ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Искусственный интеллект (ИИ) меняет подход частных лиц и организаций к выполнению многих видов деятельности, в том числе и к тому, как киберпреступники осуществляют фишинговые атаки и совершенствуют вредоносное ПО. В настоящее время киберпреступники используют ИИ для создания персонализированных фишинговых писем, дипфейков и вредоносных программ, которые обходят традиционные системы обнаружения, имитируя нормальную пользовательскую активность и обходя устаревшие модели безопасности. В результате одних только моделей, основанных на правилах, часто недостаточно для обеспечения безопасности идентификации от угроз, связанных с ИИ. Поведенческая аналитика должна развиваться не только в направлении мониторинга подозрительных моделей активности с течением времени, но и в направлении динамического моделирования рисков на основе идентификации, способного выявлять несоответствия в режиме реального времени.

Общие риски, связанные с атаками с использованием ИИ

Кибератаки с использованием ИИ создают совершенно иные риски для безопасности по сравнению с традиционными киберугрозами. Опираясь на автоматизацию и имитируя законное поведение, ИИ позволяет киберпреступникам масштабировать свои атаки, одновременно уменьшая количество явных сигналов, чтобы оставаться незамеченными.

Фишинг и социальная инженерия на основе ИИ

В отличие от традиционных фишинговых атак, в которых используются общие сообщения, ИИ позволяет создавать персонализированные фишинговые сообщения в больших объемах с использованием общедоступных данных, имитируя стиль письма руководителей или создавая контекстные сообщения со ссылкой на реальные события. Эти атаки на основе ИИ могут уменьшить количество явных «красных флажков», обойти некоторые методы фильтрации и полагаться на психологическую манипуляцию вместо доставки вредоносного ПО, что значительно увеличивает риск кражи учетных данных и финансового мошенничества.

Автоматизированное злоупотребление учетными данными и захват учетных записей

Злоупотребление учетными данными с помощью ИИ позволяет оптимизировать попытки входа, избегая при этом срабатывания пороговых значений блокировки, имитируя человеческий интервал между попытками аутентификации и нацеливаясь на привилегированные учетные записи на основе контекста. Поскольку эти атаки используют скомпрометированные учетные данные, они часто выглядят достоверно и смешиваются с обычной активностью входа в систему, что делает безопасность идентификации важнейшим компонентом современных стратегий безопасности.

Прежде чем киберпреступники смогли использовать ИИ для ускорения разработки и развертывания вредоносного ПО, им приходилось вручную изменять сигнатуры кода и тратить огромное количество времени на создание новых вариантов. ИИ может еще больше ускорить создание вариаций, написание скриптов и адаптацию. С помощью современного адаптивного вредоносного ПО киберпреступники могут автоматически изменять код, чтобы избежать обнаружения, менять поведение в зависимости от среды и генерировать новые варианты эксплойтов практически без ручного вмешательства. Поскольку традиционные модели обнаружения на основе сигнатур не справляются с постоянно развивающимся кодом, организациям необходимо начать полагаться на поведенческие модели, а не на статические индикаторы.

Почему традиционный мониторинг поведения может оказаться неэффективным против атак на основе ИИ

Традиционный мониторинг был разработан для обнаружения киберугроз, связанных с вредоносным ПО, известными уязвимостями безопасности и видимыми аномалиями поведения. Вот несколько примеров того, как традиционный мониторинг поведения не справляется с атаками на основе ИИ:

Обнаружение на основе сигнатур не способно идентифицировать современные угрозы: инструменты, основанные на сигнатурах, полагаются на известные признаки взлома. Вредоносное ПО, использующее ИИ, постоянно переписывает свой собственный код и автоматически генерирует новые варианты, делая статические сигнатуры кода устаревшими.

Системы на основе правил полагаются на заранее определенные пороговые значения: многие системы поведенческого мониторинга зависят от правил, таких как частота входа в систему или географическое положение. Киберпреступники, использующие ИИ, корректируют свое поведение, чтобы оставаться в установленных пределах, осуществляя вредоносную деятельность в течение более длительного периода времени и имитируя поведение человека, чтобы избежать обнаружения.

Модели, основанные на периметре, не работают, когда речь идет о скомпрометированных учетных данных: традиционные модели безопасности, основанные на периметре, предполагают доверие после аутентификации пользователя или устройства. Когда киберпреступники аутентифицируются с помощью легитимных учетных данных, эти устаревшие модели рассматривают их как действительных пользователей, позволяя им осуществлять вредоносные действия.

Атаки на основе ИИ разработаны так, чтобы выглядеть нормально: киберугрозы на основе ИИ намеренно маскируются, действуя в рамках назначенных разрешений, следуя ожидаемым рабочим процессам и выполняя свои действия постепенно. Хотя отдельные действия могут казаться законными, основной риск возникает, когда деятельность рассматривается в совокупности с поведенческим контекстом в течение определенного времени.

Почему поведенческая аналитика должна измениться в связи с атаками на основе ИИ

Переход к современной поведенческой аналитике требует эволюции от простого обнаружения угроз к динамическому, контекстно-зависимому моделированию рисков, способному выявлять едва заметные случаи злоупотребления привилегиями.

Атаки, основанные на идентификации, требуют контекста

Чтобы выглядеть нормально, киберпреступники, использующие ИИ, часто используют учетные данные, полученные в результате фишинга или злоупотребления учетными данными, работают с известных устройств или сетей и проводят вредоносную деятельность в течение длительного времени, чтобы избежать обнаружения. Современная поведенческая аналитика должна оценивать, соответствует ли даже самое незначительное изменение в поведении типичным поведенческим моделям пользователя. Усовершенствованные поведенческие модели устанавливают базовые показатели, оценивают активность в режиме реального времени и объединяют контекст идентичности, устройства и сеанса.

Мониторинг должен охватывать весь стек

Как только киберпреступники получают доступ к системам с помощью скомпрометированных, слабых или повторно используемых учетных данных, они сосредотачиваются на постепенном расширении своего доступа. Видимость поведения должна охватывать весь стек безопасности, включая привилегированный доступ, облачную инфраструктуру, конечные точки, приложения и административные учетные записи. Чтобы поведенческая аналитика была более эффективной против кибератак на основе ИИ, организации должны внедрять политику безопасности «нулевого доверия» и исходить из того, что ни один пользователь или устройство не должно пользоваться неявным доверием или автоматической аутентификацией на основе местоположения в сети.

Злоумышленники из числа сотрудников могут использовать инструменты ИИ

Инструменты ИИ не только расширяют возможности внешних киберпреступников, но и облегчают злонамеренным внутренним пользователям действия в сети организации. Злонамеренные внутренние пользователи могут использовать ИИ для автоматизации сбора учетных данных, выявления конфиденциальной информации или создания правдоподобного фишингового контента. Поскольку внутренние пользователи часто действуют с законными разрешениями, обнаружение злоупотребления привилегиями требует выявления поведенческих аномалий, таких как доступ за пределы определенных обязанностей, активность вне обычных рабочих часов и повторяющаяся активность в критически важных системах. Устранение постоянного доступа путем внедрения доступа Just-in-Time (JIT), мониторинга сеансов и записи сеансов помогает организациям ограничить уязвимость и снизить последствия взлома учетных записей и злоупотребления со стороны сотрудников.

Защита идентичностей от автономных кибератак на основе ИИ

В то время, когда ИИ-агенты могут создавать убедительные кампании социальной инженерии, тестировать учетные данные в больших масштабах и сокращать ручной труд, необходимый для проведения атак, кибератаки с использованием ИИ становятся все более автоматизированными. Защита как человеческих, так и нечеловеческих идентичностей (NHI) теперь требует большего, чем просто аутентификация; организации должны внедрять непрерывный, контекстно-зависимый анализ поведения и детальный контроль доступа. Современные решения для управления привилегированным доступом (PAM), такие как Keeper, объединяют поведенческую аналитику, мониторинг сеансов в реальном времени и доступ JIT для защиты идентификационных данных в гибридных и мультиоблачных средах.

Примечание: эта статья была тщательно написана и предоставлена для нашей аудитории Эшли Д'Андреа, автором контента в Keeper Security.