Umelá inteligencia (AI) a strojové učenie (ML) patria k jednej z najdiskutovanejších tém v oblasti IT. Niektorí v nich vidia potenciál poskytovať dokonalú ochranu pred škodlivým softvérom, zatiaľ čo iní sa obávajú, že by mohli vydláždiť cestu sofistikovanejším kybernetickým útokom. Pokiaľ ide o digitálnu bezpečnosť, oba pohľady sú správne.
Umelá inteligencia nie je len strojové učenie
O umelej inteligencii a strojovom učení sa hovorí už dlho. Ešte však nie je úplne známe, aký potenciál zmeny sa v týchto technológiách skrýva. Jedna vec je ale istá: umelá inteligencia, ktorú poznáme z filmového plátna, je ešte stále hudbou budúcnosti.
Pojmy umelá inteligencia a strojové učenie sa často nesprávne používajú ako synonymá. Umelá inteligencia označuje stroj schopný sa učiť a konať samostatne a „inteligentne“, bez ľudskej interakcie a výlučne na základe vonkajších vstupov. Strojové učenie zasa využíva algoritmy na spracovanie údajov s cieľom samostatne vykonávať konkrétne úlohy. Počítač tak dokáže rýchlo identifikovať štruktúry a anomálie vo veľkom množstve údajov a rozdeliť ich na menšie jednotky nevyhnutné pre danú úlohu (generovanie modelu). Strojové učenie sa však stále považuje predovšetkým za jadro umelej inteligencie.
Ľudia a androidi? Tím snov schopný poraziť hackerov
Strojové učenie má veľký význam v boji proti kybernetickému zločinu, najmä pokiaľ ide o detekciu malvéru. Na základe obrovského množstva údajov je strojové učenie trénované na správne filtrovanie súborov a vzoriek do kategórií „neškodné“ a „škodlivé“. Každý nový a neznámy prvok sa tak automaticky zaradí do jednej z týchto dvoch kategórií. Vyžaduje sa však dostatočne veľký objem vstupných údajov, aby mohla byť každá informácia správne roztriedená. Často sa však nesprávne uvádza, že algoritmus dokáže nové prvky triediť s dokonalou presnosťou vďaka dodaniu rozsiahleho súboru údajov. Skutočnosť je taká, že v prípade sporných výsledkov je aj naďalej potrebná záverečná kontrola a overenie zo strany človeka.
Pokiaľ ide o učenie sa z kontextu a kreatívne riešenie, ľudia stále vynikajú nad strojmi. V tejto oblasti sa algoritmy ešte majú čo učiť. Profesionálni vývojári škodlivého softvéru môžu napríklad šikovne zamaskovať skutočný zámer kódu. Škodlivý kód môže byť ukrytý v pixeloch napohľad čistého obrazového súboru a podobne sa môžu malé časti škodlivého kódu skrývať v konkrétnych súboroch. Škodlivý účinok sa tak môže prejaviť až po spojení jednotlivých prvkov. Algoritmus strojového učenia nemusí byť schopný identifikovať takýto proces a vo výsledku môže urobiť nesprávne rozhodnutie. Naopak, ak je v pozícii „lovca malvéru“ človek, ten dokáže nebezpečenstvo rozpoznať presnejšie na základe svojich odborných vedomostí, skúseností či intuície. V záujme aktívnej prevencie škodlivého kódu je preto ideálne, ak ľudia a stroje spolupracujú.
Strojové učenie je len malou súčasťou stratégie IT zabezpečenia
Strojové učenie je základom stratégie IT zabezpečenia už od 90. rokov minulého storočia. Uplynulé desaťročie digitálnej éry nás naučilo, že na zložité problémy neexistujú jednoduché riešenia. Platí to najmä v kybernetickom priestore, kde sa podmienky môžu zmeniť v priebehu niekoľkých sekúnd. V dnešnom svete by bolo nerozumné spoliehať sa pri budovaní odolnej kybernetickej obrany len na jednu technológiu. Pracovníci na rozhodujúcich pozíciách v oblasti IT si musia uvedomiť, že hoci je strojové učenie nepochybne cenným nástrojom v boji proti počítačovej kriminalite, malo by byť vždy len jednou zo súčastí celkovej bezpečnostnej stratégie firmy. Implementácia sofistikovaných IT riešení si stále vyžaduje odborné znalosti reálnych ľudí: bezpečnostných pracovníkov a IT správcov.
Kybernetickí zločinci držia krok s „inteligentnou“ érou
Strojové učenie je populárne aj v odvetví počítačovej kriminality. Čoraz viac hackerov využíva strojové učenie na vyhľadávanie potenciálnych obetí, na samotné útoky alebo na krádež cenných údajov prostredníctvom spamových a phishingových kampaní. Strojové učenie tiež dokáže nájsť medzery a slabé miesta. Zločinci používajú algoritmy strojového učenia aj na ochranu svojej IT infraštruktúry (napr. botnetov).
Pre útočníkov môžu byť mimoriadne atraktívnym cieľom spoločnosti, ktoré používajú strojové učenie vo väčšom rozsahu. Infikovaním vstupných údajov totiž kybernetickí zločinci dokážu spôsobiť, že inak funkčné systémy začnú vykazovať chybné výsledky. Začnú robiť zlé strategické rozhodnutia, čo vyústi do chaosu, narušenia prevádzky a niekedy aj nenapraviteľnej škody.
Emotet: malvér založený na strojovom učení
Emotet, malvér vytvorený na základe strojového učenia, koluje po internete už dlhé roky. Hackeri ho používajú na automatické sťahovanie neželaných aplikácií, ako sú bankové trójske kone, do počítača obete. Vďaka strojovému učeniu si Emotet dokáže svoje obete vyberať veľmi cielene. Zároveň je prekvapivo efektívny pri vyhýbaní sa výskumným zariadeniam zámerne nasadeným na zlákanie malvéru (tzv. honeypots) a nástrojom na sledovanie botnetov.
V rámci útoku Emotet zhromažďuje telemetrické údaje od potenciálnych obetí a odosiela ich na analýzu na riadiaci C&C server útočníka. Zo servera potom prijíma príkazy alebo binárne moduly. Na základe týchto údajov Emotet vyberie len tie moduly, ktoré zodpovedajú jeho určenému zámeru. Zdá sa, že tiež dokáže rozlíšiť ľudského aktéra od virtuálnych počítačov a automatizovaných prostredí, ktoré používajú výskumníci a vyšetrovatelia z oblasti kybernetickej bezpečnosti.
Schopnosť malvéru Emotet naučiť sa rozlišovať medzi skutočnými a umelo vytvorenými procesmi je obzvlášť pozoruhodná. Emotet síce umelý proces spočiatku príjme, ale do niekoľkých hodín ho zablokuje a zaradí na blacklist. Kým napadnuté zariadenie naďalej posiela údaje na počítače/boty zaradené na blacklist, Emotet prejde do neaktívneho režimu a ukončí akúkoľvek škodlivú činnosť.
Strojové učenie a internet vecí
Internet vecí (IoT) je už od svojho počiatku obľúbeným cieľom útočníkov. V súčasnosti rastie počet routerov, monitorovacích kamier a iných inteligentných zariadení rýchlym tempom. V mnohých prípadoch sú však tieto zariadenia veľmi nespoľahlivé a často sa dajú zneužiť na sledovanie a iné škodlivé aktivity. Často je to v dôsledku nezmenených výrobných nastavení, slabých hesiel alebo iných známych zraniteľností.
Pomocou algoritmov strojového učenia dokážu útočníci využiť bezpečnostné zraniteľnosti. Môžu napríklad:
Nájsť doteraz neznáme zraniteľnosti v IoT zariadeniach a zozbierať veľké množstvo údajov o prevádzke a správaní používateľov, ktoré sa potom môžu použiť na trénovanie algoritmov s cieľom zlepšiť ich skryté mechanizmy.
Naučiť sa štandardné správanie a procesy niektorých konkurenčných škodlivých programov, aby ich v prípade potreby mohli odstrániť alebo využiť na vlastné účely.
Každoročne vytvárať trénovacie súbory údajov naplnené najpoužívanejšími heslami na základe miliónov uniknutých hesiel a prístupových fráz. Hacknutie IoT zariadení je tak pre útočníka ešte jednoduchšie.
Ako sa pred online hrozbami brániť
Vďaka rozsiahlym objemom dát a lepšiemu výpočtovému výkonu sa strojové učenie v posledných rokoch rozšírilo do rôznych oblastí vrátane IT bezpečnosti. Svet digitálneho zabezpečenia sa však neustále vyvíja. Preto nie je možné dokonale ochrániť firemnú infraštruktúru pred často sa meniacimi hrozbami len pomocou algoritmov strojového učenia. Viacvrstvové riešenia v kombinácii so šikovnými a kvalifikovanými ľuďmi predstavujú jediný účinný spôsob, ak chcete byť pri ochrane svojej firmy vždy o krok vpred pred hackermi.
