Ljudi su i dalje najslabija karika u obrani od napada, a sad su postali slabi i na botove. Generativna umjetna inteligencija vjerojatno će tako još potaknuti phishing, a poboljšani phishing vjerojatno će potaknuti još više ransomwarea
Vrlo uvjerljive phishing-poruke iza kojih stoji umjetna inteligencija (engl. artificial intelligence – AI) zadaju muke stručnjacima, tvrtkama i njihovim zaposlenicima. Kako ih prepoznati i što učiniti da bi se izbjegla krađa podataka i ucjenjivanje zlonamjernih kibernetičkih napadača? U tome također može pomoći umjetna inteligencija, posebice ako se uključe i ostale uobičajene mjere opreza i zaštite. No neke stvari ostaju po starome: ljudski činitelj najslabija je karika, pa mjera opreza i stalne obuke zaposlenika o kibernetičkoj sigurnosti nikada nije dovoljno.
Phishing, smishing, vishing…
Posljednjih godina phishing-napadi postaju sve sofisticiraniji, slaže se suosnivač i izvršni direktor SysKita Toni Frankola, no umjetna inteligencija svojim je mogućnostima personalizacije poruka i masovnosti unijela novi sloj složenosti. Postoje različite vrste phishinga, napomenuo je. Najčešći je e-mail phishing, u kojem napadači s pomoću prevarantskih e-poruka imitiraju legitimne organizacije kako bi ukrali osobne podatke. Objašnjava da spear phising i whaling ciljaju pojedince i tvrtke koristeći se tehnikama socijalnog inženjeringa kako bi potaknuli primatelje da odobre ulaz u tvrtkine sustave, a smishing i vishing, kaže, uključuju tekstne poruke i telefonske pozive kojima napadači mame žrtve na otkrivanje osjetljivih podataka ili preuzimanje zloćudnog softvera (malware).
– Savjeti i tehnike zaštite od phishinga gotovo su isti kao i prije primjene AI-ja. Prva je edukacija zaposlenika i dizanje svijesti o kibernetičkoj sigurnosti kako bi prepoznali znakove phishing e-maila poput pošiljateljevih sumnjivih e-adresa, pravopisnih pogrešaka, zahtjeva za slanje zaporki ili zahtjeva za odobrenje pristupa resursima informacijske tehnologije. Napadači često šalju poruke koje zaposlenike potiču na brzu reakciju, poput ‘morate hitno promijeniti lozinku‘. Tako žrtvama smanjuju vrijeme za uočavanje znakova phishinga. Upozorite zaposlenike da ne klikaju na poveznice i ne preuzimaju priloge koji stižu iz neprovjerenih izvora te ih naučite kako takve e-poruke prijaviti i blokirati. Potrebna je i interna kontrola, posebno za plaćanja, ulaganje u kvalitetne IT alate, multifaktorska autentifikacija, napredno e-mail filtriranje, redovita nadogradnja sustava i phishing-testovi. I politika zaštite od prijetnji te zero-trust (nulto povjerenje) pristup mreži. U slučaju probijanja potrebno je odrediti korake za sprječavanje daljnje štete – upozorio je Frankola.
Phishing je prvi način dostave ucjenjivačkog softvera (ransomware), nastavio je, kojem je cilj da žrtva preuzme datoteku koja se skriva u pozadini korisnikova uređaja te mu ubrzo blokira pristup vlastitoj datoteci. Napadač tada ucjenjuje žrtvu da plati ‘otključavanje‘ pristupa vlastitim podacima ili će ih u protivnom izgubiti. Frankola je siguran da će porast phishinga utjecati na porast ransomwarea.
– Napade je nemoguće svesti na nulu. No alati umjetne inteligencije mogu se upotrijebiti i za prepoznavanje potencijalnih kibernetičkih napada s pomoću AI alata za filtriranje mailova pa AI algoritmi mogu analizirati URL-ove u e-mailovima ili porukama kako bi ustanovili anomalije u imenima domena. Neki AI alati mogu biti integrirani s bazama podataka o prijetnjama kako bi tvrtke bile brže u automatskom prepoznavanju novih taktika phishinga – rekao je Frankola.
Spoj više mjera
I arhitekt kibernetičke sigurnosti u Hrvatskom Telekomu Mladen Prekrat, poručuje da je uza stalnu edukaciju zaposlenika te nadogradnju potrebno primjenjivati napredne sigurnosne alate i umjetnu inteligenciju, višefaktorsku autentifikaciju, voditi sigurnosne politike i procedure, kopirati podatke, analizirati ponašanja i imati planove za oporavak. Korištenje umjetne inteligencije, prema Prekratu, uključuje razvoj algoritama koji mogu prepoznati i blokirati phishing-poruke prije nego što dođu do krajnjega korisnika te pomoć u analizi velikih količina podataka i obrazaca. Ujedno AI može biti dio sustava otkrivanja anomalija u mrežnom prometu, što može pomoći u ranom otkrivanju napada, ali nijedna mjera nije sto posto efikasna sama po sebi te se, tvrdi i Prekrat, moraju uključivati različiti pristupi. Osvještavanje ljudi o prijetnjama koje donosi generativna umjetna inteligencija, posebno kod uvjerljivih phishing-poruka, zahtijeva strateški pristup pa Prekrat iznosi da treba razumjeti prijetnju, stvoriti ispravan mentalitet i kulturu sigurnosti.
– AI može imati ključnu ulogu u obrani od kibernetičkih napada i prepoznavanju opasnosti jer se može upotrijebiti u naprednom otkrivanju prijetnji, analizama uzoraka i bržeg vremena odgovora. Primjena AI-ja može znatno poboljšati obranu organizacije od napada i djelovanje protiv mogućih prijetnji. Međutim, AI nije savršen i treba se koristiti drugim sigurnosnim mjerama i protokolima.
Uključivanje etičkih hakera može pomoći u testiranju i jačanju sigurnosnih mjera organizacije te je potrebno usklađivati se s nacionalnim i međunarodnim zakonima. Važno je osigurati i fizičku sigurnost infrastrukture i uređaja – napomenuo je Prekrat.
CARNET, Sektor – Nacionalni CERT podsjeća da je prije pojave sve učenijih modela umjetne inteligencije temeljenih na jeziku složenost hrvatskog jezika bila velika zapreka kibernetičkim kriminalcima u stvaranju uvjerljive lažne poruke i umanjivala uspješnost njihovih napada. Sada se, rekli su, stvaraju uvjerljive jezično ispravne phishing-poruke koje je teže prepoznati po gramatici.
Ne plaćati otkupnine
Osim pošiljatelja, jezika, hitnosti, potpisa i sumnjivih poveznica, istaknuli su da je potrebno razmotriti i je li poruka očekivana, sumnjiva i izaziva li emociju kod primatelja.
– Zaposlenici moraju poznavati osnove kibernetičke higijene, brinuti se o svojim poslovnim uređajima i pristupima resursima tvrtke, poštovati pravila korištenja IT opreme, mreže i ostalih računalnih resursa, ali i biti svjesni vlastite odgovornosti. Trebaju svaku sumnjivu radnju provjeriti i prijaviti. Prema procjeni o prijavljenoj prijetnji ili incidentu potrebno je obavijestiti nadležni CSIRT tim, a u Hrvatskoj je za sve incidente u malim i srednjim poduzećima te za građane odgovoran Nacionalni CERT. Ransomware može izazvati prekid poslovanja, gubitak podataka, financijsku i reputacijsku štetu, a generativna umjetna inteligencija omogućuje i manje vještim kriminalcima kibernetički napad. Nacionalni CERT savjetuje da se ne plaća otkupnina za ransomware jer nije sigurno hoće li napadači vratiti podatke i da neće ponovno ucjenjivati. Plaćanjem otkupnine postaje se možda meta drugih napadača, a dobivena sredstva napadači ulažu u infrastrukturu i ljude. Vode se još rasprave da plaćanje otkupnine postane ilegalno, no ono svakako nije etično. Umjetna inteligencija može se pri tome upotrijebiti za automatizirano otkrivanje prijetnji i ranjivosti, poboljšanje sigurnosti analizom prometa, ubrzanje razvoja i sigurnosnog testiranja, za edukacije i testiranje otpornosti zaposlenika i tvrtke – naglasili su u Nacionalnom CERT-u.
Kultura sigurnosti
Važno je koristiti se naprednim sigurnosnim tehnologijama koje uključuju detekciju anomalija, što uključuje i poboljšanje filtara za e-poštu te korištenje verifikacijskih alata koji mogu pomoći u potvrđivanju identiteta pošiljatelja poruka, rekao je Marko Jertec, voditelj Odjela konzultacija informacijske sigurnosti u Setcoru. Redoviti treninzi i radionice za zaposlenike mogu pomoći podignuti svijest o metodama kojima se koriste napadači, uključujući AI phishing-kampanje, no vjeruje da će biti potrebno jačanje zakonskog okvira koji regulira upotrebu AI tehnologija.
– U svrhu edukacije AI se može primijeniti za primjere stvaranje uvjerljivih lažnih poruka te simulacije phishing-napada. Potrebno je poticanje kulture sigurnosti, redovite provjere i nadogradnja sigurnosnih politika, suradnja sa sigurnosnim stručnjacima, industrijama i vladinim agencijama. Iako ne postoji jedinstveno rješenje za ransomware, zaštita ipak uključuje vatrozid, antivirusne programe te stalnu nadogradnju softvera tvrtke, uključujući operacijske sustave i aplikacije. Uza sigurnosne kopije podataka važna je segmentacija mreže kako bi se ograničio pristup između njezinih različitih dijelova. Dijelovi umjetne inteligencije upotrebljavaju se za npr. detekciju anomalija i ponašanja, učenje iz povijesnih podataka i prepoznavanje normalnog ponašanje unutar mreže. Kad god se dogodi odstupanje od uobičajenih obrazaca, kao što je neočekivani prijenos velike količine podataka ili pristupanje osjetljivim resursima u neobično vrijeme, AI može upozoriti sigurnosne timove na moguću prijetnju. Može također simulirati napade te pri zaštiti automatizirano reagirati i integrirati se s postojećim sigurnosnim rješenjima – opisuje Jertec.
Osim edukacije, za ICT presales experta u A1 Hrvatska Tina Herljevića ključna su komponenta u obrani tehnološke mjere, korištenje naprednih sustava za filtriranje i identifikaciju sumnjivih poruka, a dvofaktorska autentifikacija ili autentifikacija biometrijom dodatno otežava napadačima pristup računima, čak i ako uspiju dobiti korisničke podatke. Savjetuje praćenje aktivnosti na mreži i analizu podataka, nadogradnju softvera i operativnih sustava, korištenje pouzdanih antivirusnih i antimalware-alata koji mogu skenirati sustav kako bi otkrili sumnjive datoteke i radnje te reagirali prije korupcije cijelog sustava. Redovito stvaranje sigurnosnih kopija, nastavio je, omogućuje brži oporavak podataka u slučaju napada ransomwareom, čime se smanjuju gubici i prekidi poslovanja. Sigurnosna rješenja poput vatrozida ili IDS/IPS sustava mogu, prema Herljevićevu mišljenju, nadgledati promet na mreži i identificirati sumnjive radnje te automatski zaštititi sustav.