Sztuczna inteligencja stała się potężnym narzędziem w walce z cyberprzestępcami. Jest skuteczna między inni dlatego, że może tworzyć wzorce standardowej aktywności użytkownika i wykrywać anomalie. Dzięki temu potrafi zidentyfikować sytuacje, w których atakujący wykorzystują do swoich działań przejęte dane uwierzytelniające.
Każdy użytkownik firmowych systemów i urządzeń ma charakterystyczny dla siebie profil cyfrowy, opierający się między innymi na tym, jak, gdzie i kiedy pracuje. Aktywności wykraczające poza ten schemat mogą zostać wykryte przez sztuczną inteligencję, która w takich przypadkach wygeneruje alert.
– W pierwszej połowie 2023 roku analiza wzorców oparta na sztucznej inteligencji pomogła naszemu narzędziu Barracuda Managed XDR wykryć i unieszkodliwić tysiące bardzo ryzykownych incydentów bezpieczeństwa. Najczęściej powtarzały się wśród nich trzy zagrożenia wymagające natychmiastowego działania – logowanie z podejrzanych lokalizacji, niestandardowe zachowania użytkownika oraz komunikacja ze znanymi złośliwymi obiektami – mówi Michał Zalewski, inżynier w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.
Czym charakteryzują się te zagrożenia?
– Logowanie z podejrzanej lokalizacji. Mamy z nim do czynienia, gdy użytkownik próbuje zalogować się do danego zasobu w krótkim czasie z dwóch fizycznie odległych od siebie lokalizacji. Na tyle odległych, by nie dało się pokonać dystansu między nimi w czasie, który upłynął od jednego logowania do drugiego. Może to również oznaczać, że w przypadku jednej z sesji użytkownik korzysta z sieci VPN, jednak często jest to sygnał, że atakujący uzyskali dostęp do jego konta.
– W jednym z incydentów badanych przez nasz zespół SOC użytkownik zalogował się na swoje konto Microsoft 365 z Kalifornii, a następnie zaledwie trzynaście minut później z Wirginii – wyjaśnia Michał Zalewski. – Aby przebyć odległość dzielącą te miejsca w takim czasie, musiałby podróżować z prędkością przekraczającą 16 000 kilometrów na godzinę. Dodatkowo adres IP użyty do zalogowania się z Wirginii nie był powiązany z żadnym znanym adresem VPN, a użytkownik zwykle nie logował się z tej lokalizacji. Nasz zespół poinformował więc o sytuacji klienta. Ten potwierdził, że to nieautoryzowane logowanie i natychmiast zresetował swoje hasła oraz wylogował nieuprawnionego użytkownika ze wszystkich aktywnych sesji.
– Niestandardowa aktywność. Sztuczna inteligencja może rozpoznać także nietypową lub nieoczekiwaną aktywność na koncie użytkownika. Do takich aktywności zaliczane są logowania w niestandardowych godzinach, nietypowe wzorce dostępu do plików lub tworzenie wielu kont dla pojedynczego użytkownika lub organizacji. Tego typu działania mogą być sygnałem różnych problemów, w tym infekcji złośliwym oprogramowaniem, ataków phishingowych oraz zagrożeń ze strony pracowników wewnętrznych.
– Komunikacja ze znanymi złośliwymi obiektami. Sztuczna inteligencja identyfikuje to zagrożenie, gdy użytkownicy komunikują się z podejrzanymi lub złośliwymi adresami IP, domenami lub pobierają/przesyłają pliki o podejrzanej sygnaturze. Takie działania mogą być oznaką zainfekowania urządzenia złośliwym oprogramowaniem lub ataku phishingowego. W takim przypadku powinno się natychmiast dokonać wielopoziomowej izolacji takiego komputera.
– Warto pamiętać o tym, że sztuczna inteligencja może zostać wykorzystana także przez cyberprzestępców, na przykład do tworzenia bardzo przekonujących wiadomości e-mail lub do dostosowania złośliwego kodu do konkretnych celów. Aby zabezpieczyć swoją organizację i pracowników przed coraz bardziej wyrafinowanymi cyberatakami, należy wprowadzić wielowarstwowe zabezpieczenia, obejmujące mechanizmy silnego uwierzytelniania, regularne szkolenia pracowników i aktualizacje oprogramowania. Dobrze jest także zapewnić stały monitoring całej sieci, aplikacji i punktów końcowych – podsumowuje Michał Zalewski z Barracuda Networks.
