Fortinet, światowy lider w dziedzinie szerokich, zintegrowanych i zautomatyzowanych rozwiązań cyberochronnych, przedstawił prognozy zespołu FortiGuard Labs dotyczące krajobrazu zagrożeń w roku 2020 i późniejszym okresie. Eksperci Fortinet zaprezentowali w nich metody, które – jak przewidują – cyberprzestępcy będą stosować w najbliższej przyszłości. Wskazano też na ważne strategie, które pomogą firmom chronić się przed nadchodzącymi atakami.
Zmiana trajektorii cyberataków
Metody prowadzenia cyberataków stały się w ostatnich latach bardziej wyrafinowane, przez co wzrosła ich skuteczność i szybkość. Tendencja ta prawdopodobnie będzie się utrzymywać, dopóki przedsiębiorstwa nie zmienią sposobu myślenia o swojej strategii bezpieczeństwa. Zasięg spotykanych w globalnej skali cyberzagrożeń, ich poziom wyrafinowania oraz szybkość modyfikowania powodują, że przedsiębiorstwa muszą być gotowe do reagowania w czasie rzeczywistym z prędkością maszyny, aby skutecznie przeciwdziałać agresywnym atakom. Zasadnicze znaczenie w tej walce będą miały postępy w wykrywaniu zagrożeń z wykorzystaniem sztucznej inteligencji (AI).
Ewolucja sztucznej inteligencji jako systemu
Jednym z celów rozwoju sztucznej inteligencji specjalizującej się w bezpieczeństwie jest stworzenie adaptacyjnego układu odpornościowego dla sieci, podobnego do tego w ludzkim ciele. Pierwsza generacja tego typu rozwiązań została zaprojektowana do korzystania z modeli uczenia maszynowego w celu zbierania danych, korelowania ich, a następnie określania konkretnego kierunku działania.
Druga generacja sztucznej inteligencji wykorzystuje coraz bardziej wyrafinowaną zdolność wykrywania wzorców, aby znacznie poprawić takie obszary, jak kontrola dostępu, poprzez dystrybucję węzłów edukacyjnych w całym środowisku. W trzeciej generacji natomiast, zamiast polegać na centralnym, monolitycznym centrum przetwarzania, sztuczna inteligencja połączy swoje regionalne węzły uczące się, aby lokalnie zgromadzone dane mogły być udostępniane, korelowane i analizowane w bardziej rozproszony sposób.
Federacyjne uczenie maszynowe
Oprócz wykorzystania tradycyjnych form analizy zagrożeń zbieranych z różnego typu kanałów informacyjnych lub pochodzących z przeprowadzanej wewnętrznie analizy ruchu i danych, uczenie maszynowe będzie ostatecznie bazować na mnóstwie istotnych informacji spływających z nowych urządzeń brzegowych do lokalnych, uczących się węzłów. Śledząc i korelując te informacje w czasie rzeczywistym, system sztucznej inteligencji będzie mógł nie tylko wygenerować pełniejszy obraz zagrożeń, ale także dopracować sposób, w jaki wdrożone w firmach systemy mogą reagować na zdarzenia lokalne.
Systemy AI będą w stanie widzieć pojawiające się zagrożenia, korelować informacje o nich, śledzić i przygotowywać się na atak, m.in. udostępniając informacje o tym fakcie w sieci. Ostatecznie federacyjny system uczenia maszynowego pozwoli na połączenie zestawów danych, przez co modele uczenia się będą mogły dostosować się do zmieniających się trendów dotyczących środowisk i zdsystemyarzeń.
Łączenie AI i Playbooks w celu przewidywania ataków
Inwestowanie w sztuczną inteligencję pozwala przedsiębiorstwom nie tylko na automatyzację zadań, ale także zapewnia zautomatyzowany system wyszukujący i wykrywający ataki oraz działający prewencyjnie. Połączenie uczenia maszynowego z analizą statystyczną umożliwia opracowanie indywidualnych planów działań powiązanych ze sztuczną inteligencją w celu lepszego wykrywania zagrożeń i reagowania na nie.
W ten sposób powstają katalogi opisujące zagrożenia – Playbooks, dzięki którym można odkryć podstawowe wzorce pozwalające systemowi AI przewidzieć następny ruch atakującego, wykryć, gdzie może nastąpić następny atak, a nawet określić kto jest najbardziej prawdopodobnym winowajcą. Jeśli te informacje zostaną dodane do systemu uczenia sztucznej inteligencji, jego węzły będą mogły zapewnić zaawansowaną i proaktywną ochronę.
Ścisła współpraca z organami ścigania
Cyberbezpieczeństwo ma szczególne wymagania dotyczące prywatności i dostępu do danych, coraz bardziej regulowane przez lokalne ustawodawstwo w poszczególnych krajach. Natomiast cyberprzestępczość nie ma granic, co powoduje, że organy ścigania nie tylko zostały zmuszone do tworzenia globalnych centrów dowodzenia, ale także zaczęły łączyć je z sektorem prywatnym, dzięki czemu są o krok bliżej do wykrywania działań cyberprzestępców i reagowania na nie w czasie rzeczywistym. Struktura organów ścigania oraz ich relacje z sektorem publicznym i prywatnym mogą pomóc w identyfikowaniu cyberprzestępców. Inicjatywy promujące bardziej jednolite podejście do współpracy pomiędzy różnymi międzynarodowymi i lokalnymi organami ścigania, rządami, przedsiębiorstwami i ekspertami ds. bezpieczeństwa pomogą przyspieszyć bezpieczną wymianę informacji w celu ochrony infrastruktury krytycznej i przed cyfrową przestępczością.
Poziom wyrafinowania działań cyberprzestępców nie maleje
Wszelkie zmiany w strategiach ochrony przedsiębiorstw zostaną w końcu zauważone przez cyberprzestępców. Firmy stosujące zaawansowane zabezpieczenia sieciowe oraz wyrafinowane metody wykrywania ataków i reagowania na nie, powinny liczyć się z podejmowanymi próbami jeszcze silniejszych ataków – zarówno w skali, jak też sposobie ich przeprowadzenia. Nie jest tajemnicą, że cyberprzestępcy także interesują się sztuczną inteligencją i coraz częściej będzie ona wykorzystywana do skutecznego prowadzenia ataków.
Zaawansowane techniki unikania
Co istotne ogłszony niedawno raport Fortinet Threat Landscape pokazuje wzrost wykorzystania przez cyberprzestępców zaawansowanych technik omijania zabezpieczeń. Dodatkowo wiele współczesnych narzędzi przestępczych zawiera już funkcje pozwalające „omijać” oprogramowanie antywirusowe lub inne środki wykrywania zagrożeń. Natomiast cyberprzestępcy stają się coraz bardziej wyrafinowani w swoich praktykach zaciemniania i antyanalizy, aby uniknąć wykrycia. Takie strategie maksymalizują szansę na wykorzystanie słabości technik ochronnych i brak odpowiedniego przygotowania personelu w przedsiębiorstwie.
Rój botów atakuje
W ciągu ostatnich kilku lat wykształciła się nowa technika ataku nazywana rojem botów. Co więcej do atakowania w ten sposób urządzeń wykorzystywane są uczenie maszynowe i sztuczna inteligencja. Ich potencjał może być wykorzystywany do infiltracji sieci, blokowania pracy wewnętrznych mechanizmów obronnych oraz skutecznego wyszukiwania i wykradania danych. Wyspecjalizowane boty będą mogły wymieniać się zgromadzonymi informacjami i korelować je w czasie rzeczywistym. To po to by przyspieszyć zdolność całego roju do wybierania i modyfikowania ataków, nawet na wiele celów jednocześnie.
5G i przetwarzanie na brzegu sieci przyspieszą ataki
Ponadto transmisja danych w sieciach 5G może stać się katalizatorem rozwoju ataków wykorzystujących roje botów. W efekcie dzięki tej technologii możliwe będzie tworzenie lokalnych sieci ad hoc, które mogą szybko udostępniać i przetwarzać informacje. Działające na brzegu sieci urządzenia, wyposażone w moduł transmisji danych 5G, mogą stać się kanałem dystrybucji złośliwego kodu. Grupy zainfekowanych urządzeń mogą zaś współpracować, aby atakować ofiary z jeszcze większą szybkością, zapewnianą przez 5G. W efekcie w takiej sytuacji starsze rozwiązania ochronne mogą okazać się nieskuteczne.
Zmiana sposobu prowadzenia ataków zero-day przez cyberprzestępców
Co więcej do tej pory znalezienie luki zeroday oraz opracowanie dla niej exploita było kosztowne. Ponadto przestępcy wykorzystywali je tak długo, aż nie zostały zneutralizowane. Dlatego rosnąca ilość możliwości przeprowadzenia ataku wpływa na zdecydowany wzrost ryzyka częstego pojawiania się nowych podatności typu zero-day. Konieczne będzie podejmowanie dodatkowych środków bezpieczeństwa, aby przeciwdziałać temu trendowi.