A kiberbiztonságban is egyre fontosabbá válik a mesterséges intelligencia (AI), a gépi tanulás (ML) és az automatizáció. Fel kell azonban arra is készülni, hogy az AI-t a bűnözői oldal is előszeretettel használni fogja, főleg újabb rosszindulatú programok előállítására. Utóbbival viszont egyszerűbbé válhat a védelem – állítják a Cisco által megkérdezett biztonsági szakemberek.

A támadások egy része már a felhőben zajlik

A hálózati technológiákkal foglalkozó amerikai cég már 11. éve készíti el kiberbiztonsági jelentését, amely a kibertámadásokkal kapcsolatos legfrissebb trendeket vizsgálja. A nemrég nyilvánosságra hozott legújabb tanulmány szerint a kiberbűnözők már a felhő alapú szolgáltatásokat is felhasználják az egyre kifinomultabbá váló támadásaik során. Ennek a leggyengébb pontja továbbra is az email, azon belül is a leggyanúsabbak az office fájllal csatolt levelek, ezek 38 százaléka fertőzött.   

A másik figyelemre méltó jelenség, hogy a támadások során is egyre gyakrabban használnak titkosítást a védelem kijátszására. A jelentés szerint tavaly ősszel már a teljes webes forgalom fele titkosított csatornákon folyt. Ezen belül egy év alatt több mint megháromszorozódott a kártevők által alkalmazott titkosított hálózati kommunikáció. Ugyanakkor az AI-t felhasználva már van megoldás arra, hogy a titkosítás feloldása nélkül is meg lehessen különböztetni egymástól a rendes, illetve a malwares forgalmat.

A tavalyi egyértelműen a zsarolóprogramok éve volt. Megjelentek a zsarolóprogramnak álcázott adattörlő rosszindulatú programok és gyakoribbá váltak a szoftverbeszállítókat célzó támadások (ilyen volt a népszerű ingyenes szoftver, a CCleaner elleni hackertámadás). Ezek akár hónapokig vagy évekig is jelen lehetnek a hálózatban.

A zsarolóprogramok egy része már önjáró

A hálózati sérülékenységet használják ki a hálózat alapú zsarolóprogramok, amelyek aktiválásához nincs szükség felhasználói rásegítésre. Ezeknél a támadásoknál már nem a zsarolás útján megszerezhető bevétel, hanem a megtámadott rendszereinek a tartós lebénítása, hírnévének rombolása stb. a fő cél.

A dolgok internetének (IoT) a terjedése is kedvező terepet nyújt a kiberbűnözőknek. A hálózatba kötött eszközök többsége ugyanis olcsó és biztonsági elemeket egyáltalán nem tartalmazó megoldás. Ez egyben azt is jelzi, hogy támadhatóvá vált a jövő gazdaságát meghatározó digitalizált ipari környezet is.  

A védekezés mértékét befolyásolja egyebek mellett az okozott kár nagysága is, a Cisco globális kimutatása szerint a tavalyi támadások 53 százaléka 0,5-5 millió dollárig terjedő költséget okozott a megtámadottaknak.

A védelmi lépések egy másik jellemző tavalyi trendje volt, hogy a biztonsági riasztás ellenére a cégek 44 százaléka egyáltalán nem foglalkozott az incidenssel. A riasztások 34 százaléka bizonyult valódi támadásnak, az ezeket elszenvedőknek ugyanakkor a 49 százaléka felismerte ugyan a támadást, de semmit nem a jövőbeni hasonló lépések elhárítására.   

Fontos a minél rövidebb felderítési idő

A legfontosabb cél, továbbra is az, hogy a támadásokat minél gyorsabban fel lehessen deríteni. Ebben is jelentős előrelépést hozhatnak a mesterséges intelligencián vagy gépi tanuláson alapuló technológiák. A gépi tanulás lényege, hogy a rendszer idővel megtanulja, hogyan tudja automatikusan észlelni a szokatlan mintákat a titkosított webes forgalomban, a felhőben és a különféle IoT-s környezetekben. A Ciscónál az átlagos felderítési idő (TTD) a múlt év elején mért 14 óráról az év végére 5 óra alá csökkent.

A felmérésben megkérdezett biztonsági szakértők harmada mondta, hogy már ma is támaszkodik az új technológiákra, de az általuk adott visszajelzések egy része hamisnak bizonyult. Idő kell még ahhoz, hogy az ML- és AI-megoldások elérjék azt a fejlettségi szintet, ahol már teljes biztonsággal meg tudják állapítani, hogy a figyelt hálózaton melyek a normális aktivitások.

A Cisco hazai szakértői szerint a támadások nem állnak meg az országhatáron. A tavaly nagy port kavart WannaCry zsarolóprogramnak magyar áldozatai is voltak. Ugyanakkor a védelmi oldalon pozitív irányú elmozdulás tapasztalható: a korábbi, tűzfalközpontú szemléletet egyre inkább felváltják a felhő alapú biztonsági megoldások és az olyan technológiák, mint a hálózati szegmentálás.

Probléma, hogy miközben egyre kiterjedtebb az üzemeltetők feladatköre, egyre kevesebb az erre alkalmas szakember. Mindeközben itthon is elindultak a mesterséges intelligencián és gépi tanuláson alapuló védelmi technológiák első tesztjei, illetve az első telepítések is.