IT riešenia s použitím umelej inteligencie dokážu vykonávať funkcie, ktoré programátori zvládnu pri bežnom programovní len s extrémnymi výkonmi. A práve preto sa bude umelá inteligencia používať čoraz viac a vo všetkých oblastiach informatizácie, hovorí Marek Kľoc, bezpečnostný architekt z odboru kybernetickej bezpečnosti zo spoločnosti LYNX. Komplexnosť ľudského mozgu však zrejme nikdy nedosiahne.
Kyberhrozby sa s príchodom modernej IT doby stali prirodzenou súčasťou nášho života. Ako ich včas zachytiť a ochrániť sa pred nimi?
Je to súboj bez jasného víťaza. Včasná a správna detekcia kybernetickej hrozby je veľmi zložitý proces, ktorý je ovplyvnený množstvom faktorov. Napríklad, či bola identifikovaná zraniteľnosť na niektorom komponente infraštruktúry, aký veľký je vektor útoku, ako ľahko je možné zneužiť zraniteľnosť, či bezpečnostné produkty použité v infraštruktúre obsahujú mechanizmus jej detekcie, či procesy vnútri organizácie sú nastavené tak, aby adekvátne a včas reagovali na danú situáciu a podobne.
A to všetko je len jedna možnosť z mnohých. V poslednom čase je veľmi častý výskyt vydieračského softvéru, takzvaného ransomvéru, kde útočník napríklad vykoná „v mene“ používateľa akciu, ktorá spôsobí nedostupnosť jeho vlastných dát – napríklad zašifrovaním. Za poplatok mu potom ponúka obnovenie jeho vlastných dát. Detekčné mechanizmy v tomto prípade sú úplne iné ako v prvom prípade, zameriavajú sa na detekciu anomálií v správaní používateľa.
Ktoré riešenia sú v súčasnosti proti kyberútokom najspoľahlivejšie? Najmä pre firmy, inštitúcie či rôzne organizácie, ktoré si nemôžu dovoliť, aby ich bezpečnosť bola prelomená.
Útočníci dobre poznajú techniky detekcie a snažia sa im vyhnúť, preto úspešná ochrana v prvom rade pozostáva z techník, ktoré používajú včasné informácie. Napríklad výrobca bezpečnostného zariadenia sleduje dianie v internete alebo darkwebe, a ak deteguje nový malvér, pripraví mechanizmus detekcie a ochrany.
Technológie zamerané na detegovanie anomálií novej generácie sú produkty, ktoré nemajú vopred definované pravidlá na rozpoznanie útoku, ale priebežne analyzujú rôzne parametre sieťovej prevádzky alebo používateľskej aktivity a hľadajú anomálie, ktoré môžu indikovať kybernetický útok. Vďaka tomu sú pri detegovaní kybernetických hrozieb veľmi úspešné.
Do popredia sa tlačí pri kybernetickej bezpečnosti aj umelá inteligencia. Ako dokáže pomôcť pri detegovaní kyberhrozieb?
Napríklad práve spomínaná detekcia anomálií sa často realizuje pomocou techník strojového učenia (machine learning – ML, podčasť umelej inteligencie). Napriek tomu, že žiadna umelá inteligencia nedosiahla kvality ľudskej inteligencie, vo vybraných oblastiach nás ľudí prekonáva.
Napríklad z analýzy textu je po splnení niekoľkých podmienok (dostupnosť dostatočného objemu iného autorovho textu) možné identifikovať autora jednoduchou frekvenčnou analýzou výskytu slov a ich kombinácií. Bežnému človeku by takáto analýza trvala veľmi dlho, pričom strojové učenie sa vie rozhodnúť do pár sekúnd.
Pri detegovaní anomálií správania používateľa sa vyhodnocujú mnohé parametre, napríklad to, ako často sa používateľ prihlasuje do jednotlivých systémov, odkiaľ a aké softvérové komponenty používa a podobne. Ak by aj útočník získal plnú kontrolu nad účtom používateľa, musel by veľmi presne napodobňovať správanie konkrétneho používateľa, aby sa vyhol mechanizmu detekcie metódami strojového učenia.
Ako to vyzerá v praxi? Ako fungujú takéto riešenia?
Čoraz viac výrobcov bezpečnostných zariadení integruje metódy strojového učenia. Výrobca často investuje do vývoja obrovské peniaze, a preto mechanizmy nie sú presne popísané. Takým zaujímavým príkladom je vzdialené prihlasovanie používateľa. S pomocou strojového učenia sa vytvorí jeden alebo niekoľko modelov s informáciami, čo je typické pre konkrétneho používateľa (napríklad z akej IP adresy sa pripája, v akom čase, ako často, akým zariadením, ako dlho od posledného prihlásenia či ako dlho trvá pripojenie) a v prípade, že je detegovaná zmena oproti „naučenému“ modelu, je vytvorený alarm alebo pripojenie je zamietnuté.
Nielen v kybernetickej bezpečnosti je limitujúcim faktorom človek.
A to všetko bez toho, aby sme do detekčného systému vložili akúkoľvek informáciu o používateľovi. Tu predpokladáme, že používatelia majú svoju rutinu a správajú sa viac-menej rovnako. Samozrejme, stane sa, že sa prihlasujú mimo svojej rutiny. Tu je možné porovnať správanie oproti zvyšku populácie, a tak eliminovať vznik falošného alarmu.
Iným príkladom je phishing. Do určitej miery je možné analýzou textu emailu rozpoznať, či text je charakteristický phishing, napríklad pomocou analýzy slov a vzťahov medzi nimi či frekvencie ich používania. V rámci tejto analýzy pracujeme s predpokladom, že človekom napísaný text v obchodnej korešpondencii má určité charakteristické vlastnosti, ktoré sú ľudskej inteligencii prirodzené, ale ich identifikácia človekom je ťažšia a často aj nemožná a strojové učenie je veľmi nápomocné. Kritickou fázou je takzvaný feature engineering, teda na základe ktorých vlastností bude vytvorený model. Tu je, naopak, zastúpenie človeka nenahraditeľné.
Existujú ešte nejaké ďalšie príklady?
Príkladom je aj ochrana webových portálov prístupných z internetu. Je možné s pomocou strojového učenia rozpoznať v pohyboch myši používateľa, či ňou pohybuje živý človek alebo program. Model pohybu myši človekom je často vytvorený vopred a je natrénovaný na vhodnej vzorke ľudí aby bol dostatočne generický.
Aj tu strojové učenie pracuje s predpokladom že pohyby myši človekom sú špecifické, limitované biologickými vlastnosťami ľudskej ruky a jeho reakciami a preto, ak útočník vytvorí program, ktorým automatizovane pristupuje k webovému portálu, je možné rozpoznať, že ide o naprogramovanú činnosť, a to aj v prípade že používa správne prihlasovacie údaje. Takto je potom možné rozpoznať rôzne aktivity smerujúce ku kybernetickým útokom.
Pre koho sú vhodné, kto by mal po nich siahnuť?
Nie je to ničím limitované. Dôležité je, aby oblasť, v ktorej sa používajú tieto techniky, bola na to vhodná. Napríklad tam, kde postačuje definovanie prahovej hodnoty, nemá význam aplikovať strojové učenie.
Ako dokáže takáto umelá inteligencia pomôcť v biznise?
Nielen v kybernetickej bezpečnosti je limitujúcim faktorom človek. Pozornosť človeka, ktorý analyzuje bezpečnostnú situáciu, je v noci alebo na konci pracovného času určite menšia, preto detekčné mechanizmy postupne nahradia ľudí. Naopak, pri feature engineeringu sú ľudia nenahraditeľní. Táto spolupráca potom vedie k vysokej efektivite a nižšej chybovosti, čím zlepšuje podmienky na biznis.
Sú riešenia založené na umelej inteligencii novým trendom v oblasti kybernetickej bezpečnosti?
Umelá inteligencia je tu už dlho, ale posledných pár rokov zažíva masívny nárast použitia, preto môžeme hovoriť, že ide o nový trend.
Vývoj a výskum musia stále pokračovať, aj tá najlepšia technika bude prekonaná a tak to pôjde dokola.
Bude sa umelá inteligencia používať v tomto smere čoraz viac?
Všetko nasvedčuje tomu, že sa bude používať čoraz viac. Platformy na vývoj modelov umelej inteligencie a potrebný výpočtový výkon sú bežné a cenovo dostupné. Čoraz častejšie sa používa umelá inteligencia pre určitý scenár aj bez teoretických znalostí matematiky, hovoríme potom o black box implementáciách.
Širšiemu použitiu umelej inteligencie pomáha aj transfer learning, kde vytvorený model je replikou iného zverejneného modelu s minimom zmien. V neposlednom rade umelá inteligencia, respektíve strojové učenie, môže byť do určitej miery použiteľná aj bez prítomnosti experta na danú oblasť (neasistované učenie), ale výsledky musí validovať expert v danej oblasti.
No asi najdôležitejším dôvodom je, že riešenia s použitím umelej inteligencie dokážu vykonávať také funkcie, ktoré je bežným programovaním nemožné alebo extrémne náročné realizovať. To všetko ma vedie k názoru, že umelá inteligencia sa bude používať čoraz častejšie, takmer vo všetkých oblastiach IT bezpečnosti.
Koľko stojí takáto ochrana? Je to pre firmu, inštitúciu či organizáciu finančne zvládnuteľné? Oplatí sa takáto investícia?
Aktuálne síce výrobcovia majú rozdielne ceny pre produkty s umelou inteligenciou, prípadne vytvorili špeciálne produkty, postupom času však bude funkcionalita umelej inteligencie bežnou súčasťou produktov bez toho, aby cena produktu narástla.
Kyberhrozby sa neustále vyvíjajú, a preto sa vyvíjajú aj riešenia v oblasti kybernetickej bezpečnosti. Čo prognózujete tejto oblasti?
Veľmi ťažká otázka. V princípe je to podobné ako s antibiotikami, kde vznikajú baktérie odolné proti antibiotikám. Aj v oblasti kybernetickej bezpečnosti vznikajú techniky kybernetických prienikov, ktoré sú odolné voči súčasným detekčným mechanizmom. Preto vývoj a výskum musia stále pokračovať, aj tá najlepšia technika bude prekonaná a tak to pôjde dokola.
Spolu s umelou inteligenciou sa často vynárajú etické diskusie, pri boji s kyberhrozbami je to zrejme nepodstatné.
Práveže nie je. Často dostávam otázky, či zbierané informácie nemôžu byť zneužité alebo umelá inteligencia nemôže ohroziť človeka. Myslím si, že ľudský mozog, aj keď je v špecifických úlohách menej výkonný ako umelá inteligencia, je komplexnosťou inteligencie taký rozsiahly, že je možné že žiadna umelá inteligencia nedosiahne takú komplexnosť.
K zneužitiu informácií môže dôjsť, a preto tak ako každý kvalitný softvérový komponent, musí aj softvér s umelou inteligenciu obsahovať ochranu pred takýmto zneužitím. Ale to je už iná oblasť kybernetickej ochrany. Osobne však vidím etické problémy hlavne v oblasti obranného priemyslu, napríklad drony s umelou inteligenciou schopné zabiť človeka.
- Marek Kľoc
Vyštudoval Technickú univerzitu v Košiciach, Fakultu elektrotechniky a informatiky (projektovanie a prevádzka informačných systémov) dokončil v roku 2003. Od roku 2005 pôsobí v LYNX-e v odbore kybernetickej bezpečnosti. Ako bezpečnostný architekt sa podieľal na mnohých projektoch, pričom aktuálne sa venuje aplikovaniu strojového učenia v oblasti kybernetickej bezpečnosti.
