Küberohtude seas õige tee leidmine ja kaitsemeetmete tugevdamine tehisintellekti ajastul
Küberturbemaailmas on käes murranguliste muudatuste ajastu. Suure osa nende muudatuste taga on tehisintellekt ehk tehisaru, mis kujutab endast ühtaegu nii ohtu kui ka võimalust. Ehkki tehisintellektil on potentsiaali aidata asutustel ja ettevõtetel küberründeid masinkiirusel nurjata, muuta ohutuvastus, ohujaht ja intsidentidele reageerimine tõhusamaks ning toetada uuendusi, saavad ka vaenlased tehisintellekti enda heaks tööle panna. Tehisintellekti turvaline konstrueerimine, juurutamine ja kasutamine on meile saanud olulisemaks kui kunagi varem.
Uurime Microsoftis, kuidas tehisaru võimalusi kasutada oma turbemeetmete tõhustamiseks, uute ja täpsemate kaitsemeetodite loomiseks ja parema tarkvara väljatöötamiseks. Tehisintellekt võimaldab meil arenevate ohtudega kohanduvalt sammu pidada, anomaaliaid hetkega tuvastada, riskide neutraliseerimiseks kiiresti reageerida ning kohandada kaitsemeetmed vastavalt organisatsiooni vajadustele.
Samuti aitab tehisintellekt meil toime tulla veel ühe suure probleemiga, mis meie valdkonda pitsitab. Maailmas on küberturbetöötajatest terav puudus – üle maailma on vaja ligikaudu 4 miljonit küberturbespetsialisti. Tehisintellektil on potentsiaali see tühemik täita ja aidata kaitsjatel tõhusamalt töötada.
Oleme ühes uuringus juba näinud, kuidas turbeteenuse Copilot turbeteenusele abiks olla olenemata nende teadmiste ja oskuste tasemest – kõigi tööülesannetega tegeldes olid uuringus osalejad tavapärasega võrreldes ligikaudu 44% täpsemad ja 26% kiiremad.
Kui soovime, et tulevik oleks turvaline, peame leidma õige tasakaalu tehisintellekti turvalisuse ja selle pakutavate eeliste kasutamise vahel, kuna tehisintellekt suudab aidata inimestel oma potentsiaali realiseerida ja lahendada paljud meie ees seisvad keerulised probleemid.
Turvalisem tulevik, milles tehisintellektil on oma osa, nõuab tarkvaratehnikas uusi edusamme. See nõuab meilt tehisintellektipõhiste ohtude mõistmist ja tõrjumist iga turbestrateegia põhikomponentidena. Samuti peame kuritahtlike ründajate vastu võitlemiseks üheskoos tööd tegema ning looma nii avalikku kui ka erasektorit hõlmavad partnerlussuhted.
Osana sellest tööst ning meie endaturvalise tuleviku algatusest avaldavad OpenAI ja Microsoft täna uue analüüsiteabe üksikasjaliku ülevaatega küberohustajate katsetest panna proovile suurte keelemudelite (LLM) kasulikkus ründetehnikates.
Loodame, et sellest teabest on abi paljudes valdkondades, kuna tegutseme kõik ühiselt turvalisema tuleviku suunas. Lõppude lõpuks oleme ju kõik kaitsjad.
Bret Arsenault,
CVP, küberturbe juhtnõustaja
CVP, küberturbe juhtnõustaja
Vaadake ajakirja „Cyber Signals“ digitaalset infotundi, kus Microsoft Security Businessi ettevõtte asepresident Vasu Jakkal vestleb nimekate ohuanalüüsiekspertidega küberohtudest tehisintellekti ajastul; muu hulgas on juttu ka sellest, kuidas Microsoft kasutab tehisintellekti täiustatud turbe jaoks ning mida organisatsioonid saavad kaitsemeetmete tugevdamiseks teha.
Ründajad katsetavad tehisintellektitehnikaid
Küberohtude maastikul orienteerumine on muutunud aina keerulisemaks – ründajad on varasemast rohkem motiveeritud, oskuslikumad ja paremini varustatud. Nii küberohustajad kui ka kaitsjad on pilgud pööranud tehisintellektile (sealhulgas suurtele keelemudelitele ehk LLM-idele), et oma tegevust tõhustada ning kasutada ära laialt saadaolevaid uusi platvorme, mis võiksid nende eesmärkide ja ründetehnikatega sobida.
Seda ohumaastiku kiiret arengut silmas pidades kuulutame täna välja Microsofti põhimõtted, mis tehisintellektipõhiseid platvorme ja API-sid kasutades juhendavad meie tegevust ning aitavad leevendada küberohustajate põhjustatud riske – näiteks keerukaid püsiohte (APT), keerukaid püsimanipulaatoreid (APM) ja küberkurjategijate sündikaate. Need põhimõtted hõlmavad ründajate tehisintellektikasutuse tuvastamist ja selle tõkestamist, teiste tehisintellektiteenuste pakkujate teavitamist, koostööd teiste huvirühmadega ning läbipaistvust.
Ehkki küberohustajate motiivid ja oskused varieeruvad, on neil rünnete käivitamisel ühiseid jooni. Nende hulgas on luure (nt potentsiaalsete ohvrite valdkondade, asukohtade ja suhete uurimine), koodikirjutamine (sh tarkvaraskriptide täiustamine ja ründevaraarendus) ning abi nii inim- kui ka masinkeelte õppimisel ja kasutamisel.
Ründeriigid proovivad tehisintellekti ära kasutada
Koostöös OpenAI-iga jagame ohuteavet, mis näitab, kuidas tuvastatud riiklikult mahitatud ründajad, keda jälgitakse koodnimedega Forest Blizzard, Emerald Sleet, Crimson Sandstorm, Charcoal Typhoon ja Salmon Typhoon, kasutavad suuri keelemudeleid küberoperatsioonide täiendamiseks.
Microsofti ja OpenAI partnerluse eesmärk on tagada tehisintellektipõhiste tehnoloogiate (nt ChatGPT) turvaline ja vastutustundlik kasutamine, mis vastab eetilise rakendamise kõige kõrgematele standarditele, kaitsmaks kogukonda potentsiaalse kuritarvitamise või väärkasutuse eest.
Forest Blizzard (STRONTIUM), äärmiselt tõhus Venemaa sõjaväeluure raames tegutsev küberohustaja, keda on seostatud Venemaa relvajõudude kindralstaabi peavalitsuse ehk GRU üksusega 26165, on sihikule võtnud ohvrid, kes pakuvad Venemaa valitsusele taktikalist ja strateegilist huvi. Selle tegevused hõlmavad paljusid sektoreid, mille hulgas on nii kaitsesektor, transpordi-/logistikavaldkond, riigiasutused, energiatööstus, valitsusvälised organisatsioonid kui ka infotehnoloogia.
Emerald Sleet (Velvet Chollima) on Põhja-Korea küberohustaja, kes Microsofti andmeil on kehastanud mainekaid akadeemilisi institutsioone ja valitsusväliseid organisatsioone, meelitamaks ohvreid jagama ekspertarvamusi ja kommentaare Põhja-Koreaga seotud välispoliitika kohta.
Emerald Sleet on suuri keelemudeleid kasutanud mõttekodade ja Põhja-Korea ekspertide tegevuse uurimiseks ning arvatavalt harpuunimiskampaaniates kasutatava sisu genereerimiseks. Samuti kasutas Emerald Sleet suuri keelemudeleid avalikult teadaolevate nõrkuste mõistmiseks, tehniliste probleemide tõrkeotsinguks ning abiks mitmesuguste veebitehnoloogiate kasutamisel.
Crimson Sandstorm (CURIUM) on Iraani küberohustaja, kes on tõenäoliselt seotud islami revolutsioonilise kaardiväega (IRGC). Suurte keelemudelite kasutamine on hõlmanud taotlusi manipuleerimise toetamiseks, tõrkeotsingu ja .NET-i arenduse abi ning meetodeid, mis aitaksid ründajal ründe ohvriks langenud arvutis tuvastamist vältida.
Charcoal Typhoon (CHROMIUM) on Hiinaga seotud küberohustaja, kes peamiselt jälgib Hiina poliitikaid vastustavaid rühmitusi Taiwanis, Tais, Mongoolias, Malaisias, Prantsusmaal ja Nepalis ning üksikisikuid kogu maailmas. Viimatistes operatsioonidel on Charcoal Typhoon teadaolevalt kasutanud suuri keelemudeleid ülevaadete saamiseks kindlatest uurimistöödest, et paremini mõista konkreetseid tehnoloogiaid, platvorme ja nõrkusi; see osutab ründele eelnevatele teabe kogumise etappidele.
Teine Hiinaga seotud rühmitus Salmon Typhoon on suurte keelemudelite tõhusust analüüsinud kogu 2023. aasta vältel, et hankida teavet potentsiaalselt tundlike teemade, tuntud inimeste, regionaalse geopoliitika, Ameerika Ühendriikide mõjuvõimu ja siseasjade kohta. Suurte keelemudelite ettevaatlik katsetamine võib viidata nii luureandmete kogumise tööriistakomplekti laiendamisele kui ka eksperimentaalsele faasile uute tehnoloogiate võimekuse hindamisel.
Meie ja OpenAI ühised uuringud ei ole seni tuvastanud märkimisväärseid ründeid, kus oleks kasutatud mõnda neist suurtest keelemudelitest, millel me silma peal hoiame.
Oleme võtnud kasutusele meetmed nende küberohustajatega seotud varade ja kontode halvamiseks ning oma mudelite turbetõkete ja ohutusmehhanismide kujundamiseks.
Muud tärkavad tehisintellektipõhised ohud
Üks murekoht on tehisintellektipõhised kelmused. Selle valdkonna näide on kõnesüntees: kõigest kolmesekundilise helilõigu põhjal saab mudeli treenida kõlama soovitud inimese häälega. Sobiva näidise saamiseks võib piisata ka näiteks teie kõnepostitervitusest.
Suur osa sellest, kuidas me üksteisega suhtleme ja äri ajame, sõltub identiteedi tõendamisest, näiteks tuttava inimese hääle, näo, meiliaadressi või kirjutamisstiili äratundmisest.
Seetõttu on äärmiselt oluline mõista, kuidas ründajad kasutavad tehisintellekti pikka aega kasutusel olnud ja usaldusväärseks peetud identiteeditõendamissüsteemide õõnestamiseks – üksnes nii saame lahendada keerukaid pettusejuhtumeid ja muid tärkavaid manipuleerimisohte, mis varjavad identiteeti.
Samuti saab tehisintellekti kasutada selleks, et aidata ettevõtetel kelmusekatseid halvata. Ehkki Microsoft lõpetas suhte ühe ettevõttega Brasiilias, tuvastasid meie tehisintellektisüsteemid selle katsed uuesti uue nime all meie ökosüsteemi siseneda.
Rühmitus proovis järjekindlalt oma andmeid peita, kuuluvust ja juuri varjata ning uuesti siseneda, ent tehisintellektipõhised tuvastusmeetmed tuvastasid petturliku ettevõtte enam kui küme riskisignaali põhjal ning suutsid selle seostada varem teada olnud kahtlase käitumisega, et need katsed blokeerida.
Microsoft on võtnud endale kohustuseks arendada vastutustundlikku inimjuhitavat tehisintellekti, mille privaatsus- ja turbefunktsioonidel hoiavad silma peal inimesed, kes jälgivad selle tegevust, vaatavad läbi apellatsioone ning tõlgendavad poliitikaid ja määruseid.
Töötajate ja avalikkuse harimine küberriskide teemal
- Kasutage tingimuspääsupoliitikaid: need poliitikad pakuvad selgeid, kasutusele võtmist lihtsustavaid suuniseid, mis aitavad teil oma turbeseisundit tugevdada ning rentnikukeskkondi automaatselt kaitsta riskisignaalide, litsentsimise ja kasutuse põhjal. Tingimuspääsupoliitikad on kohandatavad ja kohanduvad muutuva küberohtude maastikuga.
- Koolitage töötajaid manipuleerimistaktikate asjus ja korrake koolitust regulaarselt: õpetage oma töötajaid ja avalikkust andmepüügimeile, telefoniandmepüüki, SMS-andmepüüki ja manipuleerimisründeid ära tundma ning neile õigesti reageerima ja rakendage Microsoft Teamsis turbe head tavad.
- Kaitske andmeid jõuliselt: veenduge, et andmed püsiksid privaatsed ja reguleeritud algusest lõpuni.
- Kasutage ära genereerival tehisintellektil põhinevaid turbetööriistu: Copilot turbeteenusele ja muud sarnased tööriistad aitavad organisatsiooni turbeseisundit tõhustada ja funktsioone laiendada.
- Lubage mitmikautentimine: lubage mitmikautentimine kõigi kasutajate jaoks; eriti oluline on see administraatorifunktsioonide kasutamiseks, kuna vähendab konto ülevõtmise riski enam kui 99%.
Kaitse rünnete eest
Genereeriv tehisintellekt kombineerituna igakülgse turvalisusega aitab Microsoftil ründajatest ees püsida
Microsoft tuvastab erakordselt palju ründeliiklust – enam kui 65 triljonit küberturbesignaali päevas. Tehisintellekt mitmekordistab meie võimekust seda teavet analüüsida ja tagada ohtude peatamiseks kõige olulisemate andmete päevavalgele toomise. Samuti toetab see signaalianalüüs genereeriva tehisintellekti kasutamist täpsema ohutõrje, andmeturbe ja identiteediturbe jaoks, aidates kaitsjatel märgata seda, mis teistel jäävad kahe silma vahele.
Microsoft kasutab enda ja oma klientide küberohtude eest kaitsmiseks mitut meetodit, mille hulgas on näiteks tehisintellekti toega ohutõrje muutuste märkamiseks võrguressursside või -liikluse kasutamises, käitumisanalüüs riskantsete sisselogimiste ja anomaalse käitumise tuvastamiseks, masinõppemudelid riskantsete sisselogimiste ja ründevara tuvastamiseks, täisusaldamatusel põhinevad mudelid, mille korral iga juurdepääsutaotlus peab olema täielikult autenditud, volitatud ja krüptitud, ning seadmete seisundi kontrollimine enne seda, kui seadmel lubatakse ettevõtte võrguga ühendus luua.
Kuna küberohustajad mõistavad, et Microsoft kasutab enda kaitsmiseks jõuliselt mitmikautentimist (MFA) – kõigi meie töötajate jaoks on häälestatud MFA või paroolita kaitse –, oleme täheldanud, et ründajad kalduvad meie töötajate ründamiseks pigem proovima manipuleerimist.
Eriti levinud on see kohtades, kus pakutakse midagi väärtuslikku, näiteks tasuta prooviversioone või soodushinnaga teenuseid või tooteid. Kuna sellistes olukordades pole ründajate jaoks tulus varastada tellimusi ükshaaval, proovivad nad nende rünnete haaret ja ulatust suurendada nii, et nende tegevust ei tuvastataks.
Loomulikult töötame nii Microsofti kui ka meie klientide jaoks välja tehisintellektipõhiseid mudeleid, mis aitavad selliseid ründeid märgata. Tuvastame õppurite ja koolide libakontod, libaettevõtted või -organisatsioonid, kes on oma äriandmeid muutnud või oma tegelikku identiteeti varjanud, et sanktsioonidest või kontrollidest mööda hiilida või varjata varasemaid seaduserikkumisi, näiteks korruptsioonis süüdimõistmist, vargusekatseid jne.
Meie sisemisse tehnika- ja käidutaristusse integreeritud GitHub Copiloti, Copilot turbeteenusele ja muude nutiabilistel põhinevate vestlusfunktsioonide kasutamine aitab ära hoida intsidente, mis võiksid tööd mõjutada.
Meiliohtude kõrvaldamiseks täiustab Microsoft oma võimekust hankida signaale meilisõnumi kirjaviisist, mõistmaks, kas see võib olla pahatahtlik. Tehisintellekti jõudmine küberohustajate kätesse on kaasa toonud selle, et varem andmepüügile viidanud keele- ja grammatikavigadega meilisõnumid on nüüd kirjutatud palju korrektsemas keeles. Seetõttu on andmepüügikatseid raskem tuvastada.
Manipuleerimisega võitlemiseks on vaja töötajaid pidevalt koolitada ning korraldada avalikke teadlikkust tõstvaid kampaaniaid, kuna see ründetaktika sõltub täielikult inimlikest eksimustest. Ajalugu on meile õpetanud, et tõhusad üldsuse teadlikkuse suurendamisele suunatud kampaaniad aitavad käitumist muuta.
Microsoft eeldab, et tehisintellekt arendab manipuleerimist edasi, töötades välja keerukamaid ründetaktikaid, mille seas on näiteks süvavõltsingud ja hääle kloonimine – eriti juhul, kui ründajad saavad enda käsutusse tehisintellektitehnoloogiaid, millel puuduvad vastutustundliku kasutamise head tavad ja sisseehitatud turbemeetmed.
Ennetus on kõigi küberohtudega võitlemise võti, olgu need siis traditsioonilised või tehisintellekti toega.
Soovitused.
Rakendage tarnijate määratud tehisintellekti reguleerimismeetmed ja hinnake pidevalt nende sobivust. Kui võtate oma ettevõttes kasutusele mis tahes tehisintellektilahenduse, otsige tehisintellekti turvalise ja nõuetelevastava kasutuselevõtu tagamiseks esmalt üles tarnija pakutavad integreeritud meetmed, et anda juurdepääs tehisintellektile üksnes oma töötajatele ja meeskondadele, kes hakkavad seda tehnoloogiat kasutama. Tooge küberriskidega tegelevad inimesed oma ettevõttes kokku, et üheskoos läbi arutada, kuidas töötajad peaksid tehisintellekti kasutama ja milline peaks olema juurdepääsu reguleerimine. Riskijuhid ja teabeturbejuhid peaksid regulaarselt otsustama, kas praegused kasutusjuhtumid ja poliitikad on piisavad või tuleks neid eesmärkide ja teadmiste arenedes muuta.
Kaitske end juhisesüstide eest. Võtke kasutajate sisestavate juhiste jaoks kasutusele range sisendikontroll ja -puhastus. Juhiste manipuleerimise vältimiseks kasutage kontekstiteadlikku filtreerimist ja väljundikodeerimist. Värskendage ja peenhäälestage suuri keelemudeleid regulaarselt, et täiustada nende arusaamist pahatahtlikest sisenditest ja nišijuhtumitest. Jälgige ja logige suurte keelemudelitega suhtlemist, et potentsiaalseid juhisesüstide katseid tuvastada ja analüüsida.
Jõustage läbipaistvusnõue kogu tehisintellekti tarneahelas. Hinnake selgete ja avatud tavade abil kõiki alasid, kus tehisintellekt võib teie organisatsiooni andmetega kokku puutuda (sh kolmandatest osapooltest partnerite ja tarnijate kaudu). Partnersuhete ja funktsioonideüleste küberriskimeeskondade abil uurige omandatud teadmisi ja likvideerige kõik lüngad. Ajakohaste täisusaldamatuse ja andmekorralduse programmide haldamine on tehisintellekti ajastul olulisem kui kunagi varem.
Keskenduge suhtlemisele. Küberriskijuhid peavad mõistma, et töötajad näevad tehisintellekti mõju ja eeliseid oma isiklikus elus ning soovivad loomulikult uurida sarnaste tehnoloogiate rakendamist ka hübriidtöökeskkondades. Teabeturbejuhid ja teised küberriskidega tegelevad spetsialistid saavad oma organisatsioonis tehisintellekti kasutamise ja riskidega seotud poliitikaid ennetavalt jagada ja võimendada, selgitades näiteks, milliste tehisintellektipõhiste tööriistade kasutamine on ettevõttes heaks kiidetud ning kelle poole juurdepääsu ja teabe saamiseks pöörduda. Proaktiivne suhtlus aitab töötajaid olulise teabega kursis hoida ja tekitab neis tunde, et nad on kaasatud, vähendades samas ohtu, et keegi proovib mittehallatavat tehisintellekti ettevõtte IT-varade jaoks kasutada.
Rohkem ülevaateid tehisintellektist pakub Homa Hayatafar, andmete ja rakendusteaduse juht ning tuvastusanalüütika juht.
Tavapärased tööriistad ei suuda enam sammu pidada ohuga, mida küberkurjategijad endast kujutavad. Hiljutiste küberrünnete aina suurenev kiirus, ulatus ja keerukus nõuavad uut lähenemist turvalisusele. Lisaks tuleb arvesse võtta küberturbevaldkonna tööjõunappust – kuna küberohtude sagedus aina suureneb ja ründed on aina tõsisemate tagajärgedega, on oskuste lünga täitmine hädavajalik.
Tehisintellekt võib selle kaalukausi kaitsjate kasuks kallutada. Üks Copilot turbeteenusele (praegu on see klientidele saadaval testimiseks eelversioonina) hiljutine uuring näitas, et selle kasutamine suurendas turbeanalüütikute töö kiirust ja täpsust olenemata nende teadmiste ja oskuste tasemest mitmesuguste rutiinsete toimingute korral (nt ründajate kasutatavate skriptide tuvastamine, intsidendiaruannete koostamine ja asjakohaste kahjutustamistoimingute kindlakstegemine).1
- [1]
Metoodika:1 hetktõmmise andmed kujutavad juhustatud kontrollitud uuringut (RCT), mille raames testisime 149 inimest, et mõõta Microsofti turbeteenuse Copiloti kasutamise mõju tööviljakusele. Selles RCT-s andsime juhuslikkuse alusel Copiloti kasutamiseks mõnele analüütikule, kuid mitte kõigile, ning lahutasime siis tulemusest nende tulemuslikkuse ja arvamused, et mõõta Copiloti mõju ilma baasmõjuta. Testitavatel olid olemas elementaarsed IT-oskused, kuid turbe valdkonnas oli tegemist algajatega, et saaksime kontrollida, kui palju on Copilot abiks alles karjääriredeli alguses olevatele analüütikutele. Microsofti turbeteenuse Copiloti RCT viis novembris 2023 läbi Microsofti peaökonomisti kontor. Lisaks esitas Microsoft Entra ID anonüümitud andmeid ohutegevuste kohta, nagu ründemeilikontod, andmepüügimeilid ja ründajate liikumine võrkudes. Täiendavad andmed pärinevad 65 triljonist igapäevasest turbesignaalist, mida Microsoft kogub pilvkeskkondadest, lõppseadmetest, tehisintelligentsest servast, meie turbemurdejärgse ohutustaaste töörühmalt ning ohutuvastuse ja -kõrvalduse töörühmadelt, Microsofti platvormide ja teenuste (sh Microsoft Defenderi) telemeetriaandmetest ning 2023. aasta Microsofti digikaitsearuandest.