Впрошлом году растущая обеспокоенность по поводу проникновения китайских злоумышленников в американские организации достигла апогея, поскольку федеральные власти выпустили все более срочные предупреждения о проникновении китайских группировок «Тайфун» в американские сети, призывая организации принять немедленные меры.
Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) предупредили , что эти группы занимаются массированными вторжениями, начиная от проникновения в телекоммуникационные сети и важные коммуникационные платформы правоохранительных органов с целью заблаговременного расположения в критически важных инфраструктурных сетях для уничтожения или нарушения работы служб.
Однако с конца января правительство США практически не выпускало оповещений о китайских или других государственных организациях, представляющих собой постоянно действующие угрозы (APT), включая Россию, Северную Корею и Иран. Эксперты утверждают, что, несмотря на отсутствие предупреждений, сейчас как никогда важно сохранять бдительность в отношении этих группировок, особенно учитывая стремительное развитие технологий искусственного интеллекта (ИИ), позволяющее специалистам по безопасности обнаруживать эти организации со скоростью машинного обучения и пресекать их действия.
«Ваша способность быстро реагировать действительно важна», — сказал Алекс Стамос, руководитель службы информационной безопасности SentinelOne, в интервью CyberScoop. «Вы не можете позволить аналитику вашего центра безопасности отлучиться в туалет за пятнадцать-двадцать минут, а затем вернуться, чтобы просмотреть оповещение и принять решение, потому что злоумышленники уже на десять шагов впереди вас».
«Китайские киберпреступники стремятся к очень масштабным операциям», — рассказал CyberScoop Алон Шиндель, вице-президент по ИИ и исследованиям угроз в Wiz. «ИИ может помочь службам кибербезопасности быстрее реагировать и сократить количество проблем. Это позволяет сократить время устранения. Вот в чём суть».
«ИИ призван дополнить ваши усилия, связывая воедино множество разрозненных данных или контекст, отсутствующий в разных разрозненных системах», — рассказал CyberScoop Кристиан Родригес, технический директор CrowdStrike в Северной и Южной Америке. «Мы твёрдо убеждены, что ИИ помогает преодолеть этот разрыв между разрозненными источниками данных, что позволяет лучше понимать, какие действия необходимо предпринять злоумышленнику для достижения успеха в своей тактике».
«Чтобы попытаться понять, является ли это реальной атакой или просто какой-то другой активностью, ложным срабатыванием продукта безопасности, можно использовать контекст, имеющийся в вашей реальной производственной среде, в вашем коде и продуктах обнаружения угроз», — сказал Шиндель. «Вы можете предоставить всю эту информацию LLM, и за несколько секунд вы получите заключение с высокой степенью уверенности: является ли это реальной атакой, ложным срабатыванием или, возможно, какой-то обычной активностью в вашей среде».
До появления искусственного интеллекта у защитников были огромные объёмы информации, собранной в разных местах, и у них было мало возможностей связать воедино события, происходящие в разных источниках журналов по всему технологическому стеку. Традиционно журналы не записывались в репозиторий, «который позволял бы гипермасштабировать и гиперанализировать значение этих точек данных при их объединении», — сказал Стамос.
«Очень немногие компании обладают такой прозрачностью всей своей облачной инфраструктуры и локальных технологий, что могут видеть всё это одновременно, обнаруживать и отслеживать злоумышленников в режиме реального времени во всех этих различных средах», — сказал Стамос. «И очень немногие компании могут реагировать достаточно быстро».
По словам Стамоса, такая непрозрачность особенно выгодна китайским киберпреступникам, особенно в системах на базе Microsoft, которые доминируют в облачных технологиях, системах безопасности и операционных системах корпоративного сектора. «[Китайские киберпреступники] очень преуспели в создании цепочек уязвимостей в этих трёх областях», — сказал он. «Например, можно создать точку входа в облаке, где можно подобрать имя пользователя и пароль методом подбора».
«Эти атаки не регистрируются и не оповещаются», — сказал Стамос. «Поэтому они могут просто перебирать пароли несколько дней, пока не найдут подходящую пару паролей пользователей, а затем использовать её против VPN, привязанной к Microsoft Active Directory, и получить доступ к контроллеру домена. Теперь они могут провести традиционную атаку на контроллер домена. В облаке это невозможно, это возможно только локально».
Сочетание облачных технологий и украденных личных данных — это ключ к тому, как ИИ может начать выявлять вторжения, действительно помогая специалистам по безопасности. «ИИ может начать выявлять контекст для того, что является аномальным, например, в попытках входа в систему», — сказал Родригес из CrowdStrike.
«Использование легитимных учётных данных для доступа в вашу среду вместо использования вредоносного ПО, которое, например, создаёт очень много шума», — именно так происходит большинство несанкционированных вторжений, добавил Родригес. «ИИ может стать для аналитиков возможностью масштабировать свои усилия на этих больших наборах данных, чтобы контекстно понимать выбросы данных о попытках входа в систему и выбросы данных об авторизации в разных приложениях. Подумайте об идентификации, о том, что происходит на ваших конечных точках, и о том, что происходит в ваших облачных рабочих нагрузках. Всё это основные источники данных, которые должен использовать специалист по защите при реагировании на атаку или её анализе».
Судя по предыдущим китайским кампаниям, направленным на кражу интеллектуальной собственности, и текущим признакам подобных атак, можно предположить, что Китай теперь «нацелился на компании, занимающиеся ИИ, из-за их моделей», сказал Шиндель. «Они пытаются украсть информацию, а затем создать собственные версии на основе того, что они украли в ходе своих операций».
«Некоторые из этих злоумышленников, особенно те, кто исходит из Китая и даже Северной Кореи, не только ищут или используют идентификационные данные, но и ищут эти большие пользовательские языковые модели или любой тип генеративного ИИ, который вы можете размещать в своих облачных сервисах», — сказал Родригес из CrowdStrike.
«Злоумышленник ищет неправильно настроенные большие языковые модели и любые другие типы искусственного интеллекта, которые вы можете размещать в своём облаке, поскольку они также могут стать точкой утечки данных, если злоумышленник получит доступ к этим системам», — добавил он. «И вы непреднамеренно внедрили в эти системы конфиденциальную информацию или IP-адреса. В конечном итоге он может воспользоваться инженерными решениями или даже доступом к некорректным конфигурациям этих моделей, чтобы похитить конфиденциальные данные».
Стамос заявил, что организациям «необходимо собирать как можно больше телеметрических данных по безопасности и хранить их в едином озере данных, к которому можно быстро обращаться в режиме реального времени. Необходимо проделать всю эту работу, и это сложно».
Родригес советует организациям «обеспечить безопасность своих идентификационных данных. Это прежде всего. Убедитесь, что вы понимаете, какие идентификационные данные у вас есть для этих сервисов, используйте такие функции, как многофакторная аутентификация, и [следите за тем], чтобы привилегии для этих идентификационных данных регулярно оценивались, чтобы убедиться, что вы не расширяете доступ к какой-либо одной или нескольким идентификационным данным, например, в облачных средах».
Несмотря на то, что использование ИИ для борьбы с китайскими и другими злоумышленниками — сложная и трудоёмкая задача, для реализации которой могут потребоваться опытные специалисты по ИИ, Шиндель утверждает, что большинство организаций могут легко начать этот процесс без таких дефицитных специалистов. «Единственное, что вам нужно, — это кто-то, увлечённый ИИ в вашей команде», — сказал он. «У него не обязательно должен быть какой-либо значительный опыт работы с ИИ, достаточно того, кто умеет им пользоваться. Эти модели просты в использовании».
Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) предупредили , что эти группы занимаются массированными вторжениями, начиная от проникновения в телекоммуникационные сети и важные коммуникационные платформы правоохранительных органов с целью заблаговременного расположения в критически важных инфраструктурных сетях для уничтожения или нарушения работы служб.
Однако с конца января правительство США практически не выпускало оповещений о китайских или других государственных организациях, представляющих собой постоянно действующие угрозы (APT), включая Россию, Северную Корею и Иран. Эксперты утверждают, что, несмотря на отсутствие предупреждений, сейчас как никогда важно сохранять бдительность в отношении этих группировок, особенно учитывая стремительное развитие технологий искусственного интеллекта (ИИ), позволяющее специалистам по безопасности обнаруживать эти организации со скоростью машинного обучения и пресекать их действия.
«Ваша способность быстро реагировать действительно важна», — сказал Алекс Стамос, руководитель службы информационной безопасности SentinelOne, в интервью CyberScoop. «Вы не можете позволить аналитику вашего центра безопасности отлучиться в туалет за пятнадцать-двадцать минут, а затем вернуться, чтобы просмотреть оповещение и принять решение, потому что злоумышленники уже на десять шагов впереди вас».
«Китайские киберпреступники стремятся к очень масштабным операциям», — рассказал CyberScoop Алон Шиндель, вице-президент по ИИ и исследованиям угроз в Wiz. «ИИ может помочь службам кибербезопасности быстрее реагировать и сократить количество проблем. Это позволяет сократить время устранения. Вот в чём суть».
ИИ объединяет все это
Эксперты подчёркивают, что реальная ценность ИИ в выявлении и пресечении сложных угроз заключается в его способности обрабатывать огромные объёмы информации на всех технологических площадках организации. Затем ИИ может сопоставлять эти данные для быстрого выявления и потенциального пресечения подозрительного поведения.«ИИ призван дополнить ваши усилия, связывая воедино множество разрозненных данных или контекст, отсутствующий в разных разрозненных системах», — рассказал CyberScoop Кристиан Родригес, технический директор CrowdStrike в Северной и Южной Америке. «Мы твёрдо убеждены, что ИИ помогает преодолеть этот разрыв между разрозненными источниками данных, что позволяет лучше понимать, какие действия необходимо предпринять злоумышленнику для достижения успеха в своей тактике».
«Чтобы попытаться понять, является ли это реальной атакой или просто какой-то другой активностью, ложным срабатыванием продукта безопасности, можно использовать контекст, имеющийся в вашей реальной производственной среде, в вашем коде и продуктах обнаружения угроз», — сказал Шиндель. «Вы можете предоставить всю эту информацию LLM, и за несколько секунд вы получите заключение с высокой степенью уверенности: является ли это реальной атакой, ложным срабатыванием или, возможно, какой-то обычной активностью в вашей среде».
До появления искусственного интеллекта у защитников были огромные объёмы информации, собранной в разных местах, и у них было мало возможностей связать воедино события, происходящие в разных источниках журналов по всему технологическому стеку. Традиционно журналы не записывались в репозиторий, «который позволял бы гипермасштабировать и гиперанализировать значение этих точек данных при их объединении», — сказал Стамос.
Облачная связь имеет решающее значение
Большинство экспертов сходятся во мнении, что растущее внедрение облачных технологий играет ключевую роль в проблеме разрозненности источников данных. Перемещение информации между облачными и локальными системами создаёт больше возможностей для горизонтального перемещения злоумышленников внутри организации.«Очень немногие компании обладают такой прозрачностью всей своей облачной инфраструктуры и локальных технологий, что могут видеть всё это одновременно, обнаруживать и отслеживать злоумышленников в режиме реального времени во всех этих различных средах», — сказал Стамос. «И очень немногие компании могут реагировать достаточно быстро».
По словам Стамоса, такая непрозрачность особенно выгодна китайским киберпреступникам, особенно в системах на базе Microsoft, которые доминируют в облачных технологиях, системах безопасности и операционных системах корпоративного сектора. «[Китайские киберпреступники] очень преуспели в создании цепочек уязвимостей в этих трёх областях», — сказал он. «Например, можно создать точку входа в облаке, где можно подобрать имя пользователя и пароль методом подбора».
«Эти атаки не регистрируются и не оповещаются», — сказал Стамос. «Поэтому они могут просто перебирать пароли несколько дней, пока не найдут подходящую пару паролей пользователей, а затем использовать её против VPN, привязанной к Microsoft Active Directory, и получить доступ к контроллеру домена. Теперь они могут провести традиционную атаку на контроллер домена. В облаке это невозможно, это возможно только локально».
Сочетание облачных технологий и украденных личных данных — это ключ к тому, как ИИ может начать выявлять вторжения, действительно помогая специалистам по безопасности. «ИИ может начать выявлять контекст для того, что является аномальным, например, в попытках входа в систему», — сказал Родригес из CrowdStrike.
«Использование легитимных учётных данных для доступа в вашу среду вместо использования вредоносного ПО, которое, например, создаёт очень много шума», — именно так происходит большинство несанкционированных вторжений, добавил Родригес. «ИИ может стать для аналитиков возможностью масштабировать свои усилия на этих больших наборах данных, чтобы контекстно понимать выбросы данных о попытках входа в систему и выбросы данных об авторизации в разных приложениях. Подумайте об идентификации, о том, что происходит на ваших конечных точках, и о том, что происходит в ваших облачных рабочих нагрузках. Всё это основные источники данных, которые должен использовать специалист по защите при реагировании на атаку или её анализе».
Предупреждение: системы искусственного интеллекта сами нуждаются в защите
Несмотря на всю пользу технологий ИИ для выявления и пресечения угроз, эксперты предупреждают, что новые модели LLM и другие технологии ИИ, используемые специалистами по безопасности для защиты активов, сами по себе являются излюбленными целями для злоумышленников. Хуже того, эти технологии ИИ могут привести к утечке организационных секретов.Судя по предыдущим китайским кампаниям, направленным на кражу интеллектуальной собственности, и текущим признакам подобных атак, можно предположить, что Китай теперь «нацелился на компании, занимающиеся ИИ, из-за их моделей», сказал Шиндель. «Они пытаются украсть информацию, а затем создать собственные версии на основе того, что они украли в ходе своих операций».
«Некоторые из этих злоумышленников, особенно те, кто исходит из Китая и даже Северной Кореи, не только ищут или используют идентификационные данные, но и ищут эти большие пользовательские языковые модели или любой тип генеративного ИИ, который вы можете размещать в своих облачных сервисах», — сказал Родригес из CrowdStrike.
«Злоумышленник ищет неправильно настроенные большие языковые модели и любые другие типы искусственного интеллекта, которые вы можете размещать в своём облаке, поскольку они также могут стать точкой утечки данных, если злоумышленник получит доступ к этим системам», — добавил он. «И вы непреднамеренно внедрили в эти системы конфиденциальную информацию или IP-адреса. В конечном итоге он может воспользоваться инженерными решениями или даже доступом к некорректным конфигурациям этих моделей, чтобы похитить конфиденциальные данные».
Что могут сделать защитники?
По словам Стамоса, в настоящее время очень немногие организации используют ИИ таким образом, чтобы быть готовыми к отражению угроз со стороны изощрённых противников и обеспечивать вмешательство в режиме реального времени. «Из списка Fortune 500 на этом уровне работают, пожалуй, от 150 до 200 компаний», — сказал он.Стамос заявил, что организациям «необходимо собирать как можно больше телеметрических данных по безопасности и хранить их в едином озере данных, к которому можно быстро обращаться в режиме реального времени. Необходимо проделать всю эту работу, и это сложно».
Родригес советует организациям «обеспечить безопасность своих идентификационных данных. Это прежде всего. Убедитесь, что вы понимаете, какие идентификационные данные у вас есть для этих сервисов, используйте такие функции, как многофакторная аутентификация, и [следите за тем], чтобы привилегии для этих идентификационных данных регулярно оценивались, чтобы убедиться, что вы не расширяете доступ к какой-либо одной или нескольким идентификационным данным, например, в облачных средах».
Несмотря на то, что использование ИИ для борьбы с китайскими и другими злоумышленниками — сложная и трудоёмкая задача, для реализации которой могут потребоваться опытные специалисты по ИИ, Шиндель утверждает, что большинство организаций могут легко начать этот процесс без таких дефицитных специалистов. «Единственное, что вам нужно, — это кто-то, увлечённый ИИ в вашей команде», — сказал он. «У него не обязательно должен быть какой-либо значительный опыт работы с ИИ, достаточно того, кто умеет им пользоваться. Эти модели просты в использовании».
