Kyberuhkien hallitseminen ja puolustuksen vahvistaminen tekoälyn aikakaudella
Nykyään kyberturvallisuuden maailma on massiivisessa murroksessa. Tekoäly (AI) on tämän muutoksen eturintamassa, ja se on sekä uhka että mahdollisuus. Vaikka tekoälyllä on potentiaalia antaa organisaatioille mahdollisuus torjua kyberhyökkäyksiä koneen nopeudella ja edistää innovointia ja tehokkuutta uhkien havaitsemisessa, etsinnässä ja tapausten käsittelyssä, hyökkääjät voivat käyttää tekoälyä osana hyökkäyksiään. Koskaan ei ole ollut tärkeämpää suunnitella, ottaa käyttöön ja käyttää tekoälyä turvallisesti.
Microsoftilla tutkimme tekoälyn mahdollisuuksia tehostaa tietoturvatoimiamme, avata uusia ja kehittyneitä suojauksia ja rakentaa parempia ohjelmistoja. Tekoälyn avulla pystymme mukautumaan kehittyvien uhkien rinnalla, havaitsemaan poikkeamat välittömästi, reagoimaan nopeasti riskien neutralisoimiseksi ja räätälöimään puolustuksen organisaation tarpeiden mukaan.
Tekoäly voi myös auttaa meitä voittamaan toisen alan suurimmista haasteista. Maailmanlaajuisen kyberturvallisuustyövoimapulan vallitessa – maailmanlaajuisesti tarvitaan noin 4 miljoonaa kyberturvallisuuden ammattilaista – tekoälyllä on potentiaalia olla keskeinen väline lahjakkuusvajeen kuromisessa umpeen ja auttaa puolustajia olemaan tuottavampia.
Olemme jo nähneet eräässä tutkimuksessa, miten Copilot for Security voi auttaa tietoturva-analyytikkoja heidän asiantuntemustasostaan riippumatta – kaikkien tehtävien osalta osallistujat olivat 44 prosenttia tarkempia ja 26 prosenttia nopeampia.
Kun pyrimme turvaamaan tulevaisuutta, meidän on varmistettava, että olemme tasapainossa tekoälyyn varautumisen ja sen hyödyntämisen välillä, sillä tekoälyllä on valta nostaa inhimillistä potentiaalia ja ratkaista joitakin vakavimmista haasteistamme.
Turvallisempi tulevaisuus tekoälyn avulla edellyttää perustavanlaatuisia edistysaskeleita ohjelmistotekniikassa. Se edellyttää, että ymmärrämme ja torjumme tekoälyyn perustuvia uhkia, jotka ovat olennainen osa mitä tahansa tietoturvastrategiaa. Meidän on myös työskenneltävä yhdessä rakentaaksemme tiivistä yhteistyötä ja kumppanuuksia julkisen ja yksityisen sektorin välillä pahojen toimijoiden torjumiseksi.
Osana tätä pyrkimystä ja Secure Future Initiative -aloitettamme OpenAI ja Microsoft julkaisevat nyt uusia tiedustelutietoja, joissa kerrotaan yksityiskohtaisesti uhkaavien toimijoiden yrityksistä testata ja tutkia suurten kielimallien (LLM) hyödyllisyyttä hyökkäystekniikoissa.
Toivomme, että näistä tiedoista on hyötyä eri toimialoilla, kun työskentelemme kohti turvallisempaa tulevaisuutta. Koska loppujen lopuksi me kaikki olemme puolustajia.
Bret Arsenault,
CVP, Chief Cybersecurity Advisor
CVP, Chief Cybersecurity Advisor
Katso Cyber Signalsin digitaalinen yleiskatsaus, jossa Vasu Jakkal, Corporate Vide President of Microsoft Security Business, haastattelee keskeisiä uhkatietämysasiantuntijoita tekoälyn aikakauden kyberuhkista, Microsoftin tavoista käyttää tekoälyä tietoturvan parantamiseen ja siitä, mitä organisaatiot voivat tehdä vahvistaakseen puolustustaan.
Hyökkääjät tutkivat tekoälyteknologioita
Kyberuhista on tullut yhä haastavampia, sillä hyökkääjät ovat motivoituneempia, kehittyneempiä ja paremmin varustettuja. Sekä uhkaavat toimijat että puolustajat kääntyvät tekoälyn puoleen, mukaan lukien LLM:t, parantaakseen tuottavuuttaan ja hyödyntääkseen helppokäyttöisiä alustoja, jotka voisivat sopia heidän tavoitteisiinsa ja hyökkäystekniikoihinsa.
Ottaen huomioon nopeasti kehittyvän uhkamaiseman julkistamme nyt Microsoftin periaatteet, jotka ohjaavat toimia, joilla vähennetään tekoälyalustoja ja sovellusrajapintoja käyttävien uhkaavien toimijoiden, kuten kehittyneiden pysyvien uhkien (APT), kehittyneiden pysyvien manipulaattoreiden (APM) ja tietoverkkorikollisryhmittymien, aiheuttamia riskejä. Näihin periaatteisiin kuuluvat tekoälyn pahantahtoisten uhkaavien toimijoiden tekoälyn käytön tunnistaminen ja siihen puuttuminen, ilmoittaminen muille tekoälypalvelujen tarjoajille, yhteistyö muiden sidosryhmien kanssa ja avoimuus.
Vaikka uhkaavien toimijoiden motiivit ja kehittyneisyys vaihtelevat, niillä on yhteisiä tehtäviä hyökkäysten toteuttamisessa. Näihin kuuluvat tiedustelu, kuten mahdollisten uhrien toimialojen, sijainnin ja suhteiden tutkiminen, koodaus, mukaan lukien ohjelmistokoodien parantaminen ja haittaohjelmien kehittäminen, sekä apu sekä ihmis- että konekielten oppimisessa ja käytössä.
Kansallisvaltiot yrittävät hyödyntää tekoälyä
Yhteistyössä OpenAI:n kanssa jaamme uhkatietämystietoja, joista käy ilmi, että havaitut valtioon sidoksissa olevat vastustajat (joita seurataan nimillä Forest Blizzard, Emerald Sleet, Crimson Sandstorm, Charcoal Typhoon ja Salmon Typhoon) käyttävät LLM:iä kyberoperaatioiden tehostamiseen.
Microsoftin ja OpenAI:n välisen tutkimuskumppanuuden tavoitteena on varmistaa ChatGPT:n kaltaisten tekoälyteknologioiden turvallinen ja vastuullinen käyttö ja ylläpitää korkeimpia eettisiä soveltamisstandardeja yhteisön suojelemiseksi mahdolliselta väärinkäytöltä.
Forest Blizzard (STRONTIUM), erittäin tehokas Venäjän sotilastiedustelun toimija, joka on yhteydessä Venäjän asevoimien pääesikunnan pääosastoon eli GRU:n yksikköön 26165, on ottanut kohteekseen uhreja, jotka ovat taktisesti ja strategisesti kiinnostavia Venäjän hallitukselle. Sen toiminta kattaa useita eri aloja, kuten puolustus, kuljetus/logistiikka, julkishallinto, energia, kansalaisjärjestöt ja tietotekniikka
Emerald Sleet (Velvet Chollima) on pohjoiskorealainen uhkaava toimija, jonka Microsoft on havainnut esiintyvän hyvämaineisina akateemisina instituutioina ja kansalaisjärjestöinä houkutellakseen uhreja vastaamaan Pohjois-Korean ulkopolitiikkaa koskeviin asiantuntijalausuntoihin ja kommentteihin.
Emerald Sleet käytti LLM:iä Pohjois-Korean ajatushautomoihin ja asiantuntijoihin liittyvään tutkimukseen sekä tuottaakseen sisältöä, jota todennäköisesti käytettäisiin kohdennetun verkkourkinnan kampanjoissa. Emerald Sleet oli myös vuorovaikutuksessa LLM:ien kanssa ymmärtääkseen julkisesti tunnettuja haavoittuvuuksia, ratkaistakseen teknisiä ongelmia ja saadakseen apua eri verkkotekniikoiden käytössä.
Crimson Sandstorm (CURIUM) on iranilainen uhkaava toimija, jonka arvioidaan olevan yhteydessä islamilaiseen vallankumouskaartiin (IRGC). LLM:ien käyttöön on liittynyt tukipyyntöjä, jotka koskevat käyttäjän manipulointia, apua vianmäärityksessä, .NET-kehitystä ja tapoja, joilla hyökkääjä voi kiertää havaitsemisen, kun hän on vaarantuneella koneella.
Charcoal Typhoon (CHROMIUM) on Kiinaan kytköksissä oleva uhkaava toimija, joka keskittyy pääasiassa Taiwanissa, Thaimaassa, Mongoliassa, Malesiassa, Ranskassa ja Nepalissa toimivien ryhmien ja Kiinan politiikkaa vastustavien yksityishenkilöiden jäljittämiseen maailmanlaajuisesti. Viimeaikaisissa operaatioissa Charcoal Typhoonin on havaittu käyttävän LLM:iä saadakseen tietoa tutkimuksesta, jolla pyritään ymmärtämään tiettyjä teknologioita, ympäristöjä ja haavoittuvuuksia, mikä on osoitus alustavista tiedonkeruuvaiheista.
Toinen Kiinan tukema ryhmä, Salmon Typhoon, on arvioinut LLM:ien käytön tehokkuutta koko vuoden 2023 ajan hankkiakseen tietoa mahdollisesti arkaluonteisista aiheista, korkean profiilin henkilöistä, alueellisesta geopolitiikasta, Yhdysvaltojen vaikutusvallasta ja sisäisistä asioista. Tämä alustava sitoutuminen LLM:iin saattaa heijastaa sekä sen tiedusteluvälineistön laajentamista että kokeiluvaihetta uusien teknologioiden valmiuksien arvioinnissa.
Tekemämme tutkimus OpenAI:n kanssa ei ole havainnut merkittäviä hyökkäyksiä, joissa käytettäisiin LLM:iä, joita seuraamme tarkasti.
Olemme ryhtyneet toimenpiteisiin häiritäksemme näihin uhkaaviin toimijoihin liittyviä resursseja ja tilejä sekä muokataksemme suojakaiteita ja turvamekanismeja malliemme ympärille.
Muita tekoälyyn liittyviä uhkia ilmenee
Toinen kriittinen huolenaihe on tekoälypohjainen petos. Esimerkkinä tästä on äänisynteesi, jossa kolmen sekunnin ääninäyte voi kouluttaa mallin kuulostamaan keneltä tahansa. Jopa jotain niinkin harmitonta kuin vastaajasi tervehdys voidaan käyttää riittävän näytteen saamiseksi.
Suuri osa vuorovaikutuksestamme ja liiketoiminnasta perustuu henkilöllisyyden todentamiseen, kuten henkilön äänen, kasvojen, sähköpostiosoitteen tai kirjoitustyylin tunnistamiseen.
On ratkaisevan tärkeää ymmärtää, miten pahantahtoiset toimijat käyttävät tekoälyä heikentääkseen pitkäaikaisia identiteetin todentamisjärjestelmiä, jotta voimme puuttua monimutkaisiin petostapauksiin ja muihin uusiin sosiaaliseen manipulointiin liittyviin uhkiin, jotka hämärtävät henkilötietoja.
Tekoälyä voidaan käyttää myös auttamaan yrityksiä keskeyttämään petosyritykset. Vaikka Microsoft lopetti yhteistyön erään brasilialaisen yrityksen kanssa, tekoälyjärjestelmämme havaitsivat, että yritys yritti muodostaa itsensä uudelleen päästäkseen takaisin ekosysteemiin.
Ryhmä yritti jatkuvasti hämärtää tietojaan, peittää omistajuuden juuret ja tulla uudelleen, mutta tekoälyhavaintomme käytti lähes tusinaa riskisignaalia merkitäkseen huijausyrityksen ja liittääkseen sen aiemmin tunnistettuun epäilyttävään käyttäytymiseen, mikä esti sen yritykset.
Microsoft on sitoutunut vastuulliseen ihmisen johtamaan tekoälyyn , jossa yksityisyys ja tietoturva ovat keskeisellä sijalla ja jossa ihmiset valvovat, arvioivat valituksia ja tulkitsevat käytäntöjä ja määräyksiä.
Kouluta työntekijöitä ja yleisöä kyberriskeistä:
- Käytä ehdollisia käyttöoikeuskäytäntöjä: Nämä käytännöt tarjoavat selkeitä, itsestään käyttöön otettavia ohjeita tietoturvan vahvistamiseksi. Ne suojaavat vuokraajia automaattisesti riskisignaalien, käyttöoikeuksien ja käytön perusteella. Ehdolliset käyttöoikeuskäytännöt ovat mukautettavissa ja ne mukautuvat muuttuviin kyberuhkaympäristöön.
- Kouluta ja kouluttaa uudelleen työntekijöitä käyttäjän manipulointi -taktiikoista: Kouluta työntekijöitä ja yleisöä tunnistamaan tietojenkalastelusähköposteja, huijauspuheluita (vastaaja), tekstiviestihuijauksia ja reagoimaan niihin sekä soveltamaan Microsoft Teamsin parhaita tietoturvakäytäntöjä.
- Suojaa tiedot tarkasti: Varmista, että tiedot pysyvät yksityisinä ja valvottuina päästä päähän.
- Hyödynnä generatiivisen tekoälyn tietoturvatyökaluja: Työkalut, kuten Microsoft Copilot for Security, voivat laajentaa valmiuksia ja parantaa organisaation suojaustasoa.
- Ota monimenetelmäinen todentaminen käyttöön: Ota käyttöön monimenetelmäinen todentaminen kaikille käyttäjille, erityisesti järjestelmänvalvojan toiminnoissa, sillä se vähentää tilin haltuunoton riskiä yli 99 prosenttia.
Puolustautuminen hyökkäyksiltä
Microsoft pysyy kärjessä kattavalla tietoturvalla yhdistettynä generatiiviseen tekoälyyn
Microsoft havaitsee valtavan määrän haitallista liikennettä – yli 65 biljoonaa kyberturvallisuussignaalia päivässä. Tekoäly parantaa kykyämme analysoida näitä tietoja ja varmistaa, että arvokkaimmat havainnot saadaan esiin uhkien pysäyttämiseksi. Käytämme tätä signaaliälyä myös generatiivisen tekoälyn lähteenä kehittyneeseen uhkien torjuntaan, tietoturvaan ja käyttäjätietojen suojaamiseen, jotta puolustajat voivat havaita sen, mikä muilta jää huomaamatta.
Microsoft käyttää useita menetelmiä suojellakseen itseään ja asiakkaitaan kyberuhkilta, mukaan lukien tekoälyä hyödyntävä uhkien tunnistaminen, jolla havaitaan muutokset siinä, miten verkon resursseja tai liikennettä käytetään; käyttäytymisanalytiikka, jolla havaitaan riskialttiit kirjautumiset ja poikkeava käyttäytyminen; koneoppimismallit, joilla havaitaan riskialttiit kirjautumiset ja haittaohjelmat; Zero Trust -suojausmallit, joiden mukaan jokainen käyttöoikeuspyyntö on todennettava, valtuutettava ja salattava täydellisesti; ja laitteen kunnon tarkistaminen, ennen kuin laite voi muodostaa yhteyden yritysverkkoon.
Koska uhkaavat toimijat ymmärtävät, että Microsoft käyttää tiukasti monimenetelmäistä todentamista (MFA) suojatakseen itseään (kaikilla työntekijöillämme on MFA tai salasanaton suojaus käytössä) olemme nähneet hyökkääjien turvautuvan käyttäjän manipulointiin yrittäessään vaarantaa työntekijämme.
Tällaisia kohdepisteitä ovat esimerkiksi alueet, joilla välitetään arvokkaita asioita, kuten ilmaisia kokeiluversioita tai palvelujen tai tuotteiden tarjoushinnoittelua. Näillä alueilla hyökkääjien ei ole kannattavaa varastaa yhtä tilausta kerrallaan, joten he yrittävät ottaa hyökkäykset käyttöön ja laajentaa niitä huomaamatta.
Rakennamme luonnollisesti tekoälymalleja näiden hyökkäysten havaitsemiseksi Microsoftia ja asiakkaitamme varten. Tunnistamme väärennetyt opiskelijatilit ja koulujen tilit, väärennetyt yritykset tai organisaatiot, jotka ovat muuttaneet yritystietojaan tai salanneet todellisen henkilöllisyytensä välttääkseen seuraamuksia, kiertääkseen valvontaa tai peittääkseen aiemmat rikokset, kuten korruptiotuomiot, varkausyritykset jne.
GitHub Copilotin, Microsoft Copilot for Securityn ja muiden sisäiseen suunnittelu- ja käyttöinfrastruktuuriin integroitujen copilot-keskusteluominaisuuksien käyttö auttaa ehkäisemään tapahtumia, jotka voisivat vaikuttaa toimintaan.
Sähköpostiuhkien torjumiseksi Microsoft parantaa ominaisuuksia, joiden avulla sähköpostin koostumuksen lisäksi voidaan kerätä signaaleja, joiden perusteella voidaan päätellä, onko kyseessä haitallinen sähköpostiviesti. Kun tekoäly on uhkaavien toimijoiden käsissä, on tullut runsaasti täydellisesti kirjoitettuja sähköpostiviestejä, jotka parantavat ilmeisiä kieli- ja kielioppivirheitä, jotka usein paljastavat tietojenkalasteluyritykset, mikä vaikeuttaa tietojenkalasteluyritysten havaitsemista.
Työntekijöiden jatkuva koulutus ja julkiset tiedotuskampanjat ovat tarpeen, jotta voidaan torjua käyttäjän manipulointia, joka on ainoa keino, joka perustuu sataprosenttisesti inhimillisiin virheisiin. Historia on opettanut meille, että tehokkaat tiedotuskampanjat muuttavat käyttäytymistä.
Microsoft ennakoi, että tekoäly kehittää käyttäjän manipuloinnin taktiikoita ja luo kehittyneempiä hyökkäyksiä (kuten syväväärennöksiä ja äänikloonausta) etenkin, jos hyökkääjät huomaavat tekoälyteknologioiden toimivan ilman vastuullisia käytäntöjä ja sisäänrakennettuja turvatoimia.
Ennaltaehkäisy on avainasemassa kaikkien kyberuhkien torjunnassa, olivatpa ne sitten perinteisiä tai tekoälyyn perustuvia.
Suositukset:
Käytä toimittajan tekoälyvalvontaa ja arvioi jatkuvasti sen sopivuutta: Tarkkaile, onko yrityksessäsi käytössä tekoälyä, ja etsi toimittajien sisäänrakennettuja ominaisuuksia, joiden avulla voit rajata tekoälyn käyttöoikeudet työntekijöille ja tiimeille, jotka käyttävät teknologiaa, jotta tekoälyn käyttöönotto olisi turvallista ja sääntöjenmukaista. Tuo koko organisaation kyberriskin sidosryhmät yhteen, jotta ne voivat sopia tekoälytyöntekijöiden käyttötapauksista ja käyttöoikeuksien valvonnasta. Riskijohtajien ja CISO:iden olisi säännöllisesti määritettävä, ovatko käyttötapaukset ja -käytännöt riittäviä vai onko niitä muutettava tavoitteiden ja kokemusten kehittyessä.
Suojaudu kehoteinjektioilta: Ota käyttöön tiukka syötteen validointi ja puhdistus käyttäjän antamille kehotteille. Käytä kontekstitietoista suodatusta ja tulostuskoodausta, jotta voit estää kehotteiden manipuloinnin. Päivitä ja hienosäädä LLM:iä säännöllisesti, jotta ne ymmärtäisivät paremmin haitallisia syötteitä ja ääritapauksia. Seuraa ja kirjaa LLM-vuorovaikutuksia havaitaksesi ja analysoidaksesi mahdollisia kehoteinjektioyrityksiä.
Vaadi avoimuutta koko tekoälyn toimitusketjussa: Arvioi selkeiden ja avointen käytäntöjen avulla kaikki alueet, joilla tekoäly voi joutua kosketuksiin organisaatiosi tietojen kanssa, myös kolmansien osapuolten ja toimittajien kautta. Hyödynnä kumppanuussuhteita ja monialaisia kyberriskiryhmiä saatujen kokemusten tutkimiseen ja mahdollisten puutteiden korjaamiseen. Nykyisten Zero Trust- ja tiedonhallintaohjelmien ylläpitäminen on tekoälyn aikakaudella tärkeämpää kuin koskaan.
Keskity viestintään: Kyberriskijohtajien on tunnustettava, että työntekijät näkevät tekoälyn vaikutukset ja hyödyt henkilökohtaisessa elämässään ja haluavat luonnollisesti tutkia vastaavien teknologioiden soveltamista hybridityöympäristöissä. CISO:t ja muut kyberriskien hallinnasta vastaavat johtajat voivat ennakoivasti jakaa ja vahvistaa tekoälyn käyttöä ja riskejä koskevat organisaatiokäytännöt, mukaan lukien se, mitkä nimetyt tekoälytyökalut on hyväksytty yritykseen ja mitkä ovat pääsyn ja tiedonsaannin yhteyspisteet. Ennakoiva viestintä auttaa pitämään työntekijät ajan tasalla ja voimaantuneina ja vähentää samalla riskiä siitä, että hallitsematon tekoäly joutuu kosketuksiin yrityksen IT-resurssien kanssa.
Lisätietoa tekoälystä saat Homa Hayatafarilta, joka on Principal Data and Applied Science Manager, Detection Analytics Manager.
Perinteiset työkalut eivät enää pysy kyberrikollisten aiheuttamien uhkien vauhdissa. Viimeaikaisten kyberhyökkäysten kasvava nopeus, laajuus ja kehittyneisyys edellyttävät uutta lähestymistapaa tietoturvaan. Kun otetaan lisäksi huomioon kyberturvallisuustyöntekijöiden puute ja kyberuhkien yleistyminen ja vakavuuden lisääntyminen, tämän osaamisvajeen kurominen umpeen on kiireellinen tarve.
Tekoäly voi kääntää asian puolustajien hyväksi. Eräässä hiljattain tehdyssä tutkimuksessa Microsoft Copilot for Security (joka on parhaillaan asiakkaiden esikatselutestauksessa) nähtiin, että tietoturva-analyytikoiden nopeus ja tarkkuus kasvoivat heidän asiantuntemustasostaan riippumatta yleisissä tehtävissä, kuten hyökkääjien käyttämien skriptien tunnistamisessa, vaaratilanneraporttien luomisessa ja asianmukaisten korjaustoimenpiteiden määrittämisessä.1
- [1]
Menetelmä:1 Tilannevedostiedot edustavat satunnaistettua kontrolloitua tutkimusta (RCT), jossa testattiin 149 henkilöä Microsoft Copilot for Securityn käytön tuottavuusvaikutusten mittaamiseksi. Tässä RCT:ssä annoimme Copilotin satunnaisesti joillekin analyytikoille ja toisille ei, minkä jälkeen vähensimme heidän suorituskykynsä ja asenteensa saadaksemme Copilotin vaikutuksen erillään mahdollisesta perusvaikutuksesta. Koehenkilöillä oli tietotekniset perustaidot, mutta he olivat aloittelijoita tietoturva-alalla, joten pystyimme testaamaan, miten Copilot auttaa "uransa alussa olevia" analyytikkoja. Microsoft Copilot for Security RCT:n toteutti Microsoft Office of the Chief Economist, marraskuussa 2023. Lisäksi Microsoft Entra ID tarjosi anonymisoitua tietoa uhkatoiminnasta, kuten haitallisista sähköpostitileistä, tietojenkalastelusähköposteista ja hyökkääjien liikkumisesta verkoissa. Lisätietoa saadaan 65 biljoonasta päivittäisestä tietoturvasignaalista, jotka on kerätty kaikesta Microsoftin toiminnasta, kuten pilvestä, päätepisteistä, älykkäästä reunasta, Compromise Security Recovery Practice- ja Detection and Response -tiimeistämme, Microsoftin alustojen ja palveluiden, kuten Microsoft Defenderin, telemetriasta sekä vuoden 2023 Microsoftin digitaalisen suojauksen raportista.