Bankowość i Finanse | Technologie – Fortinet | Wyprzedzić cyberprzestępców za pomocą sztucznej inteligencji (AI) i podręczników (playbook)
Derek Manky
Chief, Security Insights & Global Threat Alliances, FortiGuard Labs
AI jest często postrzegana jako narzędzie automatyzacji typowych czynności, ale jej możliwości sięgają dalej. Firmy inwestujące w AI powinny stawiać sobie za cel proaktywne podejście do cyberbezpieczeństwa, które obejmuje wdrażanie tej technologii jako sposobu wykrywania ataków przed ich wystąpieniem.
Przyszłość cyberbezpieczeństwa: dedykowane podręczniki (playbook)
Odpowiadanie na cyberataki w formie czysto reaktywnej nie wystarczy do skutecznej obrony przed dzisiejszymi zagrożeniami. Zamiast tego zespoły bezpieczeństwa muszą przyjąć proaktywne podejście, aby podnieść poziom bezpieczeństwa firmy.
Jedną ze strategii jest gromadzenie wiedzy o zagrożeniach w celu tworzenia playbooków do obrony. Po zebraniu odpowiedniego wolumenu danych, można je korelować w ramach zaawansowanego systemu przetwarzania wiedzy o zagrożeniach samodzielnie lub w ramach konsorcjum podmiotów wymieniających się taką wiedzą. Można następnie za pomocą uczenia maszynowego wykorzystać dane do zbudowania playbooków wzorców ataku, które system AI może zastosować do przewidzenia kolejnego ruchu napastnika, a nawet wskazać, kto najprawdopodobniej stoi za atakiem.
Dzięki połączeniu AI i playbooków, zespoły cyberbezpieczeństwa mogą budować zaawansowany, proaktywny system ochrony, który nie tylko będzie reagował w czasie rzeczywistym na wykryte zagrożenia, ale także będzie ewoluował, zapewniając bardziej zaawansowane i precyzyjne reakcje na wczesnym etapie ataku. Im częściej systemy te będą wykorzystywane w powiązaniu z elementami ML rozmieszczonymi w sieci, tym wcześniej będą w stanie wykrywać nowe zagrożenia, przewidywać działania atakujących, wygaszać wszystkie wektory ataku.
Analogicznie, im więcej organizacji zacznie dzielić się swoimi playbookami, tym łatwiej będzie im bronić się przed cyberatakami, co ma też istotne znaczenie z uwagi na powszechny niedobór specjalistów cyberbezpieczeństwa.
Postęp już się dokonał
Jakkolwiek to wczesna faza rozwoju, poczyniono już ogromne postępy w zakresie playbooków. Przykładem może być playbook przygotowany przez FortiGuard Labs dotyczący trojana Emotet, jak również inne opracowania tego zespołu. Emotet to potężne złośliwe oprogramowanie, które zyskało miano jednego z najbardziej kosztownych i destrukcyjnych w historii.
Playbook pokazuje, jak Emotet rozpoczął życie jako stosunkowo prosty trojan dystrybuowany za pomocą spamu. Najnowsza wersja jest jednak znacznie bardziej zaawansowana i przykładowo może rozprzestrzeniać się poprzez wstawianie złośliwych wiadomości e-maili do legalnych wątków pocztowych, aby zmniejszyć szansę na wykrycie. Wiadomości te zawierają skompresowany, zainfekowany dokument MS Word.
Playbook opracowany przez FortiGuard Labs opisuje mechanizmy działania tego złośliwego oprogramowania, jak jest dostarczane, jak wykorzystuje luki, i jak wymyka się wykryciu. W podręczniku wymieniono nawet grupy cyberprzestępców, które współpracowały w globalnej dystrybucji Emotet. Reasumując, każdy z tych czynników odgrywa ważną rolę w identyfikowaniu nowych instancji Emotet i zatrzymywaniu go, zanim jeszcze się rozprzestrzeni.
Podsumowanie
Zespoły cyberbezpieczeństwa, które chcą nadążyć za nowymi zagrożeniami oraz zachować proaktywność, będą potrzebowały możliwości oferowanych przez AI do szybkiego przetwarzania danych i działania z wykorzystaniem wykrytych wzorców. Włączając tę technologię do swojej strategii bezpieczeństwa, specjaliści mogą zacząć korzystać z playbooków, które można dostosować do potrzeb własnych organizacji, a nawet budować własne unikalne playbooki, jako sposób na wyprzedzanie coraz bardziej wyrafinowanych i stale zmieniających się zagrożeń.