Sztuczna inteligencja dla bezpieczeństwa IT

CRN W ostatnich latach kilka firm zajmujących się zabezpieczaniem infrastruktury IT wprowadziło do swojej oferty narzędzia do ochrony danych. Inne zaś, w tym Acronis, rozszerzają asortyment oprogramowania do backupu o rozwiązania cyberochronne. Zdaje się więc, że mamy do czynienia z pewnym istotnym trendem. Jakie są tego przyczyny?

Stanislav Protassov To rzeczywiście nowy trend, a przyczyna jego zaistnienia jest dość prosta. Dziś praktycznie każde urządzenie IT w firmie, które można podłączyć do sieci, jest też podłączone do internetu. Jeszcze 10–20 lat temu tak nie było. Dbano wręcz o to, aby komputery, na których znajdowały się poacronisufne lub strategiczne zasoby firmy, były odłączone od sieci. To jednak generowało różnego typu problemy, przede wszystkim brak możliwości zdalnego zarządzania takim sprzętem lub prowadzenia backupu zgromadzonych danych na centralny serwer. Tymczasem dziś niemal wszystko, co ma wbudowaną przewodową lub bezprzewodową kartę sieciową – komputery, telefony, urządzenia RTV, różnego typu akcesoria – jest podłączone do internetu. Do chmury, która zmieniła sposób, w jaki korzystamy z usług IT, trafiają różnego typu dane. Dlatego trzeba je zabezpieczyć nie tylko przed przypadkowym usunięciem, ale także przed dostępem do nich niepowołanych osób.

Czy zatem postawiliście sobie za cel tylko zabezpieczanie danych backupowanych za pomocą własnego oprogramowania, czy też chcecie stać się jednym z setek dostawców z branży bezpieczeństwa IT?

Na pewno nie zamierzamy konkurować z największymi na świecie dostawcami rozwiązań ochronnych. Raczej będziemy współpracować, tworzyć produkty w dziedzinach, na których najlepiej się znamy. Lepsze zabezpieczenie backupowanych danych przed wyciekiem to tylko jedno z zadań, które sobie postawiliśmy. Zamierzamy wprowadzić do oferty całą platformę ochronną, która jednak będzie pracowała o warstwę wyżej niż klasyczne antywirusy i inne tego typu rozwiązania. Zapewni szereg przydatnych administratorom funkcji, takich jak zarządzanie procesem aktualizacji oprogramowania, ocenę poziomu zagrożenia środowiska IT, weryfikację poprawności pracy rozwiązań ochronnych itp.

Jakiego rodzaju zagrożenia sprawiają najwięcej problemów?

Sytuacja zmienia się bardzo dynamicznie. Analitycy wyróżniają obecnie ponad 40 rodzajów zagrożeń, które mogą poważnie zakłócić pracę środowisk IT. Przez ostatnie lata oczywiście najgroźniejszym był ransomware, ale ryzyko jego skutecznego działania udało się znacząco obniżyć. Oczywiście nie oznacza to, że oprogramowanie szyfrujące wkrótce przejdzie do historii, ale dziś, chociażby dzięki sztucznej inteligencji, łatwiej wykryć obecność ransomware’u i jego działanie. Wystarczy zaobserwować, że przez dłuższy czas jedna aplikacja uzyskuje dostęp do wielu plików na komputerze i zmienia ich treść.

Czego zatem powinniśmy zacząć obawiać się wkrótce?

Coraz częściej cyberprzestępczość przenika się ze światem fizycznym. Komputery są dziś obecne w każdej dziedzinie życia, umożliwiają uproszczenie lub zautomatyzowanie wielu procesów. Niewykluczone jednak, że to okaże się przekleństwem naszych czasów, bo ingerencja w pracę komputerów może spowodować fizyczne zagrożenie. Byliśmy już świadkami zakłócenia przez cyberataki pracy ośrodków jądrowych i rafinerii, hakerzy udowodnili też, że mogą zdalnie wpłynąć na funkcjonowanie samochodów autonomicznych. Tego typu ataki będą znacznie poważniejsze w skutkach niż włamanie na bankowe konto i wyczyszczenie go.

Kto i jaki może mieć cel w tego typu działaniach?

Generalnie ma to związek z szeroko pojętą polityką. Bezpieczeństwo kraju zawsze przecież stanowiło priorytet dla rządzących. A dziś ingerowanie w struktury ochronne innych państw za pomocą cyfrowych narzędzi jest znacznie prostsze niż „starodawne” wypowiadanie klasycznej wojny. Rozwiązania IT w tym zakresie są więc już wykorzystywane masowo i na pewno będą stosowane w przyszłości. W interesie cyberprzestępców leży często, aby dana opcja polityczna była u władzy, zarówno w kraju, którego są obywatelami, jak i w innych. Z pewnością zatem coraz częściej będziemy świadkami wpływania na wyniki wyborów przez manipulowanie opinią publiczną, ingerowanie w proces zbierania i liczenia głosów itp. W ciągu ostatnich 20 lat cyberprzestępczość stała się prawdziwą branżą.

Ale przez ten czas ataki były prowadzone głównie w celu uzyskania korzyści majątkowej – kradzieży pieniędzy, wymuszenia okupu, kopania kryptowalut. Jak zleceniodawcy mogą zarabiać na atakach planowanych na szczeblu centralnym państw?

Rzeczywiście, najpierw tworzenie wirusów i innych narzędzi ataku było rozrywką dla umysłu, często wynikało z chęci udowodnienia sobie czegoś lub zaimponowania innym. Potem pojawiły się materialne korzyści, uzyskiwanie mniej lub bardziej bezpośrednio. Możliwość wpływania na politykę też zapewnia korzyści, także materialne, chociaż w znacznie dłuższej perspektywie czasu i nie tylko cyberprzestępcom. Warto zauważyć, że coraz częściej ataki przeprowadzane są na zlecenie, traktowane są jak normalne usługi, za które sprawca przyjmuje wynagrodzenie. A jaki cel ma zleceniodawca? Czasami robi się to dla idei, w ramach działań cyberterrorystycznych, albo w celu skompromitowania osoby publicznej, doprowadzenia do czyjegoś samobójstwa itd.

Zawsze jednak atakowana jest konkretna firma, instytucja lub organizacja. Jak oceniacie poziom zabezpieczeń danych i infrastruktury na całym świecie? Czy jest satysfakcjonujący, czy raczej wszędzie jest jeszcze wiele do zrobienia?

Poziom ochrony rośnie bardzo szybko, na co wpływ mają doniesienia medialne o nowych zagrożeniach lub własne doświadczenia przedsiębiorstw z cyberprzestępczością. Dlatego wdrażane są nowe rozwiązania, szkoleni pracownicy, wprowadzane kolejne regulacje itd. Problem tylko w tym, że po takim „zrywie” często zakładają, iż problem został rozwiązany i można wrócić do niego dopiero po jakimś czasie. Takie podejście to ogromny błąd, bo zagrożenia nieustannie ewoluują i nie tylko cały czas trzeba być na bieżąco w kwestiach związanych z bezpieczeństwem, ale konieczne jest rozbudowywanie cyberochronnej tarczy. Można to porównać do sytuacji ze szczepieniami: w dzieciństwie jesteśmy szczepieni na różne choroby – to podstawa, jak antywirus czy firewall. Ale gdy pojawia się inna pandemiczna choroba, rodzi się konieczność dodatkowego szczepienia – to jak wdrożenie nowych systemów ochronnych w reakcji na nowe zagrożenia. Gdy podróżujemy do kraju, w którym występują choroby niespotykane w naszej ojczyźnie, musimy poddać się kolejnym szczepieniom – to porównanie do sytuacji, gdy firma zaczyna działać w nowym obszarze, np. finansowym, dla którego charakterystyczne są zagrożenia niespotykane nigdzie indziej. Szczepić się więc trzeba, ale należy też pamiętać, że czasami szczepionka może nie zadziałać.

Na rynku systemów cyberochronnych dostawców jest kilkuset i bywa, że korporacje korzystają z kilkudziesięciu rozwiązań. To rodzi problemy z efektywnym zarządzaniem oraz niesie ze sobą ryzyko nieprawidłowych ustawień konfiguracyjnych. Czy istnieje metoda doboru dostawców, która przynajmniej w pewnym stopniu zminimalizuje te bolączki?

Rzeczywiście, na rynku rozwiązań dla centrów danych działa kilku dostawców, którzy mają tak szerokie portfolio, że bez wysiłku można wykorzystać je do zbudowania całego środowiska IT. W przypadku produktów zabezpieczających tak nie jest, co wynika przede wszystkim z rosnącego skomplikowania ataków. Producenci rozwiązań ochronnych mają różne wizje radzenia sobie z tymi problemami oraz nadzieję, że znajdą sposób idealny i dzięki niemu zarobią duże pieniądze. Kłopotliwe jest też rzadkie przystosowanie do współpracy tego typu narzędzi różnych producentów. Staramy się trochę to zmienić – w naszym oprogramowaniu zostanie zaimplementowany interfejs API, z którego inne firmy będą mogły korzystać. Bardzo byśmy sobie życzyli, żeby inni też przyjęli taką postawę.

Czy zatem przedsiębiorstwo, które dysponuje dużym budżetem, skazane jest na korzystanie z rozwiązań od dziesiątek dostawców?

Niestety tak, bardzo dużą rolę odgrywa jednak ich odpowiedni dobór. Konieczne jest prowadzenie wielu testów weryfikujących poprawną pracę danego rozwiązania w środowisku firmy, aby jeden system zabezpieczający nie oddziaływał negatywnie na pracę drugiego. Chciałbym zwrócić uwagę na jeszcze jeden aspekt. Badania wskazują, że w przypadku około 90 proc. udanych ataków wpływ na ich powodzenie miał człowiek, najczęściej pracownik zaatakowanej instytucji. Jeżeli ktoś ma duże sumy do wydania na rozwiązania ochronne, niech część przeznaczy na szkolenia administratorów i pracowników. W ten sposób zdecydowanie zmniejszy ryzyko udanego ataku.

Czy podobny problem dotyczy rozwiązań Internetu rzeczy? Producenci rozwiązań ochronnych twierdzą, że to twórcy tych „rzeczy” powinni zadbać o ich zabezpieczenie, bo stworzenie uniwersalnych narzędzi, zabezpieczających zarówno elektroniczne nianie, jak i czujniki w oknach czy lodówki, nie jest po prostu możliwe…

To bardzo ważny i chyba wciąż niewystarczająco doceniany temat. Faktem jest, że w tej dziedzinie mamy do czynienia z prawdziwą katastrofą. Na początku nikt nie sądził, że będą potrzebne rozbudowane zabezpieczenia, bo komu przyjdzie do głowy włamywanie się do kamer lub czujników. Ale mieliśmy już do czynienia z malware’em, który przekształcał urządzenia Internetu rzeczy w sieć botów wykorzystywaną do prowadzenia ataków DDoS. Logika podpowiada, że niemożliwe jest stworzenie uniwersalnego narzędzia ochronnego, podobnego do antywirusa, ale myślę, że będzie to konieczne, choć takie narzędzie będzie działało w inny sposób. Już teraz różne organizacje próbują wypracować standardy ochrony dla rozwiązań Internetu rzeczy gwarantujące większe bezpieczeństwo od razu po podłączeniu ich do sieci (np. nie będą stosowane uniwersalne hasła, których często nikt później nie zmienia). Można wyposażyć osprzęt sieciowy w mechanizm sprawdzający, czy podłączone do sieci urządzenie IoT spełnia minimalne wymagania określone przez ten standard. Jeśli nie, jego funkcjonowanie w tej sieci zostanie zablokowane.

Czy w tej dziedzinie może pomóc sztuczna inteligencja? Niemal każdy producent rozwiązań ochronnych twierdzi, że ją stosuje, chociaż odnosi się wrażenie, że czasami to rozbudowany mechanizm automatyzujący. Czy zatem rzeczywiście tak łatwo zastosować uczenie maszynowe i korzystać z jego pozytywnych skutków?

Oczywiście, sztuczna inteligencja jest potrzebna i już się rozpowszechniła, bo to jedyne narzędzie umożliwiające poradzenie sobie ze skomplikowanymi atakami, prowadzonymi na szeroką skalę. Dobry silnik antywirusowy wykrywa 99,9 proc. zagrożeń, a sztuczna inteligencja wspiera w przypadku tej pozostałej 0,1 proc. – pomaga zaklasyfikować podejrzany kod lub działanie aplikacji jako rzeczywiste zagrożenie lub fałszywy alarm. Trzeba jednak pamiętać, że to nadal tylko jedno z wielu narzędzi. Samo zastosowanie sztucznej inteligencji nie rozwiąże wszystkich problemów, tym bardziej że zainteresowani są już nią cyberprzestępcy. Z pewnością będą chcieli dzięki niej zwiększyć skuteczność ataków, ale też podejmują próby oszukiwania mechanizmów sztucznej inteligencji w rozwiązaniach ochronnych.

Jak już wspomnieliśmy, największe zagrożenie dla środowisk IT w firmach stanowią użytkownicy. Czy sztuczna inteligencja może korygować niezbyt inteligentne zachowania użytkowników podatnych na sztuczki inżynierii społecznej i phishing?

Jak najbardziej tak, w tej dziedzinie widzę bardzo duży potencjał. To tylko kwestia czasu, gdy pojawią się mechanizmy ostrzegające, aby nie klikać w link w danym e-mailu, nawet jeśli to nie była masowa akcja phishingowa, ale korespondencja skierowana wyłącznie do jednej lub kilku osób. Albo ostrzegające przed wysyłaniem komuś poufnych informacji przed upewnieniem się, że rzeczywiście ta osoba ma prawo je dostać. Z wykorzystaniem sztucznej inteligencji wykrywanie nietypowego, różniącego się od zarejestrowanych wzorców zachowania użytkowników jest dość proste. Trudniej zrozumieć jego przyczyny, określić związane z nim ryzyko i wybrać sposób reagowania.

Z jednej strony działy IT miewają problemy z edukacją użytkowników, z drugiej nie brakuje konfliktów między współpracującymi ze sobą firmami. Gdy powiedzie się duży atak, często nikt nie chce wziąć na siebie odpowiedzialności. Klienci twierdzą, że zabezpieczyli się najlepszym rozwiązaniem, jego producent mówi, że integrator źle je wdrożył itd. Jak zorganizować komunikację między tymi podmiotami, aby ustalić zakresy odpowiedzialności i mieć możliwość wskazania winnego lub współwinnego, gdy wystąpi problem?

Wszyscy wiemy, że sukces ma wielu ojców, a porażka jest sierotą… Nikt nie chce być odpowiedzialny za zaistniały problem. Dlatego bardzo ważne są kwestie prowadzenia audytów wdrożeniowych, utrzymaniowych oraz weryfikacji autentyczności zgromadzonych w ten sposób danych. My zaczęliśmy stosować mechanizm blockchain, ponieważ dzięki niemu informacje w bazie danych są rozproszone i zagwarantowana jest ich trwałość. W trakcie reagowania na incydent i analizowania jego przyczyn tylko dzięki przechowywaniu logów z audytów można prześledzić, przykładowo, historię zmian konfiguracyjnych w urządzeniach sieciowych. Ważne jest też, aby współpracujące przedsiębiorstwa ustaliły, że w przypadku udanego ataku nie będą się wzajemnie oskarżać, ale wspólnie szukać jego przyczyn, ustalić, co zawiodło, i w jaki sposób unikać takich incydentów w przyszłości.

Szczególną rolę we wdrażaniu rozwiązań ochronnych odgrywają integratorzy. Tymczasem krążą opinie, że z powodu skomplikowania systemów ich wdrożenia powinien dokonywać przedstawiciel producenta, co ogranicza funkcję integratora do dostawcy towaru. Czy rzeczywiście istnieje ryzyko, że rola integratorów zostanie tak bardzo „spłaszczona”?

Faktem jest, że poziom skomplikowania rozwiązań ochronnych stale rośnie, ale nie wierzę, że producenci, nawet zdalnie, byliby w stanie obsłużyć wszystkich klientów w zakresie wdrożenia owych rozwiązań. Zresztą tu wraca problem, o którym rozmawialiśmy wcześniej – w dużych firmach funkcjonuje kilkadziesiąt systemów ochronnych i tylko integrator potrafi dopasować je do siebie i zapewnić bezkolizyjną pracę. Dlatego uważam, że integratorzy mają olbrzymią szansę biznesową, ale dużą część energii powinni poświęcać na edukację.

Rozmawiał
Krzysztof Jakubik