Rozhovor s Mgr. Janem Kozákem, projektovým manažerem ve společnosti AXENTA a.s., o umělé inteligenci v souvislosti s kybernetickou bezpečností.
Petr Smolník: Dobrý den, Honzo, zdravím Vás opět v AVERIA.NEWS a mám na Vás zajímavou otázku. Hodně útoků, které jsou v této chvíli konány, je nějakým způsobem automatizováno. Jakou má ta automatizace spojitost s umělou inteligencí, v rámci kybernetické bezpečnosti, hackerů a toho, že už za tím nestojí nějaký člověk, nějaký hacker?
Jan Kozák: Je to jednoznačně úspora času na straně útočníků. V podstatě je to komerční vztah. Oni potřebují s maximálním efektem penetrovat co největší počet cílů a dostat se k datům anebo znepřístupnit tu službu. Záleží, co je cílem. Zkrátka způsobit škodu anebo mít profit.
Umělá inteligence nám obráncům pomáhá v tom, že jsme schopni rychleji vyhodnocovat větší množství událostí. V případě útočníků jim například pomáhá psát skripty.
Triviální příklad – já, když jsem v minulosti potřeboval něco složitějšího vyhledat v databázi, tak jsem studoval příručku k tomu jazyku, učil jsem se syntaxi. Dnes zadám jednoduchý dotaz umělé inteligenci. Vytvořím dotazy napříč 20 tabulkami, optimalizuji výsledek a mým cílem je získat konkrétní hodnoty. Umělá inteligence to napíše. Tímto způsobem fungují také útočníci.
Pak je zde velká automatizace na straně zdrojů. Útočník, pokud to není cílený útok připravený na konkrétní subjekt, ale má být na určitý zákaznický segment, si vybere např. právní kanceláře. Pomocí umělé inteligence vznikne rešerše toho, jak advokátní kanceláře fungují a jaké mají slabiny. Například všechny používají jeden konkrétní software určený pro advokátní kanceláře, a v tom už potom oni hledají zranitelnost. Cílem je co nejrychleji penetrovat co nejvíc subjektů a dostat se k nějakému zisku.
Tu rešerši si mohu udělat sám, studovat jako ten útočník, anebo to zadám nějakému velkému jazykovému modelu, který mi odpoví: „V advokátních kancelářích je nejčastěji používán tento typ softwaru, protože ho doporučuje Advokátní komora v té dané zemi.“
Já si už potom mohu naplánovat phishingovou kampaň, ve které bude např. následující: „Advokátní komora Vás žádá o aktualizaci údajů v našem systému. Prosím, klikněte na tento odkaz, zadejte své uživatelské jméno a heslo.“ Pak je uživatel přesměrován na podvodnou stránku, kde ta hesla zadá. A jsme lidé, takže je potřeba si dát ruku na srdce. Většina lidí má stejná hesla do e-mailu a do dalších služeb, takže potom se útočník dostává nejen třeba k systému, ale může se dostat do dalších služeb, které advokát nebo ta advokátní kancelář využívá. Tedy asi takto.
PS: Já jsem slyšel i o metodě, kdy hackeři umí udělat to, že se zeptají umělé inteligence a řeknou jí: „Tady máš seznam subjektů, podívej se na černém trhu, kde jsou databáze hesel, který tento typ subjektů pravidelně používal, a pojďme vyzkoušet, jestli ta hesla jsou stále stejná“. Každému, kdo má mobilní telefon a zadává si tam hesla, už dnes běžně telefony oznamují: „Toto heslo si nezadávejte, vaše hesla byla kompromitována v těchto službách.“ Takže předpokládám, že pokud to umí můj mobil, tak hackeři na druhé straně jsou daleko dál, a mají to sofistikovanější, a v databázích umí hledat a zacílit nejenom na konkrétní segment, ale kupříkladu i na konkrétní firmy a subjekty.
JK: Je to komunita. Stejně tak jako my to používáme pro to, abychom se vyvarovali chyb – toto heslo je známé, nepoužívejte ho, je slabé – tak druhá strana ty informace vyhledává, typicky na dark webech, a snaží se co nejvíce si zjednodušit práci, tzn. snížit své náklady.
Když se vrátíme třeba k WannaCry, který byl před x lety, tak první vlna byla strašně neefektivní. Oni zjistili, že obsluha toho malwarového útoku byla natolik drahá, že zisk měli prakticky nula. A takto oni přemýšlí, tzn. je potřeba snížit náklady. A umělá inteligence náklady snižuje a bude snižovat. A nejenom jim, ale samozřejmě i nám.
Všichni v segmentu kybernetické bezpečnosti čelíme nedostatku lidských zdrojů. Já nemohu donekonečna hledat odborníky, kteří budou pro zákazníka „na bílé straně“ a budou pomáhat s bezpečností, ale potřebuji automatizovat. Tzn. bavíme se o technologiích nebo používáme technologie, na ty umělá inteligence je.
Uvedu příklad. Průměrný analytik potřebuje dostat informace z velkého množství zdrojů, aby vyhodnotil, jestli došlo ke kompromitaci u zákazníka. Umělá inteligence je za pár vteřin schopna udělat rešerši nad všemi zdroji podle slovního zadání a řekne: „Ne, tento vzor jsem v datech nenašel.“ A projde terabajty dat během pár vteřin. Lidskou silou by to trvalo hodiny, možná dny. Takže pro nás ve forenzní analýze je to velmi užitečný nástroj.
PS: Děkuji Vám za tuto odpověď. Nedávno jsem viděl nějaký film s umělou inteligencí, kde si útočníci už testují a vychovávají si „nějakou entitu, na bázi umělé inteligence“, které už zadávají tolik příkazů, že se sama učí a automaticky jim nabízí, jak na té bílé, tak na té černé straně, formy, jak zaútočit nebo jak se bránit. Předpokládám, že je důležité být pořád, ne-li o krok napřed na té bílé straně, tak minimálně zároveň. Jak to stíháte, když nemáte lidi?
JK: Nestíháme, ale snažíme se. Je třeba si uvědomit, že ZeroDay útoky budou vždycky. My něco vidíme poprvé a potom je to o rychlosti, v jaké si to dokážeme v té komunitě sdělit, a to je ta naše síla. Tzn., že my nikdy nezabráníme těm útočníkům celosvětově něco napadnout, ale musíme si udělat rychlé poučení z útoku a tu informaci rozšířit do naší komunity a zabránit škodám u ostatních zákazníků. My dnes hodně spolupracujeme s ostatními kolegy na celosvětové scéně na tom, jak si tyto informace co nejrychleji mezi sebou předávat. Existuje celá řada platforem, které nám umožňují toto mezi sebou sdílet.
PS: Díky. Já teď vidím, že vlastně není možné, tak jak vy říkáte, být kompletně a stoprocentně zabezpečený, že útok může přijít, a spíš je důležité to, co se stane když… To znamená, co se stane, když mě někdo napadne, jaká bude škoda, jak rychle se zotavím. Jakou formou pracujete s Vašimi klienty v tomto případě, když říkáte: „My Vám zajistíme ochranu, ale může se stát, že přijde nějaký útok, který nezachytíme“. Mějte krizový plán, mějte zálohy a všechny ty ostatní věci. To není jenom o těch zálohách samozřejmě, např., když ten provoz, by nedej bože byl vyřazen, tak tam vznikají nějaké škody každým dnem, každou hodinou. Jak se potom klienti tváří, když jim toto říkáte?
JK: Děkuji za tu otázku. To téma je složitější, takže není jedna úplně jednoduchá odpověď. Je to o tom, mít kvalitně zpracované plány na to, jakým způsobem je službu možné zpátky obnovit. A je také důležité vědět, za jak dlouho jsem schopen službu obnovit. A to je i z pohledu nákladů, z pohledu toho, jak to fyzicky udělám, z pohledu toho, jak rychle to udělám.
A podobně to funguje nejenom s těmi obnovami, ale celkově s bezpečností. Já potřebuji mít zmapované, jaké dopady na můj byznys to má, tzn. nějakou byznys impakt analýzu. Tam si identifikuji, které služby nebo procesy, které poskytuji jsou pro mě důležité, a na to potom už mapuji nápravná opatření. Je to o synchronizaci lidí, aby věděli, co mají v krizové situaci dělat. A nejsou v tom sami, tzn. na straně našeho SOCu máme incident response team. Tým na forenzní vyšetřování, pokud dojde k útoku. Jeho cílem je u zákazníka řídit celý průběh incidentu, získat maximum důkazů o tom, jak incident proběhl, co nejrychleji „postavit zákazníka na nohy“ a poučit se z toho. Hlavně z dat získat poučení, aby se útok neopakoval. To je, co se zákazníky dnes řešíme. Ano, od nás máte nějaké technologie, máte od nás bezpečnostní dohledové služby, a ještě by to chtělo mít ten incident response team, který Vám v případě, že už se nám cokoliv přihodí a k nějakému incidentu dojde, pomůže co nejrychleji obnovit provoz společnosti.
PS: Je to tak. Děkuji Vám, přeji krásný den a zase někdy příště.
JK: Vám taky, mějte se pěkně.