FortiGuard Labs: prognoza zagrożeń w 2020

Fortinet przedstawił prognozy zespołu FortiGuard Labs dotyczące krajobrazu zagrożeń w roku 2020 oraz później.

Eksperci Fortinet zaprezentowali w nich metody, które – jak przewidują – cyberprzestępcy będą stosować w najbliższej przyszłości. Wskazano też na ważne strategie, które pomogą firmom chronić się przed nadchodzącymi atakami.

Zmiana trajektorii cyberataków

Metody prowadzenia cyberataków stały się w ostatnich latach bardziej wyrafinowane, przez co wzrosła ich skuteczność i szybkość. Tendencja ta prawdopodobnie będzie się utrzymywać, dopóki przedsiębiorstwa nie zmienią sposobu myślenia o swojej strategii bezpieczeństwa. Zasięg spotykanych w globalnej skali cyberzagrożeń, ich poziom wyrafinowania oraz szybkość modyfikowania powodują, że przedsiębiorstwa muszą być gotowe do reagowania w czasie rzeczywistym z prędkością maszyny, aby skutecznie przeciwdziałać agresywnym atakom. Zasadnicze znaczenie w tej walce będą miały postępy w wykrywaniu zagrożeń z wykorzystaniem sztucznej inteligencji (AI).

Ewolucja sztucznej inteligencji jako systemu

Jednym z celów rozwoju sztucznej inteligencji specjalizującej się w bezpieczeństwie jest stworzenie adaptacyjnego układu odpornościowego dla sieci, podobnego do tego w ludzkim ciele. Pierwsza generacja tego typu rozwiązań została zaprojektowana do korzystania z modeli uczenia maszynowego w celu zbierania danych, korelowania ich, a następnie określania konkretnego kierunku działania. Druga generacja sztucznej inteligencji wykorzystuje coraz bardziej wyrafinowaną zdolność wykrywania wzorców, aby znacznie poprawić takie obszary, jak kontrola dostępu, poprzez dystrybucję węzłów edukacyjnych w całym środowisku. W trzeciej generacji natomiast, zamiast polegać na centralnym, monolitycznym centrum przetwarzania, sztuczna inteligencja połączy swoje regionalne węzły uczące się, aby lokalnie zgromadzone dane mogły być udostępniane, korelowane i analizowane w bardziej rozproszony sposób. Będzie to bardzo ważny etap rozwoju, ponieważ przedsiębiorstwa planują zabezpieczenie swoich rozwijających się środowisk przetwarzania na brzegu sieci.

Federacyjne uczenie maszynowe

Oprócz wykorzystania tradycyjnych form analizy zagrożeń zbieranych z różnego typu kanałów informacyjnych lub pochodzących z przeprowadzanej wewnętrznie analizy ruchu i danych, uczenie maszynowe będzie ostatecznie bazować na mnóstwie istotnych informacji spływających z nowych urządzeń brzegowych do lokalnych, uczących się węzłów. Śledząc i korelując te informacje w czasie rzeczywistym, system sztucznej inteligencji będzie mógł nie tylko wygenerować pełniejszy obraz zagrożeń, ale także dopracować sposób, w jaki wdrożone w firmach systemy mogą reagować na zdarzenia lokalne. Systemy AI będą w stanie widzieć pojawiające się zagrożenia, korelować informacje o nich, śledzić i przygotowywać się na atak, m.in. udostępniając informacje o tym fakcie w sieci. Ostatecznie federacyjny system uczenia maszynowego pozwoli na połączenie zestawów danych, przez co modele uczenia się będą mogły dostosować się do zmieniających się trendów dotyczących środowisk i zdarzeń. Dzięki temu zaobserwowanie incydentu tylko w jednym punkcie poprawi inteligencję całego systemu. 

Łączenie AI (sztucznej inteligencji) i Playbooks (katalaogów informacji o zagrożeniach) w celu przewidywania ataków

Inwestowanie w sztuczną inteligencję pozwala przedsiębiorstwom nie tylko na automatyzację zadań, ale także zapewnia zautomatyzowany system wyszukujący i wykrywający ataki oraz działający prewencyjnie. Połączenie uczenia maszynowego z analizą statystyczną umożliwia opracowanie indywidualnych planów działań powiązanych ze sztuczną inteligencją w celu lepszego wykrywania zagrożeń i reagowania na nie. W ten sposób powstają katalogi opisujące zagrożenia – Playbooks, dzięki którym można odkryć podstawowe wzorce pozwalające systemowi AI przewidzieć następny ruch atakującego, wykryć, gdzie może nastąpić następny atak, a nawet określić kto jest najbardziej prawdopodobnym winowajcą. Jeśli te informacje zostaną dodane do systemu uczenia sztucznej inteligencji, jego węzły będą mogły zapewnić zaawansowaną i proaktywną ochronę, w ramach której nie tylko wykrywają zagrożenie, ale także prognozują ruchy, proaktywnie interweniują i koordynują wiedzę z innymi węzłami, aby jednocześnie wykluczyć wszystkie możliwości ataku.

Szansa w kontrwywiadzie i oszukiwaniu

Jedną z najbardziej kluczowych dziedzin w świecie szpiegostwa jest kontrwywiad. To samo dotyczy prowadzenia ataku na środowisko, w którym ruchy są dokładnie monitorowane przez jego właścicieli. Broniący się mają wyraźną przewagę nad cyberprzestępcami dzięki dostępowi do rodzajów informacji o zagrożeniach, których jakość można zwiększyć dzięki uczeniu maszynowemu i sztucznej inteligencji. Mogą zatem pokusić się na swego rodzaju oszustwo – wprowadzenie do transmisji danych sztucznego ruchu, który utrudni przestępcom nauczenie się wzorców prawdziwego ruchu i uniemożliwi – przynajmniej przez pewien czas – stworzenie odpowiednich algorytmów wykradających informacje. Ale równocześnie należy spodziewać się, że cyberprzestępcy zaczną zdawać sobie sprawę z tego, że są oszukiwani i mogą rozpocząć działania kontrwywiadowcze. Będą musieli nauczyć się odróżniać wzorce tradycyjnego i sztucznego ruchu, bez przyłapania na szpiegowaniu. Ale i tego typu działania będą mogły być wykrywane dzięki sztucznej inteligencji, która pomoże stworzyć katalogi opisujące najlepsze praktyki w tej dziedzinie (Playbooks). Ułatwi także kreowanie sztucznego ruchu, aby jak najbardziej skutecznie „zaciemniał” on potok danych zawierających właściwe informacje.

Ścisła współpraca z organami ścigania

Cyberbezpieczeństwo ma szczególne wymagania dotyczące prywatności i dostępu do danych, coraz bardziej regulowane przez lokalne ustawodawstwo w poszczególnych krajach. Natomiast cyberprzestępczość nie ma granic, co powoduje, że organy ścigania nie tylko zostały zmuszone do tworzenia globalnych centrów dowodzenia, ale także zaczęły łączyć je z sektorem prywatnym, dzięki czemu są o krok bliżej do wykrywania działań cyberprzestępców i reagowania na nie w czasie rzeczywistym. Struktura organów ścigania oraz ich relacje z sektorem publicznym i prywatnym mogą pomóc w identyfikowaniu cyberprzestępców. Inicjatywy promujące bardziej jednolite podejście do współpracy pomiędzy różnymi międzynarodowymi i lokalnymi organami ścigania, rządami, przedsiębiorstwami i ekspertami ds. bezpieczeństwa pomogą przyspieszyć bezpieczną wymianę informacji w celu ochrony infrastruktury krytycznej i przed cyfrową przestępczością.

Poziom wyrafinowania działań cyberprzestępców nie maleje

Oczywiste jest, że wszelkie zmiany w strategiach ochrony przedsiębiorstw zostaną w końcu zauważone przez cyberprzestępców. Firmy stosujące zaawansowane zabezpieczenia sieciowe oraz wyrafinowane metody wykrywania ataków i reagowania na nie, powinny liczyć się z podejmowanymi próbami jeszcze silniejszych ataków – zarówno w skali, jak też sposobie ich przeprowadzenia. Nie jest tajemnicą, że cyberprzestępcy także interesują się sztuczną inteligencją i coraz częściej będzie ona wykorzystywana do skutecznego prowadzenia ataków.

Zaawansowane techniki unikania

Ogłoszony niedawno raport Fortinet Threat Landscape pokazuje wzrost wykorzystania przez cyberprzestępców zaawansowanych technik omijania zabezpieczeń, zaprojektowanych w celu zapobiegania wykrywaniu, wyłączania funkcji ochronnych oraz unikania wykrycia dzięki korzystaniu do ataku wyłącznie z zasobów posiadanych przez potencjalną ofiarę, np. zainstalowane u niej oprogramowanie. Wiele współczesnych narzędzi przestępczych zawiera już funkcje pozwalające „omijać” oprogramowanie antywirusowe lub inne środki wykrywania zagrożeń. Natomiast cyberprzestępcy stają się coraz bardziej wyrafinowani w swoich praktykach zaciemniania i antyanalizy, aby uniknąć wykrycia. Takie strategie maksymalizują szansę na wykorzystanie słabości technik ochronnych i brak odpowiedniego przygotowania personelu w przedsiębiorstwie.

Raport: Fortinet Threat Landscape Q4 2017

Rój botów atakuje

W ciągu ostatnich kilku lat wykształciła się nowa technika ataku nazywana rojem botów. Do atakowania w ten sposób sieci oraz podłączonych do nich urządzeń wykorzystywane są uczenie maszynowe i sztuczna inteligencja, których potencjał może być wykorzystywany do infiltracji sieci, blokowania pracy wewnętrznych mechanizmów obronnych oraz skutecznego wyszukiwania i wykradania danych. Wyspecjalizowane boty, uzbrojone w określone funkcje, będą mogły wymieniać się zgromadzonymi informacjami i korelować je w czasie rzeczywistym, aby przyspieszyć zdolność całego roju do wybierania i modyfikowania ataków, nawet na wiele celów jednocześnie.

5G i przetwarzanie na brzegu sieci przyspieszą ataki

Transmisja danych w sieciach 5G może stać się katalizatorem rozwoju ataków wykorzystujących roje botów. Dzięki tej technologii możliwe będzie tworzenie lokalnych sieci ad hoc, które mogą szybko udostępniać i przetwarzać informacje. Działające na brzegu sieci urządzenia, wyposażone w moduł transmisji danych 5G, mogą stać się kanałem dystrybucji złośliwego kodu, zaś grupy zainfekowanych urządzeń mogą współpracować, aby atakować ofiary z jeszcze większą szybkością, zapewnianą przez 5G. W takiej sytuacji, biorąc pod uwagę szybkość, inteligencję i lokalny charakter tego typu ataków, starsze rozwiązania ochronne mogą okazać się nieskuteczne.

Zmiana sposobu prowadzenia ataków zero-day przez cyberprzestępców

Do tej pory znalezienie luki zero-day oraz opracowanie dla niej exploita było kosztowne, więc przestępcy wykorzystywali je tak długo, aż nie zostały zneutralizowane. Jednak rosnąca ilość możliwości przeprowadzenia ataku, łatwość wykrywania luk z wykorzystaniem sztucznej inteligencji oraz rosnąca liczba dostępnych na świecie usług i oprogramowania wpływają na zdecydowany wzrost ryzyka częstego pojawiania się nowych podatności typu zero-day. Konieczne będzie podejmowanie dodatkowych środków bezpieczeństwa, aby przeciwdziałać temu trendowi.