Mesterséges intelligencia – az érme két oldala a belső fenyegetésekben
„Minden azon múlik, hogy hogyan használunk egy adott eszközt. Például egy késsel lehet kenyeret vágni, de meg is lehet vele támadni valakit. Ezen áll, hogy hasznos konyhai eszköz lesz belőle vagy veszélyes fegyver. Ugyanez vonatkozik a digitális technológiára és alapvetően a mesterséges intelligenciára is.”
Dragoș Tudorache, román bíró, európai parlamenti képviselő
A mesterséges intelligencia (MI) a legújabb fegyver a macska-egér harcban a kiberbűnözők és az IT-biztonsági szakemberek között. A rosszindulatú támadók még rafináltabb módszereket eszelhetnek ki a segítségével arra, hogy betörjenek a cégek rendszereibe. Ugyanakkor a fejlett megoldások a védekezésben is jelentős előnyöket biztosíthatnak. A Micro Focus szakértői arra hívják fel a figyelmet, hogy az MI páratlan gyorsasággal képes óriási mennyiségű esemény között is kiszúrni a gyanús tevékenységeket, és ezzel súlyos pénzeket spórolhat meg a vállalatoknak.
Az emberek becsapásával mindig is jól lehetett keresni. Az ezzel kapcsolatos aggályokat csak fokozza, hogy mindenki számára elérhetővé válnak olyan, mesterséges intelligencián alapuló rendszerek, mint például a ChatGPT. Egy ilyen generatív nyelvi modell képes pillanatok alatt tökéletesen megfogalmazott szöveget írni bármilyen témáról. Az eszközt pedig nem csupán szemfüles diákok használják leckeíráshoz, túlterhelt social media szakemberek különféle posztok megalkotásához vagy éppen rátermett újságírók a munkájuk megkönnyítéséhez. Mivel bárki hozzáférhet, így a kiberbűnözők is kihasználhatják a képességeit egy meggyőzőnek tűnő, átverős e-mail megfogalmazásához, hogy tökéletesítsék social engineering támadásaikat, amelyek során pszichológiailag manipulálják áldozataikat. A technológia ráadásul kódírásra is képes a megfelelő utasítások alapján, ami rosszindulatú célokra is felhasználható.
Házi feladat
Azonban, mint minden innovációt, így az MI-t is ugyanúgy lehet jó célra használni, mint rosszra. Sőt, éppen az MI tud hatékony megoldást kínál olyan problémákra, amelyek egyre nagyobb kihívást jelentenek. Ilyen terület például a belső fenyegetések kezelése a vállalatoknál.
A Ponemon Institute „2022 Cost of Insider Threats: Global Report” jelentésében arra hívta fel a figyelmet, hogy a belső fenyegetésekhez kapcsolható incidensek száma 44 százalékkal nőtt az elmúlt két évben. Az egy incidensre jutó költségek pedig több mint harmadával emelkedtek, 15,38 millió dollárra.
A belső fenyegetések gyakran olyan alkalmazottaktól származnak, akik vagy véletlenül okoznak kárt (például social engineering támadás áldozataként) vagy rosszindulatból (szándékos bűncselekményt követve el). A Pegasus Airline egy alkalmazottja például tavaly rosszul konfigurált egy adatbázist, ennek eredményeként pedig nem szándékosan 23 millió, személyes adatokat tartalmazó fájl kerül ki az internetre. A General Electric vállalattól pedig összesen több mint 8000 érzékeny fájlt tulajdonított el egy rosszindulatú alkalmazott 8 év leforgása alatt. Akár véletlen az eset, akár szándékosan követték el, a végeredmény általában az, hogy bizalmas adatok szivárognak ki, vagy veszélybe kerülnek a vállalati rendszerek, esetleg nem is képesek rendelkezésre állni egy bizonyos ideig.
Árulkodó jelek: tű a szénakazalban
A belső fenyegetéseket nehéz időben észlelni és kiszűrni, léteznek azonban jelek, amelyekből lehet rájuk következtetni. Ezek megjelenhetnek például az alkalmazottak viselkedésben: az elégedetlenkedés vagy bizonyos szabályok megkerülése tipikusan ilyen. De a digitális térben végzett tevékenységek is árulkodhatnak. Érdemes akkor is gyanakodni, ha egy munkavállaló szokatlan időben jelentkezik be a rendszerbe, vagy nem engedélyezett eszközt, például USB-kulcsot használ, esetleg érzékeny adatokat keres és nyit meg. A vállalati hálózatokban azonban millió folyamat és aktivitás zajlik, amelyek közül nehéz észrevenni az árulkodó jeleket.
A Micro Focus szakértői szerint a vállalatok úgy előzhetik meg a belső fenyegetéseket a leghatékonyabban, ha igénybe veszik a fejlett technológiákat arra, hogy meghatározzák, mi számít megszokott viselkedésnek, majd folyamatosan monitorozzák a szervezeten belül zajló tevékenységeket. Erre a feladatra tökéletesen alkalmas például az ArcSight Intelligence, amely figyeli a naplófájlokat, és gépi tanulásra, illetve mesterséges intelligenciára támaszkodva magától feltérképezi a felhasználók és eszközök szokásait. A megoldás folyamatosan ellenőrzi az eseményeket, és automatikusan riasztást küld az illetékes szakembereknek azokról az aktivitásokról, amelyek gyanúra adhatnak okot, ezért érdemes kivizsgálni őket, mielőtt komolyabb baj történhetne. Az ArcSight így nem csupán elhárítja a belső fenyegetéseket, de az IT-biztonsági részleg terheit is enyhíti, továbbá segít a kibervédelemre fordított költségek csökkentésében azáltal, hogy javítja a biztonsági elemzők hatékonyságát.