Navigarea printre amenințările cibernetice și întărirea apărării în epoca inteligenței artificiale
În prezent, lumea securității cibernetice trece printr-o transformare masivă. Inteligența artificială (IA) este în fruntea acestei schimbări, reprezentând atât o amenințare, cât și o oportunitate. Cu toate că inteligența artificială are potențialul de a le permite organizațiilor să învingă atacurile cibernetice cu viteza mașinilor și să stimuleze inovația și eficiența în detectarea și căutarea activă a amenințărilor și în răspunsul la incidente, adversarii pot folosi inteligența artificială în cadrul operațiunilor. Proiectarea, implementarea și utilizarea inteligenței artificiale în condiții de siguranță au devenit mai importante ca oricând pentru noi.
La Microsoft, explorăm potențialul inteligenței artificiale pentru a ne îmbunătăți măsurile de securitate, pentru a descoperi protecții noi și avansate și pentru a crea software mai bun. Cu ajutorul inteligenței artificiale, avem puterea de a ne adapta concomitent cu evoluția amenințărilor, de a detecta instantaneu anomaliile, de a răspunde rapid pentru a neutraliza riscurile și de a personaliza apărarea în funcție de nevoile unei organizații.
Totodată, inteligența artificială ne poate ajuta să depășim una dintre cele mai mari provocări din domeniu. În contextul unui deficit global de forță de muncă în domeniul securității cibernetice, care necesită aproximativ 4 milioane de profesioniști în domeniul securității cibernetice la nivel mondial, inteligența artificială are potențialul de a fi un instrument esențial pentru a reduce deficitul de specialiști și pentru a le permite apărătorilor să fie mai productivi.
Deja am demonstrat cu ajutorul unui studiu modul în care Copilot pentru securitate poate sprijini analiștii de securitate, indiferent de nivelul lor de experiență: în cadrul tuturor activităților, participanții au fost cu 44% mai preciși și cu 26% mai rapizi.
Pe măsură ce încercăm să ne securizăm viitorul, trebuie să ne asigurăm că stabilim un echilibru între pregătirea în siguranță pentru inteligența artificială și valorificarea avantajelor acesteia, deoarece inteligența artificială are puterea de a spori potențialul uman și de a soluționa unele dintre cele mai dificile provocări.
Un viitor mai securizat cu ajutorul inteligenței artificiale va necesita progrese fundamentale în domeniul ingineriei de software. Va fi nevoie să înțelegem și să contracarăm amenințările datorate inteligenței artificiale ca fiind o componentă esențială a oricărei strategii de securitate. Și trebuie să conlucrăm pentru a construi colaborări și parteneriate strânse între sectorul public și cel privat pentru a combate actorii rău intenționați.
În cadrul acestui demers și al propriei noastre Inițiative pentru un viitor securizat, OpenAI și Microsoft publică astăzi noi informații care detaliază încercările actorilor de amenințare de a testa și explora utilitatea modelelor lingvistice mari (LLM) în tehnicile de atac.
Sperăm că aceste informații vor fi utile pentru toate domeniile de activitate, în condițiile în care cu toții ne străduim să construim un viitor mai securizat. Pentru că, în cele din urmă, cu toții suntem apărători.
Bret Arsenault,
CVP, Consilier principal pentru securitate cibernetică
CVP, Consilier principal pentru securitate cibernetică
Urmăriți informarea digitală Semnale Cibernetice, în care Vasu Jakkal, vicepreședinte corporativ pentru securitate la Microsoft, discută cu experți de top în domeniul investigării amenințărilor despre provocările securității cibernetice în era inteligenței artificiale, strategiile Microsoft de utilizare a inteligenței artificiale pentru o securitate întărită și măsurile pe care organizațiile le pot adopta pentru a-și consolida sistemele de apărare.
Atacatorii explorează tehnologiile de inteligență artificială
Amenințările cibernetice devin tot mai dificile, atacatorii fiind tot mai motivați, mai sofisticați și mai bine dotați cu resurse. Atât actorii de amenințare, cât și apărătorii se orientează către inteligența artificială, inclusiv către LLM-uri, pentru a-și spori productivitatea și a putea beneficia de platforme accesibile care ar putea corespunde obiectivelor și tehnicilor lor de atac.
Având în vedere evoluția rapidă a amenințărilor, astăzi vom anunța principiile Microsoft care ne ghidează acțiunile de atenuare a riscului reprezentat de actorii de amenințare, inclusiv amenințările persistente avansate (APT), manipulatorii persistenți avansați (APM) și grupările de infractori cibernetici, care utilizează platformele de inteligență artificială și API-uri. Principiile respective includ identificarea și luarea de măsuri împotriva utilizării inteligenței artificiale de către actorii rău intenționați, notificarea altor furnizori de servicii de inteligență artificială, colaborarea cu alte părți interesate și transparența.
Deși motivele și gradul de sofisticare al actorilor de amenințare variază, aceștia au activități comune atunci când lansează atacuri. Printre acestea se numără recunoașterea, cum ar fi cercetarea domeniilor de activitate, a locațiilor și a relațiilor potențialelor victime, codarea, inclusiv îmbunătățirea scripturilor de software și dezvoltarea de malware și acordarea de asistență pentru învățarea și utilizarea limbajelor umane și automate.
Statele naționale încearcă să profite de inteligența artificială
În colaborare cu OpenAI, împărtășim informații despre investigarea amenințărilor care dezvăluie că au fost detectați adversari afiliați unor state, monitorizați sub numele de Forest Blizzard, Emerald Sleet, Crimson Sandstorm, Charcoal Typhoon și Salmon Typhoon, care folosesc LLM-uri pentru a-și intensifica operațiunile cibernetice.
Obiectivul parteneriatului de cercetare dintre Microsoft și OpenAI este de a garanta o utilizare sigură și responsabilă a tehnologiilor de inteligență artificială, cum ar fi ChatGPT, respectând cele mai înalte standarde de utilizare etică pentru a proteja comunitatea de posibile abuzuri.
Forest Blizzard (STRONTIUM), un actor extrem de eficient al serviciilor de informații militare rusești care are legături cu Direcția principală a Statului Major General al Forțelor Armate ale Rusiei sau Unitatea GRU 26165, a vizat victime de interes tactic și strategic pentru guvernul rus. Activitățile sale acoperă o varietate de domenii, inclusiv domeniul apărării, transport/logistică, administrația publică, sectorul energetic, ONG-urile și tehnologia informației
Emerald Sleet (Velvet Chollima) este un actor de amenințare nord-coreean pe care Microsoft l-a descoperit substituind identitatea unor instituții universitare și a unor ONG-uri de renume pentru a atrage victimele și a le convinge să furnizeze informații și declarații specializate privind politicile externe referitoare la Coreea de Nord.
Utilizarea de către Emerald Sleet a LLM-urilor a presupus cercetarea unor grupuri de analiză și a unor experți în domeniul Coreei de Nord, precum și generarea de conținut susceptibil de a fi utilizat în campaniile de phishing țintit. De asemenea, Emerald Sleet a interacționat cu LLM-uri pentru a înțelege vulnerabilitățile de interes public, pentru a depana probleme tehnice și pentru a obține asistență în utilizarea unor tehnologii web diverse.
Crimson Sandstorm (CURIUM) este un actor de amenințare iranian considerat ca fiind conectat la Corpul Gărzilor Revoluționare Islamice (IRGC). Utilizarea LLM-urilor a presupus solicitări de asistență pentru inginerie socială, ajutor la depanarea erorilor, dezvoltare .NET și metode prin care un atacator ar putea evita detectarea atunci când se află pe o mașină compromisă.
Charcoal Typhoon (CHROMIUM) este un actor de amenințare afiliat la China, care se concentrează predominant pe urmărirea grupărilor din Taiwan, Thailanda, Mongolia, Malaezia, Franța, Nepal și a persoanelor care se opun politicilor Chinei la nivel global. În contextul operațiunilor recente, gruparea Charcoal Typhoon a fost surprinsă făcând apel la LLM-uri pentru a obține detalii despre cercetări în vederea înțelegerii unor tehnologii, platforme și vulnerabilități specifice, ceea ce indică etape preliminare de colectare a informațiilor.
O altă grupare susținută de China, Salmon Typhoon, a evaluat eficiența utilizării LLM-urilor pe parcursul anului 2023 pentru a obține informații despre subiecte care ar putea fi confidențiale, persoane importante, geopolitică regională, influența SUA și afaceri interne. Este posibil ca aceste tentative de interacțiune cu LLM-urile să reflecte atât o extindere a setului de instrumente de colectare a informațiilor, cât și o etapă experimentală în evaluarea capacităților tehnologiilor emergente.
Cercetările noastre efectuate cu OpenAI nu au identificat atacuri semnificative care să utilizeze LLM-urile pe care le monitorizăm îndeaproape.
Am luat măsuri pentru a întrerupe activele și conturile asociate cu acești actori de amenințare și pentru a configura mecanismele de protecție și de siguranță de la nivelul modelelor noastre.
Se conturează și alte amenințări legate de inteligența artificială
Frauda pe platformă de inteligență artificială este o altă preocupare majoră. Un exemplu în acest sens este sinteza vocală, care, cu un eșantion vocal de trei secunde, poate antrena un model pentru ca acesta să semene cu oricine. Chiar și un lucru inofensiv, precum mesajul de întâmpinare al poștei vocale, poate fi utilizat pentru a obține un eșantion suficient.
Majoritatea interacțiunilor și afacerilor pe care le desfășurăm se bazează pe verificarea identității, cum ar fi recunoașterea vocii, a chipului, a adresei de e-mail sau a stilului de scris al unei persoane.
Este esențial să înțelegem modul în care actorii rău intenționați utilizează inteligența artificială pentru a submina sistemele consacrate de verificare a identității, pentru a putea aborda cazurile complexe de fraudă și alte amenințări emergente de inginerie socială care maschează identitățile.
Totodată, inteligența artificială poate fi utilizată pentru a ajuta companiile să contracareze tentativele de fraudă. Deși Microsoft și-a încheiat colaborarea cu o companie din Brazilia, sistemele noastre de inteligență artificială au detectat tentativele acesteia de a se reconstitui pentru a reintra în ecosistemul nostru.
Gruparea a încercat în mod continuu să-și ascundă informațiile, să-și mascheze originea proprietății și să reintre în sistem, dar sistemele noastre de detectare prin inteligență artificială au apelat la circa douăsprezece semnale de risc pentru a identifica compania cu comportament fraudulos și pentru a o asocia cu un comportament suspect recunoscut anterior, blocându-i astfel tentativele.
Microsoft se angajează să asigure o inteligență artificială responsabilă, condusă de oameni , care să ofere confidențialitate și securitate, cu oameni care să asigure controlul, să evalueze apelurile și să interpreteze politicile și reglementările.
Informați angajații și publicul cu privire la riscurile cibernetice:
- Utilizați politici de acces condiționat: Aceste politici oferă îndrumări clare, care se implementează singure pentru a vă consolida postura de securitate și care vor proteja automat entitățile găzduite pe baza semnalelor de risc, a licențelor și a utilizării. Politicile de acces condiționat sunt personalizabile și se vor adapta conform evoluției amenințărilor cibernetice.
- Instruiți și reinstruiți angajații cu privire la tacticile de inginerie socială: Educați angajații și publicul în vederea recunoașterii și reacționării la e-mailurile de phishing, vishing (poștă vocală), smishing (SMS/text), atacuri de inginerie socială și puneți în aplicare cele mai bune practici de securitate pentru Microsoft Teams.
- Protejați riguros datele: Asigurați-vă că datele rămân private și controlate în întregime.
- Valorificați instrumentele de securitate cu inteligență artificială generativă: Instrumentele precum Microsoft Copilot pentru securitate pot extinde capacitățile și pot îmbunătăți postura de securitate a organizației.
- Activați autentificarea multifactor: Activați autentificarea multifactor pentru toți utilizatorii, în special pentru funcțiile de administrator, deoarece aceasta reduce riscul de însușire a conturilor cu peste 99 %.
Apărarea împotriva atacurilor
Microsoft își menține avantajul cu o securitate completă combinată cu inteligența artificială generativă
Microsoft detectează o cantitate imensă de trafic rău intenționat – peste 65 de trilioane de semnale de securitate cibernetică pe zi. Inteligența artificială ne îmbunătățește capacitatea de a analiza aceste informații și de a ne asigura că detaliile cele mai utile sunt evidențiate pentru a contribui la combaterea amenințărilor. De asemenea, utilizăm această inteligență a semnalelor pentru a alimenta inteligența artificială generativă privind protecția avansată împotriva amenințărilor, securitatea datelor și securitatea identității, pentru a-i sprijini pe apărători să detecteze ceea ce altora le scapă.
Microsoft utilizează mai multe metode pentru a se proteja pe sine și pe clienții săi de amenințările cibernetice, inclusiv detectarea amenințărilor cu ajutorul inteligenței artificiale pentru a identifica modificări în modul în care sunt utilizate resursele sau traficul din rețea; analiza comportamentală pentru a detecta conectările riscante și comportamentul anomal; modele de învățare programată (ML) pentru a detecta conectările riscante și malware-ul; modele Zero Trust, conform cărora fiecare solicitare de acces trebuie să fie complet autentificată, autorizată și criptată; și verificarea stării dispozitivului înainte ca acesta să se poată conecta la o rețea corporativă.
Deoarece actorii de amenințare înțeleg că Microsoft utilizează în mod riguros autentificarea multifactor (MFA) pentru a se proteja – toți angajații noștri sunt configurați astfel încât să beneficieze de MFA sau de protecție fără parolă – am remarcat că atacatorii au apelat la inginerie socială în încercarea de a ne compromite angajații.
În acest sens, printre punctele fierbinți se numără domeniile în care se transmit elemente de valoare, cum ar fi versiunile de încercare gratuită sau prețurile promoționale ale serviciilor sau produselor. În aceste domenii, pentru atacatori nu este rentabil să fure abonamente pe rând, așa că ei încearcă să operaționalizeze și să scaleze aceste atacuri fără a fi detectați.
Bineînțeles, construim modele de inteligență artificială pentru a detecta aceste atacuri în beneficiul companiei Microsoft și al clienților noștri. Detectăm conturi false ale cursanților și instituțiilor de învățământ, precum și companii sau organizații false care și-au modificat informațiile firmografice sau și-au mascat identitatea reală pentru a evita sancțiuni, eluda controale sau ascunde antecedente penale, cum ar fi condamnări pentru acte de corupție, tentative de furt și altele asemenea.
Utilizarea GitHub Copilot, Microsoft Copilot pentru securitate și a altor funcții de chat cu copilot integrate în infrastructura noastră internă de inginerie și operațiuni ajută la prevenirea incidentelor care ar putea afecta operațiunile.
Pentru a face față amenințărilor prin e-mail, Microsoft îmbunătățește capacitățile de a detecta semnale dincolo de conținutul unui e-mail pentru a înțelege dacă acesta este rău intenționat. Având în vedere că inteligența artificială se află la dispoziția actorilor de amenințare, a apărut un aflux de e-mailuri perfect redactate, care îmbunătățesc erorile lingvistice și gramaticale evidente care demonstrează frecvent tentativele de phishing, ceea ce le face mai greu de detectat.
Este nevoie de o educare continuă a angajaților și de campanii de informare a publicului pentru a contribui la combaterea ingineriei sociale, singura tehnică bazată în proporție de 100% pe eroarea umană. Am învățat din experiențele trecute că o campanie eficientă de informare publică poate schimba comportamentele.
Microsoft preconizează că inteligența artificială va evolua tacticile de inginerie socială, creând atacuri mai sofisticate, inclusiv deepfake-uri și clonarea vocii, în special dacă atacatorii vor găsi tehnologii cu inteligență artificială care funcționează fără practici responsabile și controale de securitate încorporate.
Prevenirea este esențială pentru combaterea tuturor amenințărilor cibernetice, fie că este vorba de amenințări tradiționale sau de amenințări bazate pe inteligență artificială.
Recomandări:
Aplicați controale bazate pe inteligență artificială asupra furnizorilor și evaluați în mod constant adecvarea acestora: Pentru fiecare soluție cu inteligență artificială integrată în întreprinderea dvs., identificați caracteristicile specifice oferite de furnizori care restricționează accesul la inteligență artificială pentru angajații și echipele care utilizează această tehnologie, asigurându-vă astfel că adoptarea inteligenței artificiale se face în condiții de maximă siguranță și conformitate. Reuniți părțile interesate în ceea ce privește riscul cibernetic din cadrul organizației pentru a se alinia cu privire la cazurile de utilizare a inteligenței artificiale definite pentru angajați și la controalele de acces. Liderii în materie de risc și reprezentanții CISO ar trebui să stabilească în mod regulat în ce măsură cazurile de utilizare și politicile sunt adecvate sau dacă acestea trebuie să se schimbe pe măsură ce evoluează obiectivele și învățămintele dobândite.
Protejați-vă împotriva injectării de solicitări: Implementați validarea strictă și igienizarea informațiilor introduse pentru solicitările furnizate de utilizatori. Utilizați filtrarea în funcție de context și codificarea ieșirii pentru a preveni manipularea solicitărilor. Actualizați și perfecționați cu regularitate LLM-urile pentru a le îmbunătăți înțelegerea informațiilor introduse cu rea intenție și a cazurilor particulare. Monitorizați și înregistrați interacțiunile LLM-urilor pentru a detecta și analiza eventualele tentative de injectare de solicitări.
Impuneți transparența la nivelul întregului lanț de aprovizionare al inteligenței artificiale: Cu ajutorul unor practici clare și transparente, evaluați toate domeniile în care inteligența artificială ar putea intra în contact cu datele organizației, inclusiv prin intermediul partenerilor și furnizorilor terți. Utilizați relațiile cu partenerii și echipele interfuncționale de risc cibernetic pentru a explora învățămintele și pentru a remedia eventualele lacune rezultate. Menținerea programelor actuale de Zero Trust și de guvernare a datelor este mai importantă ca oricând în era inteligenței artificiale.
Concentrați-vă pe comunicare: Liderii în domeniul riscului cibernetic trebuie să recunoască faptul că angajații observă impactul și beneficiile inteligenței artificiale în viețile personale și vor dori, în mod natural, să exploreze aplicarea unor tehnologii similare în mediile de muncă hibridă. Reprezentanții CISO și alți lideri responsabili cu gestionarea riscului cibernetic pot distribui și amplifica în mod proactiv politicile organizației lor privind utilizarea și riscurile inteligenței artificiale, inclusiv care sunt instrumentele cu inteligență artificială desemnate ca fiind aprobate pentru întreprindere și punctele de contact pentru acces și informații. Comunicațiile proactive ajută la informarea și responsabilizarea angajaților, reducând în același timp riscul ca aceștia să pună în contact inteligența artificială negestionată cu activele IT ale întreprinderii.
Obțineți mai multe detalii despre inteligența artificială de la Homa Hayatafar, manager principal de date și științe aplicate, manager de analiză a detectării.
Instrumentele tradiționale nu mai țin pasul cu amenințările reprezentate de infractorii cibernetici. Viteza, amploarea și sofisticarea tot mai mari ale atacurilor cibernetice recente necesită o nouă abordare a securității. În plus, având în vedere deficitul de forță de muncă din domeniul securității cibernetice și faptul că amenințările cibernetice sunt tot mai frecvente și mai grave, remedierea acestui deficit de competențe este o necesitate urgentă.
Inteligența artificială poate influența situația în favoarea apărătorilor. Un studiu recent al Microsoft Copilot pentru securitate (aflat în prezent în faza de testare în versiune preliminară pentru clienți) a constatat o creștere a vitezei și acurateței analiștilor de securitate, indiferent de nivelul lor de competență, în ceea ce privește activitățile comune, cum ar fi identificarea scripturilor utilizate de atacatori, crearea de rapoarte de incident și identificarea măsurilor de remediere adecvate..1
- 44% mai multă acuratețe în privința tuturor activităților pentru utilizatorii Copilot pentru securitate1
- 26% mai rapid în ceea ce privește toate activitățile pentru utilizatorii Copilot pentru securitate1
- 90% au afirmat că își doresc să utilizeze Copilot data viitoare când vor efectua aceeași activitate1
- [1]
Metodologie:1 Datele instantanee reprezintă un studiu controlat randomizat (RCT), în cadrul căruia am testat 149 de persoane pentru a măsura impactul asupra productivității prin utilizarea Microsoft Copilot pentru securitate. În cadrul acestui studiu controlat randomizat, am distribuit în mod aleatoriu Copilot doar unora dintre analiști, pentru a deduce efectul Copilotului prin compararea performanței și percepțiilor acestora, izolând astfel impactul pur al Copilotului de orice alt factor inițial. Subiecții testului dețineau competențe IT fundamentale, dar erau începători în domeniul securității, astfel că am putut testa modul în care Copilot îi ajută pe analiștii aflați la început de carieră. Studiul controlat randomizat Microsoft Copilot pentru securitate a fost realizat de Biroul economistului-șef al Microsoft, în noiembrie 2023. În plus, Microsoft Entra ID a furnizat date anonimizate privind activitatea de amenințare, cum ar fi conturile de e-mail rău intenționate, e-mailurile de phishing și mișcările atacatorilor în rețele. Detaliile suplimentare provin din cele 65 de trilioane de semnale de securitate zilnice obținute în cadrul Microsoft, inclusiv din cloud, puncte finale, perimetrul inteligent, de la echipele noastre de Practici de recuperare a securității în caz de compromitere și Detectare și răspuns, din telemetria platformelor și serviciilor Microsoft, inclusiv Microsoft Defender, precum și din Raportul de protecție digitală Microsoft din 2023.