NBS | Cyberbezpieczeństwo – IBM | Bank lokalny to optymalny klient na AI
Dynamiczny rozwój cyberprzestępczości stawia przed instytucjami finansowymi całkiem nowe wyzwania w zakresie zabezpieczania zasobów cyfrowych. Nowe schematy ataków czy kampanii phishingowych, bazujące na takich technologiach jak deepfake, pozwalają sprawcom skuteczniej niż dotychczas podszywać się pod osoby trzecie, co ma kluczowe znaczenie, jeśli chodzi o przełamywanie kolejnych zabezpieczeń. To wyzwanie w szczególności dla bankowości lokalnej, która nie dysponuje zasobami IT na miarę dużych grup finansowych. Na ile rozwiązania z obszaru cybersecurity, bazujące na sztucznej inteligencji i uczeniu maszynowym, mogą pomóc spółdzielcom w przeciwdziałaniu cyberatakom?
Piotr Biskupski: Pojawienie się nowych wektorów ataków nie wyeliminowało tradycyjnych form przestępczej aktywności. Wręcz przeciwnie, narzędzia bazujące na sztucznej inteligencji w istotny sposób ułatwiają sprawcom przeprowadzanie kampanii phishingowych czy aktywności w zakresie ransomware. W tym kontekście rośnie znaczenie zabezpieczeń wykorzystujących sztuczną inteligencję, uczenie maszynowe czy deep learning, wbudowanych do systemów SIEM czy SOAR (Security Orchestration, Automation and Response), jak np. IBM QRadar. Bazujące na nich narzędzia mogą gromadzić i analizować różnego rodzaju dane, poczynając od telemetrycznych a kończąc na informacjach na temat zachowań poszczególnych użytkowników (user behavior analytics). Wiąże się to ze zmianą podejścia do zabezpieczania systemów, kluczowego znaczenia nabiera zwiększenie efektywności systemów zabezpieczenia dostępu (typu IAM) jak i gromadzenia i przechowywania danych (typu DAM), rozwiązania z obszaru zarządzania dostępem uprzywilejowanym (PAM), czy wreszcie systemy wykrywające nadużycia tożsamości (ITDR). Umożliwią one uchronienie dostępu do informacji nawet w przypadku, gdyby sprawcy przechwycili tożsamość. Dysponując możliwością monitorowania potencjalnych niestandardowych interakcji jesteśmy w stanie odpowiednio wcześnie wychwycić faktyczne próby ataków, zarazem odsiewając skutecznie wszelkie fałszywe alarmy, przy jednoczesnym, istotnym skróceniu czasu reakcji na ewentualny incydent. Ma to ogromne znaczenie w obliczu narastającego deficytu analityków z zakresu cyberbezpieczeństwa; rozwiązania bazujące na AI ograniczą napływające do nich, fałszywe sygnały, co pozwoli ekspertom skupić się na prawdziwych zagrożeniach, również wskazywanych przez algorytm jako prawdziwe źródło potencjalnego zagrożenia. Także w procesie przywracania systemów do normalnego funkcjonowania np. po ataku ransomware część zadań przejmą algorytmy, znacząco odciążając zasoby ludzkie, które coraz częściej zostają wbudowane w rozwiązania sprzętowe. Przykładem tutaj może być IBM Flashsystem, gdzie nawet niewielkie modele jak FS 5300 wyposażone są w system wykrywania zagrożeń wspomagany technologią AI. Z tych właśnie względów technologie zabezpieczeń bazujące na AI są wręcz dedykowane niewielkim instytucjom finansowym, takim jak banki spółdzielcze, które nie posiadają rozbudowanych zasobów technologicznych ani tym bardziej kadrowych, by osiągnąć najwyższy poziom ochrony swych zasobów, jak i zabezpieczenia klientów.
Tomasz Zalewski: Automatyczna analityka danych to nie jedyne wykorzystanie narzędzi bezpieczeństwa, bazujących na AI. W obliczu dynamicznego przyrostu danych i wykorzystywania ich w coraz większym stopniu przez systemy AI możliwości ludzkie w naturalny sposób przestają być wystarczające, by zapanować nad tak przerośniętym zasobem. Wsparciem dla operatorów może być właśnie inteligentny chatbot, który mając dostęp do zasobów wiedzy jest w stanie ją wykorzystać w konkretnych sytuacjach, dając wskazówkę, jak interpretować konkretną sytuację albo jakie działania podjąć, by zminimalizować skutki zaistniałego incydentu i jak najszybciej odzyskać pełną zdolność do działania.
Z drugiej strony nie można zapominać o tym, że świat kryminalny również korzysta z dobrodziejstwa AI. Jak sprawić, by w tym wyścigu zbrojeń ostatnie słowo należało jednak do bankowców, wspieranych przez inteligentne systemy?
Piotr Biskupski: Faktycznie, próg wykorzystania złośliwego oprogramowania się istotnie obniżył. Obecnie każdy jest w stanie wykorzystać systemy generatywnej sztucznej inteligencji zarówno w celu tworzenia deepfake’ów, jak przeprowadzania prostych kampanii ramsomware’owych, korzystając z narzędzi w rodzaju Ransomware as a Service. To kolejne wyzwanie dla bankowych zespołów cyberbezpieczeństwa, wraz z popularyzacją tego rodzaju instrumentów liczba wyszukanych ataków może się istotnie zwiększyć. Jeśli deepfake pozwala sprawcom skuteczniej niż dotychczas manipulować swymi ofiarami, można się spodziewać znacznie większej liczby prób oszustwa „na zdalny pulpit” czy podobnych schematów, bazujących na socjotechnice wspieranej przez AI. Bez wsparcia ze strony deep learning czy uczenia maszynowego ich odparcie będzie zadaniem niezwykle trudnym, o ile w ogóle wykonalnym. Tymczasem dostarczane do banków systemy przechowywania danych mogą być wyposażone we wspierane przez AI narzędzia analityczne, pozwalające zidentyfikować rozpoczęcie ataku ransomware i podjęcie odpowiednich działań, poczynając od zablokowania aktywności sprawców aż po powiadomienie zespołu ds. cyberbezpieczeństwa. Mamy do czynienia z wykrywaniem nie tylko na poziomie ruchu sieciowego, ale również na poziomie samego systemu, na przykład pamięci masowej takiej jak macierz dyskowa. Rozwiązania AI analizują ruch po stronie wolumenów dyskowych, dzięki czemu są w stanie wykryć i natychmiast zatrzymać taki atak bez ingerencji operatora, o wiele szybciej i o skuteczniej, niż gdyby chcieć tego dokonać manualnie. Oczywiście finalne decyzje podejmować będą analitycy; systemowi nie można dać całkowitej autonomiczności. Rzecz w tym, że narzędzia machine learningowe doskonale radzą sobie z powtarzalnymi incydentami. Na tej bazie jesteśmy w stanie zbudować odpowiednie reguły w systemach klasy SIEM i SOAR, żeby odpierać i blokować automatycznie około 90% klasycznych ataków. Ataki nowej generacji z reguły będą wymagały interakcji z człowiekiem, który będzie mógł w ramach takiego systemu SIEM zbudować odpowiedni sposób reguły automatycznej odpowiedzi. Dzięki temu taki system będzie mógł działać wspomagając analitykę bezpieczeństwa w sposób bardzo wydajny.
Tomasz Zalewski: Wdrożenia takich narzędzi bazujących na AI pozwoli operatorom skoncentrować się na realizacji tych najbardziej odpowiedzialnych zadań, a w toku ich realizacji będą oni mogli zawsze skorzystać ze wsparcia w postaci inteligentnego czatbota. Dzięki temu analitycy cyberbezpieczeństwa będą w stanie dużo sprawniej, szybciej i skuteczniej wykonywać swe zadania, tych zaś bez wątpienia nie zabraknie – jak już wspominaliśmy, przestępcy również nie oprą się demokratyzacji swego procederu z użyciem inteligentnych algorytmów.
Nasuwa się jedno pytanie. Banki spółdzielcze dysponują ograniczonymi zasobami nie tylko ludzkimi czy technologicznymi, ale również i finansowymi. Na ile omawiane przez Panów rozwiązania mogą być dostępne dla przeciętnej, lokalnej instytucji finansowej, biorąc pod uwagę ich relatywne skąpe środki na zakup najbardziej zaawansowanych technologii?
Tomasz Zalewski: Moim zdaniem jest to wręcz modelowy klient docelowy na rozwiązania, bazujące na AI. Banki lokalne nie są w stanie zbudować rozbudowanych zespołów ludzi, obsługujących procesy z zakresu cyberbezpieczeństwa, nierzadko w tych instytucjach tak ważny obszar leży w kompetencjach kilku specjalistów, którzy muszą zapanować nad coraz większymi wzywaniami. Wsparcie ze strony systemów bazujących na uczeniu maszynowym pozwoli zracjonalizować ich czas pracy, bez konieczności zwiększania zasobów ludzkich w banku.
Piotr Biskupski: Mówimy o wspomaganiu pracy zespołów bezpieczeństwa poprzez oprogramowanie i systemy wyposażone w moduły AI, które są dostępne finansowo i licencyjnie dla małych podmiotów. Jesteśmy w stanie zaoferować połączenie oprogramowania ze sprzętem na tak konkurencyjnych warunkach cenowych, żeby małe banki było na to stać, dzięki temu obniżamy poziom wejścia w technologie z obszaru AI, do niedawna dostępne jedynie dla dużych banków. Dynamicznemu rozwojowi technologii towarzyszy jej zwiększona dostępność; zaawansowane rozwiązania wbudowane w systemy stają się rynkowym standardem, dostępnym nawet w najmniejszych kategoriach czy to sprzętu, czy też oprogramowania, tak jak wspomniany powyżej IBM FlashSystem 5300. Firma IBM, aby ułatwić wykorzystanie tych zaawansowanych systemów przez mniejsze instytucje finansowe stworzyła bardzo atrakcyjne warunki finansowania jak i licencjonowania łącząc oferty oprogramowania jak i sprzętu. Daje to bezprecedensową szansę na wdrożenie infrastruktury cyberbezpieczeństwa, porównywalnej pod względem zaawansowania z dużymi podmiotami, przy dużo niższych kosztach. W takim przypadku zakup nawet relatywnie prostego rozwiązania w postaci pakietu SIEM + storage, wyposażonego w podsystemy sztucznej inteligencji, jest w stanie dość skutecznie odeprzeć główne wektory ataku, jak i wspomóc rozwijające się zespoły operacyjne cyberbezpieczeństwa SOC w ich pracy dzięki wbudowanej w rozwiązanie generatywnej sztucznej inteligencji.
