Sztuczna inteligencja coraz mocniej zmienia sposób prowadzenia cyberataków i działań w cyberprzestrzeni. Według analiz ENISA ataki są dziś coraz częściej automatyzowane i łączone w złożone łańcuchy działań, co znacząco skraca czas między wykryciem podatności a jej wykorzystaniem. A tradycyjne systemy bezpieczeństwa nie zawsze nadążają za tempem nowych zagrożeń.
AI przejmuje kolejne zadania cyberprzestępców
Rozwój tzw. modeli frontier AI, czyli najbardziej zaawansowanych systemów sztucznej inteligencji nowej generacji, zmienia nie tylko tempo cyberataków, ale też ich charakter. Chodzi o modele zdolne do analizowania całych środowisk systemowych, wyszukiwania podatności oraz łączenia ich w bardziej złożone scenariusze ataku.
Według Palo Alto Networks AI przestaje być wyłącznie narzędziem wspierającym pojedyncze działania cyberprzestępców. Systemy tego typu coraz częściej potrafią samodzielnie analizować kod, wykrywać luki bezpieczeństwa i wykorzystywać je w sposób zbliżony do autonomicznego działania.
Projekt Glasswing bada możliwości nowej AI
Jednym z projektów analizujących wpływ sztucznej inteligencji na cyberbezpieczeństwo jest Glasswing. Realizuje je firma Anthropic we współpracy z partnerami, w tym Palo Alto Networks.
Projekt ma sprawdzić, jak najnowsze modele AI, radzą sobie w środowiskach przypominających rzeczywiste systemy informatyczne. Badania obejmują m.in. analizę kodu, wykrywanie podatności oraz ocenę działania rozbudowanych aplikacji. W ramach projektu Glasswing testowane są m.in. modele Mythos oraz rozwiązania rozwijane w programie Trusted Access for Cyber firmy OpenAI.
Analizy pokazują, że nowe modele potrafią analizować nie tylko pojedyncze fragmenty kodu, ale całe środowiska aplikacyjne i ich logikę działania. Coraz skuteczniej łączą też pozornie niezależne podatności w jeden ciąg działań prowadzący do realnego wykorzystania luk.
Liczba podatności rośnie szybciej niż możliwości obrony
Eksperci Palo Alto Networks zwracają uwagę na zjawisko określane jako „vulnerability deluge”. Oznacza ono gwałtowny wzrost liczby podatności wykrywanych i wykorzystywanych z udziałem zaawansowanych modeli AI.
Organizacje muszą dziś reagować na ciągły napływ nowych zagrożeń, które pojawiają się szybciej, niż tradycyjne systemy bezpieczeństwa są w stanie je neutralizować.
Coraz większe znaczenie ma też tempo reakcji na ataki. W przypadku podatności typu Zero Day luki są wykorzystywane jeszcze przed ich ujawnieniem lub przygotowaniem poprawek. Z kolei podatności typu N Day dotyczą błędów już znanych, dla których poprawki często istnieją, ale mimo to nadal są aktywnie wykorzystywane przez cyberprzestępców.
Samo wykrycie zagrożenia przestaje być wystarczające. Kluczowe staje się skracanie czasu między identyfikacją podatności a jej neutralizacją.
Open source pod nową presją
Rozwój AI zmienia także sposób postrzegania ekosystemu open source, czyli oprogramowania z publicznie dostępnym kodem źródłowym.
– Istotną rolę w tej zmianie odgrywa ekosystem open source, który stał się jednym z kluczowych obszarów analizy w kontekście rozwoju sztucznej inteligencji i cyberbezpieczeństwa. Jego transparentność, dotychczas postrzegana jako przewaga, w erze AI nabiera bardziej złożonego znaczenia i nowych konsekwencji dla bezpieczeństwa – mówi Tomasz Pietrzyk, dyrektor techniczny w regionie Europy Środkowo-Wschodniej w Palo Alto Networks.
Jak wyjaśnia, zaawansowane modele AI skuteczniej analizują publicznie dostępny kod. Dzięki temu szybciej wykrywają błędy oraz zależności między pozornie niezwiązanymi elementami systemów. To pozwala cyberprzestępcom na bardziej złożone ataki.
– Ponieważ duża część oprogramowania komercyjnego opiera się na komponentach open source, ryzyko obejmuje dziś nie tylko pojedyncze projekty, lecz cały łańcuch zależności technologicznych – dodaje Tomasz Pietrzyk.
Cyberbezpieczeństwo ma działać szybciej
Dlatego tradycyjny model cyberbezpieczeństwa, który opiera się głównie na reakcji po wykryciu incydentu, przestaje być wystarczający. Tutaj potrzebne są rozwiązania pozwalające analizować zagrożenia w czasie rzeczywistym i automatyzować reakcję na ataki cybernetyczne.
W odpowiedzi na nowe zagrożenia Palo Alto Networks wprowadziło usługę Frontier AI Defense. Rozwiązanie ma wspierać organizacje w identyfikacji podatności, ocenie zabezpieczeń i dostosowywaniu architektury bezpieczeństwa do coraz szybszych cykli ataków. Usługa koncentruje się na trzech obszarach: analizie ekspozycji na zagrożenia, ocenie skuteczności zabezpieczeń oraz zmianach w architekturze systemów bezpieczeństwa. Cel: odejście od reaktywnego modelu ochrony na rzecz podejścia opartego na analizie ryzyka, automatyzacji oraz skracaniu czasu reakcji.
Rozwój sztucznej inteligencji zmienia sposób definiowania zagrożeń i budowania mechanizmów obronnych. Granica między analizą, wykrywaniem i reakcją coraz bardziej się zaciera. Skuteczność ochrony zależy przede wszystkim od tego, czy organizacje potrafią działać szybko, spójnie i w oparciu o aktualny obraz ryzyka.
Oznacza to, że cyberbezpieczeństwo nie jest traktowane jako stan możliwy do osiągnięcia raz na zawsze; staje się natomiast procesem ciągłego dostosowywania się do nowych metod działania cyberprzestępców.