3 otázky: Modelování nepřátelské inteligence k zneužívání bezpečnostních zranitelností AI

Pokud jste sledovali kreslené seriály jako Tom a Jerry, poznáte běžný motiv: Vyhýbavý cíl se vyhýbá svému silnému protivníkovi. Tato hra na kočku a myš – ať už doslovná, či nikoli – zahrnuje pronásledování něčeho, co vám při každém pokusu jen tak tak unikne.

Podobně je vyhýbání se vytrvalým hackerům neustálou výzvou pro týmy kybernetické bezpečnosti. Aby je udrželi v honbě za něčím, co je jen na dosah, MIT výzkumníci pracují na přístupu AI nazvaném „umělá nepřátelská inteligence“, která napodobuje útočníky zařízení nebo sítě, aby otestovali síťové obrany před skutečnými útoky. Další obranná opatření založená na AI pomáhají inženýrům dále posilovat své systémy, aby se vyhnuli ransomwaru, krádeži dat nebo jiným hackům.

Zde Una-May O'Reilly, hlavní výzkumná pracovnice Laboratoře pro informatiku a umělou inteligenci MIT (CSAIL), která vede skupinu Anyscale Learning For All Group (ALFA), diskutuje o tom, jak nás umělá nepřátelská inteligence chrání před kybernetickými hrozbami.

Otázka: Jakými způsoby může umělá nepřátelská inteligence hrát roli kybernetického útočníka a jak umělá nepřátelská inteligence zobrazuje kybernetického obránce?

Odpověď: Kybernetickí útočníci existují na celém spektru kompetencí. Na nejnižším konci jsou tzv. „script kiddies“, neboli aktéři hrozeb, kteří rozprašují známé exploity a malware v naději, že najdou nějakou síť nebo zařízení, které nedodržuje dobrou kybernetickou hygienu. Uprostřed jsou kybernetickí žoldáci, kteří mají lepší zdroje a jsou lépe organizováni, aby se zaměřili na podniky s ransomwarem nebo vydíráním. A na nejvyšším konci jsou skupiny, které jsou někdy podporovány státem, které mohou zahájit nejobtížněji detekovatelné „pokročilé perzistentní hrozby“ (APT).

Představte si specializované, nekalé informace, které tito útočníci shromažďují – to je nepřátelská inteligence. Útočníci vytvářejí velmi technická nástroje, které jim umožňují hackovat do kódu, vybírají správný nástroj pro svůj cíl a jejich útoky mají více kroků. V každém kroku se něco naučí, integrují to do svého situačního povědomí a poté rozhodnou, co dělat dál. U sofistikovaných APT si mohou strategicky vybrat svůj cíl a vymyslet pomalý a nenápadný plán, jehož implementace unikne našim obranným štítům. Mohou dokonce plánovat klamavé důkazy, které ukazují na jiného hackera!

Mým výzkumným cílem je replikovat tento specifický druh útočné nebo útočné inteligence, inteligence, která je nepřátelsky orientovaná (inteligence, na které se spoléhají lidské hrozby). Používám AI a strojové učení k návrhu kybernetických agentů a modelování nepřátelského chování lidských útočníků. Také modeluji učení a adaptaci, která charakterizuje kybernetické závody ve zbrojení.

Měl bych také poznamenat, že kybernetické obrany jsou docela komplikované. Svou složitost vyvinuly v reakci na narůstající útočné schopnosti. Tyto obranné systémy zahrnují návrh detektorů, zpracování protokolů systému, spouštění příslušných upozornění a jejich třídění do systémů pro reakci na incidenty. Musí být neustále ve střehu, aby bránily velmi velkou útočnou plochu, kterou je těžké sledovat a která je velmi dynamická. Na druhé straně soutěže útočník versus obránce i můj tým vynakládáme AI ve službách těchto různých obranných front.

Další věc, která vyniká u nepřátelské inteligence: Tom i Jerry se dokáží učit z vzájemné konkurence! Jejich dovednosti se zdokonalují a zapojují se do závodu ve zbrojení. Jeden se zlepší, pak druhý, aby si zachránil kůži, se také zlepší. Toto vylepšování se navzájem pokračuje a zdokonaluje se!

Otázka: Jaké jsou příklady v našem každodenním životě, kde nás umělá nepřátelská inteligence chránila? Jak můžeme použít nepřátelské inteligentní agenty, abychom byli před aktéry hrozeb?

Odpověď: Strojové učení se používá mnoha způsoby k zajištění kybernetické bezpečnosti. Existují všechny druhy detektorů, které filtrují hrozby. Jsou naladěny na anomální chování a na rozpoznatelné druhy malwaru. Existují systémy pro třídění s podporou AI. Některé nástroje pro ochranu proti spamu přímo na vašem mobilním telefonu jsou s podporou AI!

S mým týmem navrhuji kybernetické útočníky s podporou AI, kteří dokáží dělat to, co dělají aktéři hrozeb. Vymýšlíme AI, aby našim kybernetickým agentům poskytla odborné počítačové dovednosti a znalosti programování, aby je dokázala zpracovávat všechny druhy kybernetických znalostí, plánovat kroky útoku a činit informovaná rozhodnutí v rámci kampaně.

Nepřátelsky inteligentní agenti (jako naši kybernetičtí útočníci AI) se mohou používat jako cvičení při testování síťových obran. Hodně úsilí se vkládá do kontroly odolnosti sítě vůči útoku a AI je schopna s tím pomoci. Navíc, když přidáme strojové učení k našim agentům a k naší obraně, odehrávají se závody ve zbrojení, které můžeme prozkoumat, analyzovat a použít k předvídání, jaká protiopatření mohou být použita, když podnikneme kroky k obraně.

Otázka: Na jaké nové riziko se adaptují a jak to dělají?

Odpověď: Zdá se, že nikdy nekončí vydávání nového softwaru a návrh nových konfigurací systémů. S každým vydáním existují zranitelnosti, které může útočník zaměřit. Mohou to být příklady chyb v kódu, které jsou již zdokumentovány, nebo mohou být nové.

Nové konfigurace představují riziko chyb nebo nových způsobů útoku. Nepředstavovali jsme si ransomware, když jsme se zabývali útoky typu denial-of-service. Nyni se potýkáme s kybernetickou špionáží a ransomwarem s krádeží duševního vlastnictví. Všechny naše kritické infrastruktury, včetně telekomunikačních sítí a finančních, zdravotnických, městských, energetických a vodohospodářských systémů, jsou cílem.

Naštěstí se hodně úsilí věnuje obraně kritické infrastruktury. Budeme muset to přeložit do produktů a služeb založených na AI, které zautomatizují některé z těchto snah. A samozřejmě, abychom pokračovali v návrhu stále chytřejších a chytřejších nepřátelských agentů, aby nás udrželi ve střehu, nebo nám pomohli procvičovat obranu našich kybernetických aktiv.