Золотий вік ШІ… чи загрози безпеці?

Ми перебуваємо в золотому віці штучного інтелекту? Важко робити прогнози — і, ймовірно, необдумано. Хто хоче передбачити майбутнє такої нової технології?

Але деякі речі ми можемо сказати напевно. Багато йде про застосування штучного інтелекту для творчих робіт, від озвучування до перших чернеток сценаріїв. Але штучний інтелект, ймовірно, буде найбільш корисним, коли ви маєте справу з важкою роботою. Це хороша новина для розробників, якщо обіцянки відповідають раннім експериментам — перші чернетки коду можна легко створити та підготувати для розробників, щоб налаштовувати та повторювати їх.

Однак важливо пам’ятати про це не кожен програміст працює на законний бізнес. Подібно до того, як суб’єкти загроз кібербезпеці наслідували свої цілі, стаючи більш діловими, вони також впроваджують нові технології та методи. Ми можемо очікувати, що ШІ допоможе у розробці зловмисного програмного забезпечення та інших загроз у найближчі роки, незалежно від того, вступаємо ми в золотий вік ШІ чи ні.

Складання кодексу та шахрайство

Однією з тенденцій, які ми спостерігаємо в останні роки, є зростання пропозицій «як послуга». Ранні хакери були майстрами та пустунами, обманюючи телефонні системи або спричиняючи хаос переважно для розваги. Це принципово змінилося. Зловмисники є професіоналами та часто продають свою продукцію для інших.

ШІ дуже добре впишеться в цей спосіб роботи. Здатний створювати код для вирішення конкретних проблем, штучний інтелект може змінювати код, щоб націлити на вразливості, або взяти існуючий код і змінити його, тому його не так легко виявити засобами безпеки, які шукають конкретні шаблони.

Але на цьому можливості зловживання ШІ не закінчуються. Багато фішингових електронних листів виявляються ефективними інструментами фільтрації та потрапляють у папки сміття. Ті, які потрапляють до папки "Вхідні", часто є дуже очевидним шахрайством, написаним настільки погано, що стає на межі незрозумілим. Але штучний інтелект може зламати цей шаблон, створивши тисячі правдоподібних електронних листів, які можуть уникнути виявлення та бути достатньо добре написаними, щоб обдурити як фільтри, так і кінцевих користувачів.

Спір-фішинг, більш цілеспрямована форма цієї атаки, також може стати революцією завдяки цій технології. Звичайно, легко проігнорувати електронний лист від вашого боса з проханням перевести готівку або терміново купити подарункові картки — навчання з кібербезпеки допомагає співробітникам уникнути такого роду шахрайства. Але як щодо фальшивого телефонного дзвінка чи відеочату? ШІ має потенціал, щоб перетворити виступи в ефірі та подкасти на переконливий симулякр, який набагато складніше ігнорувати.

Боротьба з кібератаками ШІ

Є два основних способи дати відсіч перевагам, які AI надасть ворогові: кращий ШІ та краще навчання — І те й інше знадобиться.

Поява цього нового покоління ШІ поклала початок новій гонці озброєнь. Як кіберзлочинці використовують його для розвитку своїх атак, так і командам безпеки потрібно буде використовувати його для розвитку свого захисту.

Без штучного інтелекту засоби захисту покладаються на перевтомлених людей і моніторинг певних заздалегідь запрограмованих шаблонів для запобігання атакам. Захисні інструменти штучного інтелекту зможуть передбачати вектори атак і точно визначати чутливі області мережі та систем. Вони також зможуть аналізувати шкідливий код, дозволяючи краще зрозуміти, як працюють нові атаки та як їх можна запобігти.

Штучний інтелект також може працювати, у крайньому випадку, як аварійна зупинка — вимикаючи мережу після виявлення порушення та блокуючи всю систему. Хоча це не ідеально з точки зору безперервності бізнесу, це може бути набагато менш шкідливим, ніж витік даних.

Але боротьба з ШІ за допомогою ШІ — не єдина відповідь. Нам також потрібен людський розум. Яким би розумним і цілеспрямованим він не був, найкращим захистом від фішингової атаки є співробітник або клієнт, який знає, на що звернути увагу, і достатньо підозрілий, щоб не потрапити на вудку. Впровадження надійної політики безпеки та передової кібергігієни залишатимуться ключовими для захисту від атак.

Це означає, що навчання потрібно буде оновити, щоб включити ознаки атаки штучного інтелекту... якими б вони не були. Навчання потребуватиме розвитку за допомогою штучного інтелекту — один навчальний курс кожні кілька років більше не допоможе, коли це навчання швидко застаріє.

Хоча можливі ознаки кібератак, керованих ШІ, швидко змінюються, загалом атаки такі:

• Швидкий і масштабований, використовуючи численні вразливості за короткий проміжок часу.
• Адаптивний і ухильний, змінюючи тактику та техніку, щоб уникнути виявлення та реагування.
• Цільовий та персоналізований, використовуючи ШІ для створення переконливих фішингових електронних листів або кампаній соціальної інженерії.
• Оманливий і маніпулятивний, використовуючи штучний інтелект для створення підробленого або зміненого вмісту, наприклад глибоких фейків, клонування голосу або створення тексту.
• Непомітний і наполегливий, тривалий час непомітно ховаючись в мережевій інфраструктурі.

Ці ознаки не є вичерпними, і деякі атаки, керовані штучним інтелектом, можуть мати не всі з них. Проте вказують рівень загрози, яку ШІ становить для кібербезпеки.

Для ефективної боротьби з кібератаками, спричиненими штучним інтелектом, компанії повинні думати не тільки про окремих зловмисників, а й готуватися до скоординованих атак суб’єктів, спонсорованих державою, або злочинних організацій, які можуть використовувати штучний інтелект для запуску складних кампаній, використовуючи підхід, що ґрунтується на оцінці ризику. Вони також повинні мати a проактивна стратегія що включає регулярні аудити безпеки, резервне копіювання, шифрування та плани реагування на інциденти. Це найлегше досягти, отримавши відомий сертифікат безпеки, такий як PCI-DSS.

Нарешті, вкрай важливо, щоб організації покращували кібербезпеку своїх власних систем штучного інтелекту, забезпечуючи їх цілісність, конфіденційність і доступність, а також зменшуючи ризики агресивних атак, отруєння даних і викрадення моделей.

Ці стратегії допоможуть захистити бізнес, але вони не повинні бути автономними — безпека має бути спільною. Співпрацюючи з іншими організаціями, дослідниками та органами влади для обміну інформацією, найкращими практиками та помилками, на яких можна навчитися, компанії будуть краще підготовлені до нової хвилі загроз безпеці ШІ.

ШІ є одночасно новою загрозою та продовженням старих загроз. Підприємствам доведеться розвивати способи боротьби з кіберзагрозами, оскільки ці загрози стають дедалі складнішими та численнішими, але багато основних принципів залишаються незмінними. Правильний вибір залишається критичним. Командам безпеки не потрібно відмовлятися від старих ідей, а спиратися на них, щоб забезпечити безпеку свого бізнесу.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://www.darkreading.com/vulnerabilities-threats/a-golden-age-of-ai-or-security-threats-