownik. Dziś ataki są bardzo zaawansowane, wykorzystują AI i nawet ekspert bez gruntownej analizy może mieć kłopot z ich rozpoznaniem. Zwykły użytkownik staje więc przed zadaniem niewykonalnym. Najbardziej opłacalnym - z punktu widzenia przestępcy - atakiem pozostaje phishing. Dziś polega on na wejściu w pewien kontekst, podszyciu się pod realnie istniejącego kooperanta lub wręcz konkretnego jego przedstawiciela - przy użyciu nowych narzędzi jest to banalnie proste i nie wymaga miesięcy przygotowań. Zwiększa się też skala ataku i liczba celów, bo da się już to wszystko zautomatyzować - wyjaśnia rozmówca Interii Biznes.

- Kiedy klikamy opcję "report fishing", to specjaliści rozbierają podejrzany mail na czynniki pierwsze, wyodrębniają linki i załączniki, badają też reputację nadawcy i jego intencje. Jeżeli podobny mail dostaje wiele osób w tej samej firmie, to blokujemy fishera czy spamera, a informacja o próbie ataku trafia do CERTu, organizacji na poziomie krajowym, takie centra mają też duże firmy. Dalszą analizą zajmują się systemy fred intelligence, które określą kto, jak, po co i kogo szczególnie atakuje - podkreśla ekspert.

- Są jeszcze testy penetracyjne, które często przypominają ćwiczenia na poligonie - bierzemy kopię podejrzanego pliku czy aplikacji i do niej... "strzelamy", patrzymy co jest w środku, powstaje raport i rekomendacje co z intruzem robić. Inny rodzaj testu to retiming - próbujemy włamać się do firmy lub instytucji wszelkimi możliwymi środkami, testując zabezpieczenia. To nie tylko symulacja ataku phishingowego - możemy też spróbować wejść do biura i wynieść serwer od pachą lub założyć urządzenie rejestrujące w salce konferencyjnej. To już nie poligon, a raczej jak działanie służb specjalnych - porównuje Leszek Tasiemski.

- W pewnym sensie przestępcy rzeczywiście są o krok przed nami - dopiero kiedy zastosują jakąś technikę możemy ją wykrywać, analizować, szukać sposobów przeciwdziałania. Z drugiej jednak strony obrońcy systemów też odrabiają swoją lekcję - sami opracowujemy nowe techniki ataku i gdy przestępcy użyją podobnych, jesteśmy już na to gotowi. My też używamy algorytmów i uczenia maszynowego - szukamy podobieństw i dzięki nim potrafimy opracować sposób odparcia ataku zanim jeszcze nastąpi. Cyberprzestępcy są leniwi i popełniają błędy, używają często tych samych kodów lub ich części, też liczą się z tym, że ataki są kosztowne i czasochłonne, muszą się im opłacać, a ich zasoby nie są wcale nieograniczone - zauważa ekspert.

- Znamy przykłady klientów, którzy "rzucali się" na nowe rozwiązania, ale nie potrafili ich wykorzystać. Warto zacząć od odstaw - bez wzięcia prysznica i umycia zębów nie ma co iść do kosmetyczki. Coraz więcej danych przechodzi przez systemy kolaboracji - Microsoft 365, systemy Google’a czy Salesforce’a - warto upewnić się czy mamy zabezpieczenie na tym poziomie. Takie rzeczy jak korporacyjny firewall mają coraz mniejsze znaczenie, bo coraz rzadziej bywamy w biurze. Warto posłużyć się techniką threat modelling, przeanalizować gdzie nas najłatwiej "ugryźć" i gdzie najbardziej to zaboli - i zacząć zabezpieczanie od tych miejsc. Każda firma jest inna - jedne mają zasoby pieniędzy, a inne zbiory danych. Bywa że firma wydaje miliony na system, który daje jej tylko złudzenie bezpieczeństwa, bo okazuje się że wymaga on 5 ludzi do jego aktualizacji i utrzymywania w sprawności, "oliwienia" mechanizmu. Warto mieć tego świadomość - podsumowuje rozmówca Interii Biznes.

Rozmawiał Wojciech Szeląg