Navigace světem kybernetických hrozeb a posílení obrany v éře AI

Svět kybernetické bezpečnosti prochází v současnosti rozsáhlou proměnou. V čele této změny stojí umělá inteligence (AI), která představuje současně hrozbu i příležitost. Zatímco AI má potenciál umožnit organizacím porážet kybernetické útoky strojovou rychlostí a podpořit inovace a efektivitu při detekci a proaktivním vyhledávání hrozeb a při reakcích na incidenty, můžou nežádoucí osoby AI využívat jako součást svých útoků. Ještě nikdy nebylo tak důležité, abychom AI navrhovali, nasazovali a používali bezpečně.

Ve společnosti Microsoft zkoumáme potenciál AI k posílení našich opatření v oblasti zabezpečení, využití nových a pokročilých možností ochrany a vytváření lepšího softwaru. Díky AI se můžeme přizpůsobovat vyvíjejícím se hrozbám, okamžitě detekovat anomálie, rychle neutralizovat rizika a přizpůsobovat obranu potřebám organizace.

AI nám také může pomoct překonat další z největších výzev v oboru. Vzhledem k celosvětovému nedostatku pracovníků v oblasti kybernetické bezpečnosti, kdy jsou na celém světě potřeba zhruba 4 miliony odborníků na kybernetickou bezpečnost, má AI potenciál stát se klíčovým nástrojem k řešení problému s nedostatkem talentů a pomoct obráncům zvýšit produktivitu.

V jedné studii jsme už viděli, jak může Microsoft Security Copilot pomáhat analytikům zabezpečení bez ohledu na úroveň jejich odbornosti – napříč všemi úkoly byli účastníci o 44 % přesnější a o 26 % rychlejší.

Při pohledu do budoucnosti musíme zajistit rovnováhu mezi bezpečnou přípravou na AI a využíváním jejích výhod, protože AI má moc pozvednout lidský potenciál a vyřešit některé z našich nejzávažnějších problémů.

Bezpečnější budoucnost s AI bude vyžadovat zásadní pokrok v softwarovém inženýrství. Bude vyžadovat, abychom porozuměli hrozbám založeným na AI a pracovali s nimi jako se základními součástmi jakékoli strategie zabezpečení. A musíme společně budovat hlubokou spolupráci a partnerství napříč veřejným i soukromým sektorem v boji proti škodlivým aktérům.

V rámci tohoto úsilí a naší vlastní iniciativy Secure Future Initiative nyní společnosti OpenAI a Microsoft Corporation publikují nové informace týkající se analýzy hrozeb, které podrobně popisují pokusy aktérů hrozeb testovat a zkoumat užitečnost modelů LLM (Large Language Model) v technikách útoků.

Doufáme, že tyto informace budou užitečné pro všechna odvětví, protože se všichni snažíme zajistit bezpečnější budoucnost. Protože nakonec jsme všichni obránci.

Podívejte se na digitální briefing Cyber Signals, ve kterém Vasu Jakkal, viceprezidentka pro Microsoft Security Business, hovoří s klíčovými experty na analýzu kybernetických hrozeb o kybernetických hrozbách ve věku AI, způsobech, jakými Microsoft využívá AI pro zlepšení zabezpečení, a o tom, co můžou organizace udělat pro posílení obrany.

Prostředí kybernetických hrozeb se stává stále větší výzvou, protože útočníci jsou motivovanější, sofistikovanější a mají lepší prostředky. Aktéři hrozeb i obránci se dívají na AI včetně modelů LLM, aby zvýšili svou produktivitu a využili dostupné platformy, které by mohly vyhovovat jejich cílům a technikám útoku.

Vzhledem k rychle se vyvíjejícímu prostředí hrozeb dnes oznamujeme zásady společnosti Microsoft, kterými se řídíme a které zmírňují riziko, kdy aktéři hrozeb, včetně pokročilých přetrvávajících hrozeb (APT), hrozeb APM (Advanced Persistent Manipulator) a kyberzločineckých syndikátů, používají platformy a rozhraní API pro AI. Mezi tyto zásady patří identifikování a zasahování proti využívání AI ze strany škodlivých aktérů hrozeb, informování ostatních poskytovatelů služeb AI, spolupráce s dalšími zúčastněnými stranami a transparentnost.

Ačkoli se motivy a sofistikovanost aktérů hrozeb liší, při nasazování útoků mají společné úkoly. Patří mezi ně zaprvé průzkum, například průzkum odvětví, lokalit a vztahů potenciálních obětí, psaní kódu včetně zdokonalování softwarových skriptů a vývoje malwaru, a zadruhé pomoc při učení a používání lidských i strojových jazyků.

Ve spolupráci s OpenAI sdílíme informace analýzy hrozeb, které ukazují detekované nežádoucí aktéry spojené se státy, kteří používají modely LLM k rozšiřování svých kybernetických operací – sledujeme je jako skupiny Forest Blizzard, Emerald Sleet, Crimson Sandstorm, Charcoal Typhoon a Salmon Typhoon.

Cílem partnerství Microsoftu a OpenAI v oblasti výzkumu je zajistit bezpečné a zodpovědné používání technologií AI, jako je ChatGPT, a prosazování nejvyšších standardů etického používání, aby byla komunita chráněna před možným zneužitím.

Skupina Forest Blizzard (STRONTIUM), vysoce efektivní ruský vojenský aktér hrozeb napojený na hlavní ředitelství generálního štábu ruské armády neboli jednotku GRU 26165, cílí na oběti taktického a strategického zájmu ruské vlády. Její aktivity zahrnují řadu odvětví včetně obrany, dopravy a logistiky, státní správy, energetiky, nevládních organizací a informačních technologií.

Skupina Emerald Sleet využívá modely LLM při průzkumu think tanků a expertů na Severní Koreu a k vytváření obsahu, který by mohl být použit v kampaních cíleného phishingu. Skupina Emerald Sleet také využívá modely LLM k získávání informací o veřejně známých ohroženích zabezpečení, při řešení technických problémů a k získávání pomoci s používáním různých webových technologií.

Skupina Charcoal Typhoon (CHROMIUM) je aktér hrozeb spojený s Čínou, který se zaměřuje převážně na sledování skupin v Tchaj-wanu, Thajsku, Mongolsku, Malajsii, Francii a Nepálu a jednotlivců po celém světě vystupujících proti politice Číny. Při nedávných operacích skupiny Charcoal Typhoon bylo pozorováno zapojení modelů LLM do výzkumu s cílem získat poznatky o konkrétních technologiích, platformách a ohroženích zabezpečení, což svědčí o předběžných fázích shromažďování informací.

Další skupina podporovaná Čínou, Salmon Typhoon, vyhodnocovala v průběhu roku 2023 efektivitu využívání modelů LLM k získávání informací o potenciálně citlivých tématech, vysoce postavených osobách, regionální geopolitice, vlivu USA a vnitřních záležitostech. Tyto pokusy o zapojení modelů LLM by mohly indikovat jak snahu o rozšiřování sady nástrojů pro shromažďování informací, tak i experimentální fázi při posuzování schopností nových technologií.

Přijali jsme opatření, abychom narušili prostředky a účty spojené s těmito aktéry hrozeb a vytvořili ochranné a bezpečnostní mechanismy kolem našich modelů.

Další zásadní obavou jsou podvody založené na AI. Příkladem je syntéza hlasu, kdy třísekundový vzorek hlasu dokáže natrénovat model tak, aby mluvil jako kdokoli. K získání dostatečného vzorku lze použít i tak neškodnou věc, jako je pozdrav v hlasové schránce.

Velká část naší vzájemné komunikace a obchodních aktivit se spoléhá na prokazování identity, například na rozpoznání hlasu, tváře, e-mailové adresy nebo stylu psaní určité osoby.

Je velmi důležité pochopit, jak škodliví aktéři využívají AI k narušování dlouhodobě používaných systémů prokazování identity, abychom si dokázali poradit s komplexními případy podvodů a dalšími nově vznikajícími hrozbami využívajícími sociální inženýrství, které zamlžují totožnost.

AI lze také využívat k tomu, aby společnostem pomáhala přerušovat pokusy o podvody. Přestože Microsoft přerušil spolupráci s jednou brazilskou společností, naše systémy AI zjistily její pokusy o obnovení a opětovný vstup do našeho ekosystému.

Tato skupina se neustále pokoušela zastírat své údaje, skrývat vlastnickou strukturu a znovu se dostat do systému, ale naše detekce využívající AI použila desítku signálů rizik, aby tuto podvodnou společnost označila a spojila ji s dříve rozpoznaným podezřelým chováním – a její pokusy pak zablokovala.

Microsoft se zavázal k používání odpovědné AI vedené lidmi , která obsahuje ochranu soukromí a zabezpečení pod dohledem lidí, kteří vyhodnocují odvolání a interpretují zásady a předpisy.

Tradiční nástroje už nedokážou držet krok s hrozbami, které představují kyberzločinci. Rostoucí rychlost, rozsah a sofistikovanost kybernetických útoků z poslední doby vyžadují nový přístup k zabezpečení. Vzhledem k nedostatku pracovníků v oblasti kybernetické bezpečnosti a s rostoucí četností a závažností kybernetických hrozeb je překlenutí této mezery v dovednostech naléhavou potřebou.

AI může přenést výhodu na stranu obránců. Nedávná studie služby Microsoft Security Copilot (v současnosti ve fázi zákaznického testování verze Preview) ukázala zvýšení rychlosti a přesnosti analytiků zabezpečení bez ohledu na úroveň jejich odbornosti při běžných úkolech, jako je identifikace skriptů používaných útočníky, vytváření zpráv o incidentech a určování vhodných kroků k nápravě.^.1