Jak dochází k prolomení bezpečnostních opatření firem, jak tomu předcházet a jak řešit situaci, kdy už k tomu dojde. Jakou roli hraje AI v útocích na citlivá data firem. Jak silná jsou řešení dostupná na DarkNetu, a jak podvádějí i potenciální útočníky. I o dalších tématech z oblasti kyber-bezpečnosti spolu diskutovali Daniel Hejda, odborník z praxe, z bezpečnostní firmy Cyber Rangers a Petr Smolník z AVERIA NEWS.
Jaká je podle Vás aktuálně nejvýznamnější událost na poli kybernetické bezpečnosti?
On je každý den významný a poslední roky je velmi intenzivně vidět aktivita z východu. Každá společnost, nejenom v rámci České republiky, je určitě v hledáčku hackerských organizací. Útoky sílí a stále se vyvíjejí další metody. Takže každý den je vlastně něco nového.
Můžete uvést nějaké nové metody útoků, které ještě před rokem nebyly v ČR moc vidět?
Je vidět, že útočníci začínají využívat AI technologie, nebo minimálně jazykové modely k tomu, aby vytvořili nový modus operandi, v rámci kterého se dokážou lépe adaptovat na češtinu, například při nějakém sociálním inženýrství. Hodně často jsou vidět nové modely využívání stávajících technologií, které organizace nemají úplně pod kontrolou. Velmi intenzivní jsou prodeje přístupových údajů, momentálně je to poměrně velký trend. Útočníci nemají vůbec potřebu se někam vlámat, koupí si správný přístup, vlezou si na správné místo, a pak jdou do napadené organizace a využívají možností, které uvnitř získali.
Jak velkou roli hraje AI v rukou kybernetických zločinců?
Já si myslím, že je to více mediální obraz, než že by to byla úplná realita. Robot se ve spoustě ohledů nedokáže adekvátně rozhodnout, jako se rozhodne lidský operátor. Útočníci, ať už jsou etičtí nebo neetičtí, jsou vlastně penetrační testeři, stejně jako my, jenom to prostě dělají jiným způsobem respektive dělají to za jiným účelem. Oni tam mají ekonomický profit, tlak na napadenou organizaci. U nás je to o tom, že máme nějaké zasmluvnění, i když tam samozřejmě máme taky ekonomický profit. Nicméně, když jsme zkoušeli AI technologie, k autonomnímu testování, nebo průniku, v našich organizacích, tak AI podle mě není až tak efektivní, jak se to prezentuje na venek.
Ale vývoj pokračuje?
Vývoj samozřejmě pokračuje a AI modely budou čím dále tím lepší. Automatizace, kterou přinese AI, do této oblasti, bude určitě stoupat, ale nevěřím, že by došlo úplně k plnému nahrazení lidských operátorů. Stále je potřeba kreativita operátora, který provádí útočné operace, který se musí často rozhodnout mimo nějakou šablonu. Protože ve chvíli, kdy útočník postupuje šablonovitým způsobem, tak i technologie, které nás chrání, šablony poznají. To znamená, byly by schopné velmi efektivně útočníka odhalit. A útočník to nechce, takže musí jít mimo šablonové postupy.
Takže předpokládáte, že třeba 90% útoků jsou lidé, skupiny lidí?
Ano, stojí zatím určitě skupiny lidí. Stojí zatím určitě velká skupina organizovaných zločinců. Nicméně, určitě využívají AI technologie k tomu, aby si některé věci usnadnili.
Na internetu jsou dostupné různé placené AI modely, které slibují analyzovat dostupná data firem, e-maily jejích uživatelů, a na základě toho odhalit přístupová hesla. Co si o takových modelech myslíte?
Záleží na tom, v jakých zdrojích hledáte, kde hledáte. Věřím, že jazykové modely jsou schopné, na základě dat, které mají k dispozici, kterými je „nakrmíte“, provést určité analýzy. Ale je třeba se na to dívat tak, že je velká pravděpodobnost, že ta hesla mohou být i nějakým způsobem halucinovaným výsledkem, protože AI je nuceno k tomu, aby něco udělalo, za každou cenu poskytlo výsledek. Je spousta podvodných AI modelů, třeba Dark GPT. Na toto téma vznikl poměrně významný výzkum od Trend Micro, kde většina z těchto AI modelů, které se údajně používají na temné straně, jsou podvodné. A vlastně se jen snaží, z rádoby útočníků, vylákat další peníze (poznámka editora: a možná i data na konkrétní firmy, která by se dala posléze využít k opravdovému útoku).
Můžete nám říci něco konkrétnějšího o zmíněném průzkumu Trend Micro?
Trend Micro udělalo poměrně intenzivní výzkum, kde zkoumalo několik GPT modelů, myslím, že to bylo v roce 2023, nebo 2024, to se dá určitě dohledat. V rámci onoho výzkumu bylo zjištěno, že jenom jeden jediný model byl vytrénovaný tak, aby dělal skutečně škodlivé operace. Všechno ostatní byly takzvané jailbreaky (poznámka editora: softwarová úprava, která umožňuje obcházet bezpečnostních omezení operačního systému), což jsou způsoby, které zmanipulují jazykový model k tomu, aby vydal kus kódů, který potom lze využít a vytvořit si s jeho pomocí útočný nástroj. Ale pokud byste AI řekli „vytvoř mi tady ransomware“, tak ho nevytvoří. Musíte říct a vykomunikovat s ním, že chcete nějaké části kódu, které si pak poskládáte, a z toho třeba vytvoříte ransomware. Problém ale je, že v něm zůstanou fragmenty, kdy ten kód je sám o sobě špatně napsaný. Vyšetřovatelé jsou potom schopni rozluštit způsob šifrování, a tím zrušit monetizační model ransomware, který má útočná skupina. Proto je využití jenom částečné, řekněme, že třeba 10 až 20%. Trend Micro potom rozebralo celou tu studii, jaké jsou modely, co byly podvody, co byly jailbreak modely a co byly skutečně natrénované modely. Věřím, že do budoucna se samozřejmě takové modely budou trénovat víc a víc, ale dneska, alespoň to, co já jsem viděl, v rámci různých diskusních fór na Darknetu, tak pro útočníky je to velmi neefektivní, drahé a trvá to dlouho. Je pro ně mnohem jednodušší využít stávající modely.
Měl jsem pocit, že Ransomware už je dávná minulost, protože firmy už mají zaholování a další bezpečnostní nástroje. Jaká je tedy současná praxe?
Ne, není to minulost. Ransomware běží pořád, trend útoků je stále stoupající, je spousta firem a spousta zranitelností, které útočníci mohou zneužívat. Když se podíváme na škálu firem, které jsou pro útočníky k dispozici, tak je jich takové obrovské množství, že je ani nestíhají napadat všechny. Čas, který útočníci nad tím stráví, je relativně krátký. Některé firmy potom data obnovují, jiné ale zálohy nemají, protože u některých útoků se třeba i povede, že útočníci zálohy zlikvidují. Modely útoků jsou různé.
Jak vnímáte bezpečnostní připravenost českých firem, za poslední tři roky? Jak jsou na tom? Kolik máte práce?
Práce máme poměrně dost. A problém, který já za poslední dobu vnímám, je v tom, že se objevilo hodně „cyber security firem“, které se tváří, že jsou „cyber security firmy“, které se zaměřují na to, aby pomáhali posílit odolnost organizací. A když se potom díváme na to, jak to tam vlastně vypadá, tak je to špatné. CIS definuje standard 18 bezpečnostních domén, ale v zákaznických organizacích je vidět, že sice mají adekvátní opatření v některých oblastech, který takové konzultační firmy třeba i znají, ale jiné úrovně jsou příliš poddimenzované. Druhá věc je, že se vyprodukuje strašně moc dat, zranitelností, slabin, v zákaznických organizacích, a pak najednou zjistíte, že interní tým takových organizací má vlastní frontu úkolů, na tři roky dopředu. Takové organizace to nejsou vůbec schopné, se stávajícíma kapacitami, zvládat, aby s tím dokázali něco dělat. O spoustě rizik i vědí, ale někdy prostě docházíme k situacím, že oni vlastně nechtějí vědět, protože by museli řešit. Takže je pro ně mnohem jednodušší se ani nenechat zkontrolovat, protože by jim to přidělávalo další a další práci, když jejich plán úkolů je naplněný, už teď, na tři roky dopředu. A to je podle mě jeden z těch velkých problémů, který zde je. A proto bude stále docházet k zašifrování firem, k vydírání, kompromitacím, odcizování dat, a tak dále.
Stíhají organizace udržet krok s útočníky? Zvládají zkracovat nárůst fronty úkolů nebo se jim spíše zvětšuje, takže vlastně nemají šanci vše ošetřit?
Situace je hodně obtížná, protože máte nějakou frontu úkolů, které řešíte, do toho nemáte jasně dané priority, toho, co chcete řešit, a co byste měli akcelerovat, a co byste měli upozadit. Do toho za Vámi chodí kontinuálně noví dodavatelé, kteří Vám nabízejí nové a nové technologie. Občas se někdo rozmyslí, „teď koupíme tohle“ a zaměstnanci se musí naučit žít s novými věcmi. A do toho útočníci, kteří samozřejmě exponenciálně vymýšlejí nové principy útoků, které aplikují. Udržet se „up to date“ je dost náročný úkol. A je potřeba mít určitě nějakého parťák, který Vám pomůže minimálně určit priority a říct, „hele, tady je to místo, kde potřebujeme zatlačit“, abychom posunuli bezpečnost na úroveň, ve všech bezpečnostních doménách a abychom aplikovali něco, čemu se říká „defense in depth“, obrana do hloubky na několika úrovních. U spousty firem vidím, že oni řeknou, „tak OK, nasadíme EDR systém a tím budeme zabezpečení, dáme ho na server, dáme ho na klienty“. Jenomže to je jen jedna technologie z několika vrstev, které je třeba aplikovat. Ale teď píchněte do toho seznamu, kde je ta priorita jedna, kde je ta priorita dva. A to všechno se akceleruje na základě vývoje kybernetických hrozeb. A na základě toho, že znáte tu organizaci, tak víte, kde by se mělo přednostně zacílit, protože tam je ta skutečná hrozba. A tam musíme aplikovat i bezpečnostní opatření.
Takže vlastně říkáte, že jak je silný nejslabší článek, tak je silná celá bezpečnost organizace?
Přesně tak! Útočníkům stačí najít jednu cestu, jenom jedno místo, jeden způsob průniku, a když už tam pronikne, tak pak je pro něj mnohem jednodušší operovat uvnitř systému. Stejně tak se mě lidi ptají na to, „tak dobře máme trénovat lidi proti sociálních inženýrství?“, a já říkám, „trénujte je na obecné rovině, ale nespoléhejte na to, že lidi nekliknou, radši s tím pracujte“. Je potřeba počítat s tím, že útočník pronikne do uživatelského počítače a přemýšlet, co tam může udělat. Stavme obranu tak, že útočník tam je, že už operuje v síti. Chceme ho vidět co nejrychleji, chceme na něj být schopni rychle reagovat, chceme být schopni ho zastavit a nedat mu k dispozici naše centrální systémy. Takže když budeme předpokládat, že k tomu dojde, tak budeme mnohem více připraveni, než když se budeme snažit chránit hrad a hradby, protože už možná máme útočníka uvnitř.
Zdroj: eGOVERNMENT.NEWS
Zdroj: B2B NETWORK NEWS
