Хакеры способны использовать искусственный интеллект более чем в половине техник кибератак. Positive Technologies опубликовала подробный отчет о возможностях и перспективах применения хакерами технологий искусственного интеллекта. По прогнозам экспертов компании, в будущем киберпреступники смогут использовать ИИ во всех тактиках из матрицы MITRE ATT&CK, а также в 59% ее техник.
Исследователи отмечают, что раньше ИИ применялся злоумышленниками лишь в 5% всех техник MITRE ATT&CK, еще в 17% была доказана возможность его использования. Однако в будущем эта доля может существенно увеличиться из-за распространения легальных инструментов с ИИ. Эксперты напоминают, что в течение года после выхода ChatGPT4 количество фишинговых атак возросло на 1265%. прогнозируется, что ИИ продолжит усиливать арсенал киберпреступников.
Гонка кибервооружений
Аналитики считают, что в условиях интенсивного развития таких технологий, разработчики языковых моделей не всегда уделяют достаточное внимание защите LLM от генерации вредоносного текста, кода или инструкций, что может повлечь за собой всплеск киберпреступной активности.
Например, хакеры уже используют ИИ для создания скриптов и проверки кода при подготовке ВПО. Кроме того, обращение к большим языковым моделям помогает начинающим киберпреступникам, которые не обладают необходимыми навыками и ресурсами, ускорить подготовку к атаке и упростить ее проведение.
Данный аспект также влияет на рост числа инцидентов с применением ИИ. Например, злоумышленник может уточнить, не упустил ли он что-то в своем плане проведения атаки, или изучить различные подходы к реализации определенного шага.
Среди других факторов, которые влияют на более активное применение искусственного интеллекта в атаках, эксперты выделяют слабую защищенность развивающихся стран, где даже несовершенные инструменты с такими технологиями могут успешно использоваться. Кроме того, в этом направлении киберпреступников подталкивает гонка вооружений атакующих и защитников.
Не повод для паники
«Высокий потенциал искусственного интеллекта в кибератаках не повод для паники, — пояснил Роман Резников, аналитик исследовательской группы департамента аналитики Positive Technologies. — Нужно реалистично смотреть в будущее, изучать возможности новых технологий и системно заниматься обеспечением результативной кибербезопасности. Логичная контрмера атакующему ИИ — более эффективный ИИ в защите, который поможет преодолеть нехватку специалистов для защиты от кибератак через автоматизацию многих процессов. В ответ на растущую активность злоумышленников, появился автопилот MaxPatrol O2, способный обнаруживать и блокировать действия в инфраструктуре в автоматическом режиме, пока киберпреступники не нанесли организации непоправимый ущерб».
С помощью ИИ можно автоматически генерировать фрагменты вредоносного кода, фишинговые сообщения и дипфейки, автоматизировать отдельные этапы кибератак, в том числе управление ботнетом. Однако развить и создать новые инструменты с искусственным интеллектом для автоматизации и масштабирования кибератак смогут только опытные злоумышленники.
В ближайшем будущем аналитики ожидают появления отдельных модулей для решения конкретных задач в уже известных сценариях атак. С течением времени киберпреступные инструменты и модули с ИИ будут объединяться в кластеры для автоматизации этапов атаки, пока не смогут покрыть большую их часть. Если злоумышленникам удастся автоматизировать проведение атак на выбранную цель, следующим шагом может стать расширение «полномочий» искусственного интеллекта — самостоятельный поиск целей.
Рекомендации экспертов
Для обеспечения личной и корпоративной кибербезопасности в таких условиях эксперты Positive Technologies рекомендуют придерживаться общих правил, а также призывают обращать особое внимание на процессы управления уязвимостями и принимать участие в программах багбаунти.
Специалисты отмечают, что автоматизация эксплуатации уязвимостей с помощью машинного обучения позволит киберпреступникам быстрее и чаще атаковать организации. Поэтому необходимо оперативно закрывать найденные бреши, особенно в случае наличия общедоступных эксплойтов. В свою очередь, чтобы быть на шаг впереди злоумышленников, вендоры добавляют технологии машинного обучения в свои продукты: например, чтобы присваивать определенную оценку риска событиям ИБ и обнаруживать целенаправленные кибератаки (в том числе те, в которых эксплуатируются уязвимости нулевого дня), в MaxPatrol SIEM используется компонент Behavioral Anomaly Detection (BAD).
Кроме того, технологии ИИ применяются для точного определения атак класса shell upload в PT Application Firewall, для умного поиска информации по активам и создания распространенных текстовых запросов — в MaxPatrol VM, для создания пользовательских правил профилирования и обнаружения приложений в шифрованном трафике — в PT NAD, для качественного детекта неизвестного и аномального вредоносного ПО — в PT Sandbox.
