Je umelá inteligencia pre kybernetickú bezpečnosť hrozba alebo príležitosť? Odpoveď je jednoduchá. Platí oboje, no hneď treba dodať, že vždy bude veľmi záležať na tom, kto a za akým účelom bude AI používať.

„V kontexte kybernetickej bezpečnosti môžeme ako umelú inteligenciu označiť mechanizmy, schopné s vysokou rýchlosťou aplikovať známe postupy, čiastkové nástroje či samoučiace sa algoritmy, ktoré dokážu reagovať na zmenené vstupné podmienky,“ vysvetľuje Michal Sekula, odborník spoločnosti Eviden (na Slovensku donedávna pôsobila pod obchodným názvom Atos IT Solutions and Services) na kybernetickú bezpečnosť.

Iná AI

Nejde teda o nástroje typu Chat GPT, ale o enginy, ktoré možno upravovať pre konkrétne účty a dávať im vstupné zadania, zacielené na konkrétnu oblasť. Môže ísť napríklad o reakciu na DDoS útok, čiže zahltenie internetovej služby alebo servera obrovským množstvom požiadaviek a následné znefunkčnenie. Druhým príkladom môže byť reakcia na skenovanie sieťového rozsahu, či sledovanie šírenia spustiteľného kódu v neobvyklých časoch, aby sa predišlo trebárs inštalovaniu ransomvéru.

Využívanie mechanizmov umelej inteligencie zatiaľ nie je legislatívne upravené. Európska únia síce pripravuje predpis, známy ako AI Act, no momentálne obmedzenia nie sú. „Nie že by legislatíva niekedy v histórii zabránila útočníkom pripravovať a vykonávať kybernetické útoky. Vhodné opatrenia by však obmedzili dostupnosť komerčných AI mechanizmov pre určité, povedzme podozrivé činnosti,“ vysvetľuje odborník Evidenu. Obrancom by podľa neho na druhej strane legislatívne pravidlá pomohli definovať, čo je pri ochrane infraštruktúry a odrážaní kybernetických útokov ešte prípustné a čo už nie – napríklad preventívny útok či protiútok na známe IP adresy.

Skúsenosti Evidenu

V súčasnosti tak majú náskok útočníci, ktorým umelá inteligencia dáva obrovskú flexibilitu a rýchlosť meniť vektory a silu útoku. „Predovšetkým však dokážu lepšie reagovať na kroky obrancov infraštruktúry,“ dodáva Sekula.

Umelá inteligencia na druhej strane obrancom poskytne možnosť učiť sa zo známych útokov, ktoré už nastali v minulosti. Môžu čerpať inšpiráciu aj z nekonečných zdrojov technických zraniteľností, ktoré sú bežne dostupné. Tu môžu ťažiť aj z doterajších skúseností Evidenu. „Náš SOC tím využíva kombináciu AI strojov a necháva ich učiť sa z najrôznejších postupov kybernetických útokov, napríklad typických scenárov využitia známych zraniteľnosti,“ popisuje odborník spoločnosti Eviden. „AI potom dokáže detegovať vzorce správania pre daný vektor útoku. V každej fáze takto natrénovaného útoku sa potom využívajú odbočky vedúce k identifikácii útočníka, odkloneniu alebo ešte lepšie, priamemu zastaveniu útoku v závislosti od jeho povahy,“ vysvetľuje Sekula.

Kombinácia s prediktívnou bezpečnosťou

V kombinácii s postupmi prediktívnej bezpečnosti, čo je mechanizmus odhalenia vektorov útoku ešte pred jeho spustením, ide o veľmi efektívnu metódu ochrany kybernetickej infraštruktúry. Podľa výstupov procesov prediktívnej bezpečnosti ju navyše možno veľmi rýchlo upravovať.

„Na základe skúseností z minulosti sa domnievame, že ako každú novú technológiu, aj umelú inteligenciu najskôr budú kreatívne využívať útočníci,“ predpovedá odborník Evidenu. „Po prvých existujúcich útokoch sa však AI rýchlo uplatní aj medzi obrancami na lepšie zabezpečenie infraštruktúry, systémov a sietí. Na základe našich skúseností vyzerá byť najvhodnejším spôsobom ochrany kombinácia procesov prediktívnej bezpečnosti s výkonom a flexibilitou nástrojov AI,“ odporúča expert.

Eviden – ktorý bol donedávna na Slovensku známy ako Atos – je vďaka dlhoročným skúsenostiam európskou jednotkou v oblasti kybernetickej bezpečnosti. Experti Evidenu čerpajú z oficiálnych i neoficiálnych zdrojov a majú tak informácie aj o zraniteľnostiach, ktoré ešte neboli publikované.  Spoločnosť prevádzkuje vlastné Centrum bezpečnostných operácií (SOC), má bezpečnostnú previerku EU-SECRET a disponuje bezpečnostnou certifikáciou 27001.