Безопасности добирают ума

ChatGPT, чат-бот на основе искусственного интеллекта (ИИ), набрал популярность во всем мире всего за несколько месяцев благодаря простому интерфейсу и многозадачности программы. С ее помощью и подключением других инструментов на основе ИИ IT-специалисты стараются решить большое количество задач, оптимизировав собственные ресурсы и упростив работу. Но, как и любую другую технологию, нейронные сети можно использовать как во благо, так и в преступных целях. “Ъ” разобрался, как влияет развитие ИИ на работу хакеров и защитников информационных систем.

Выйти из полноэкранного режима

Развернуть на весь экран

Глобальный рынок искусственного интеллекта в сфере кибербезопасности аналитическая компания Research and Markets в 2022 году оценивала в $14,1 млрд. К 2027-му, считают исследователи, рынок может достигнуть $41,9 млрд при среднегодовом темпе роста 24,4%. К драйверам роста этого направления Research and Markets относят распространение технологии интернета вещей (IoT), в том числе увеличение количества подключенных устройств по всему миру, повышение уязвимости Wi-Fi и рост числа киберинцидентов во всем мире.

Начало 2023 года в России продемонстрировало изменения ландшафта кибератак на отечественные IT-системы: по данным компании по защите от интернет-угроз Qrator Labs, по сравнению с первым кварталом 2022-го длительность DDoS-атак сократилась более чем в шесть раз. В компании объясняют это более тщательным выбором жертв хакерами, а также применением злоумышленниками современных инструментов анализа трафика и систем защиты атакуемых. «Сейчас у хакеров улучшилось качество мониторинга, и при неудовлетворительном результате они фиксируют это сразу и останавливают атаку, не увенчавшуюся успехом»,— объясняли исследователи. В качестве примера эксперты по кибербезопасности приводят распространяющиеся в даркнете вредоносные коды и программы на основе нейросетей, способных самостоятельно мониторить инфраструктуру жертв.

Также сам ИИ все чаще становится жертвой кибератак: по данным исследования Gartner, выпущенного летом 2022 года, 41% опрошенных организаций столкнулись с нарушением конфиденциальности организации через внутренний ИИ. При этом 60% инцидентов были связаны с компрометацией данных внутренним злоумышленником (инсайдером), в то время как 27% атак были атаками на нейросети извне. Эксперты по итогам исследования пришли к выводу, что при внедрении моделей искусственного интеллекта компаниям пора предусматривать защиту алгоритма от внешнего воздействия.

Качай оружие

Условия работы OpenAI (разработчик ChatGPT) для чат-бота прямо запрещают создание вредоносных программ, вирусов и других инструментов хакеров. Однако, по данным международных СМИ, практически сразу после появления последней версии бота злоумышленники начали тестировать на нем написание вредоносного программного обеспечения (ПО).

Да, условия работы для ChatGPT действительно запрещают боту сообщать опасную и неправомерную информацию, однако технология несовершенна, и даже не злоумышленники, а обычные любознательные пользователи придумали несколько способов обхода этого запрета, говорит коммерческий директор «Кода безопасности» Федор Дбар: «Например, они представляются чат-боту преподавателями и просят его сделать код шифровальщика, чтобы показать студентам, как он может выглядеть».

Хакеры и до появления последней версии ChatGPT использовали в своих целях искусственный интеллект. «ИИ — это инструмент оптимизации усилий, поэтому его используют те, кто хочет добиваться своих целей эффективнее, быстрее, с меньшими затратами»,— объясняет замгендиректора «Гарда Технологии» Рустэм Хайретдинов. Средства для создания и обучения инструментов ИИ, в том числе вредоносного, находятся в открытом доступе, поэтому неудивительно, что преступники, которых не сдерживают ни законы, ни вопросы морали при использовании ИИ, идут на шаг впереди защитников. «Библиотеки нейросетей и обучающие датасеты активно используются злоумышленниками»,— добавляет эксперт.

Ведущий инженер CorpSoft24 Михаил Сергеев выделяет несколько категорий кибератак, в которых уже используются нейронные сети:

фишинговые атаки — хакеры используют ИИ для создания более реалистичных фишинговых писем и веб-страниц, которые могут обмануть даже опытных пользователей. Также ИИ может анализировать данные из социальных сетей и создавать персонализированные фишинговые письма, которые выглядят более убедительно, чем стандартная рассылка;

атаки на пароли — использование нейронных сетей для создания и тестирования словарей паролей может ускорить и улучшить процесс их взлома;

социальная инженерия — ИИ может использоваться для анализа и сбора информации о целях атаки, что может помочь хакерам реализовать их более персонализированно;

фальсификация информации — ИИ может использоваться для создания фальшивых новостей и информации.

Использование ИИ в хакерских атаках — это тренд, который наблюдается во всем мире, а не только в России, добавляет господин Сергеев. Атаки с элементами ИИ могут быть проведены любыми киберпреступниками независимо от их местоположения. Нейронные сети сильно повышают эффективность атаки, благодаря этому в том числе удалось успешно совершать различные атаки на российскую инфраструктуру, уверен он.

Разнообразие использования ИИ в хакерских атаках огромно: начиная от фишинговых рассылок и заканчивая разработкой зловредов и эксплойтов, соглашается эксперт по кибербезопасности Axenix Евгений Качуров. Конечно, необходимо иметь базовые знания и обладать опытом обхода ограничений ИИ в части разработки зловредов и эксплойтов, но это не является непосильной задачей — с ней сможет справиться любой, добавляет он: «Поэтому можно ожидать появления армии так называемых script kiddie (хакеры, использующие скрипты и программы) с минимальным набором знаний и опыта, но с жизнеспособными инструментами». С этим согласны и зарубежные эксперты в области кибербезопасности: исследователь группы Check Point по анализу угроз Сергей Шикевич напоминает в диалоге с ZDNET, что «невозможно свести злоупотребление новыми технологиями к нулю».

Умный щит

Специалисты в области кибербезопасности, в свою очередь, тоже начинают использовать обучение нейронных сетей для выстраивания защиты IT-систем. Например, по словам собеседников “Ъ” на IT-рынке, алгоритмы машинного обучения уже используются для обнаружения аномального поведения в сети, а также для автоматизации процессов анализа уязвимостей и создания решений для защиты от них.

Средства защиты активно внедряют ИИ, особенно там, где нет четкого понимания, что это атака, рассказали в «Гарда Технологии». ИИ хорош для обнаружения и быстрого анализа аномалий в цифровых системах, отделения ошибок от злонамеренных действий, то есть там, где нужно быстро проанализировать большое количество данных и взаимосвязей без наличия четких правил. Такие технологии используются в средствах защиты от сетевых атак, DDoS-атак, межсетевых экранах прикладного уровня, межсетевых экранах нового поколения, решениях UEBA, DBF и многих других, перечисляет Рустэм Хайретдинов.

Наиболее распространенная сфера применения ИИ — поведенческий анализ, говорит Федор Дбар: «По большому счету есть два способа понять, что какое-то ПО или, скажем, трафик в сети носит вредоносный характер. Первый способ — сравнение с сигнатурами, то есть с некими слепками каких-то сущностей, которые когда-то были признаны вредоносными». По этому принципу работают антивирусы, объясняет он: у них есть база вирусов, которые были отловлены ранее, и по ней они проверяют, нет ли совпадений: «Это похоже на работу прививки, когда у пациента берут небольшое количество бацилл, а затем передают их другим людям, чтобы они вырабатывали иммунитет».

В России, считают собеседники “Ъ”, есть несколько факторов, стимулирующих развитие технологии нейронных сетей в целом и ИИ в кибербезопасности в частности. Например, внимание государства к развитию технологии: Минэкономразвития планирует в ближайшее время «ускорить процесс широкомасштабного внедрения отечественных ИИ-решений в экономику и социальную сферу». Мероприятия, направленные на развитие технологии, закреплены в «дорожной карте» «Развитие высокотехнологичного направления "Искусственный интеллект" (ИИ) до 2030 года».

Еще одним фактором является усиливающийся в России кадровый дефицит: компании за неимением достаточного количества специалистов начинают тестировать нейронные сети для написания простых кодов и других прикладных задач (см. “Ъ” от 21 апреля). Среди сдерживающих факторов развития технологии собеседники “Ъ” называют дефицит вычислительных мощностей и кадров для развития самой технологии (см. “Ъ” от 11 апреля 2022 года).

«Существует множество потенциальных вариантов использования ИИ в сфере кибербезопасности: его можно использовать в IoT для повышения безопасности, защиты активов и снижения уровня мошенничества»,— считают эксперты компании «Информзащита». В долгосрочной перспективе искусственный интеллект выйдет за рамки предотвращения мошенничества и злонамеренных действий, так как он будет использоваться для предоставления расширенной аналитики и принятия решений. Это особенно актуально для решений IoT, использующих данные в реальном времени, уверены в компании.

Игра на опережение

Развитие информационных технологий, и искусственного интеллекта в частности, постепенно будет менять отрасль кибербезопасности, считают эксперты. Сергей Шикевич в разговоре с ZDNET поделился мнением, что «в краткосрочной перспективе тот же ChatGPT не создаст совершенно новые типы атак, но основное внимание разработчиков будет уделяться тому, чтобы сделать их повседневные действия более рентабельными».

С помощью ИИ можно быстро строить новые векторы атак, автоматизировать их, уменьшать время от обнаружения уязвимости до атаки — делать все вредоносное, что человек делает медленнее машины, прогнозирует Рустэм Хайретдинов.

С развитием нейронных сетей возможности для создания новых типов хакерских атак могут увеличиваться, согласен Михаил Сергеев. Например, могут появляться новые атаки на IoT-устройства, на автомобили, а также новые методы обхода сетевых защитных механизмов, но с ростом количества средств обнаружения и предотвращения кибератак злоумышленникам также придется создавать более сложные алгоритмы и использовать более продвинутые методы, уверен он.

«Вряд ли ИИ сможет создавать новые типы атак, но однозначно может модернизировать уже имеющиеся. Направление развития ИИ может варьироваться в зависимости от целей, которые преследуют мошенники»,— считает руководитель отдела анализа и оценки цифровых угроз Infosecurity a Softline Company Константин Мельников. Эксперты «Информзащиты» прогнозируют, что вендоры решений в области информационной безопасности также будут наращивать компетенции в сфере искусственного интеллекта: в перспективе на рынке могут появиться сделки и партнерства разработчиков с компаниями, производящими решения в области нейронных сетей.

Татьяна Исакова