Analiza wzorców oparta na sztucznej inteligencji pomaga w walce z cyberprzestępcami
Sztuczna inteligencja stała się potężnym narzędziem w walce z cyberprzestępcami. Jest skuteczna między inni dlatego, że może tworzyć wzorce standardowej aktywności użytkownika i wykrywać anomalie. Dzięki temu potrafi zidentyfikować sytuacje, w których atakujący wykorzystują do swoich działań przejęte dane uwierzytelniające.
Każdy użytkownik firmowych systemów i urządzeń ma charakterystyczny dla siebie profil cyfrowy, opierający się między innymi na tym, jak, gdzie i kiedy pracuje. Aktywności wykraczające poza ten schemat mogą zostać wykryte przez sztuczną inteligencję, która w takich przypadkach wygeneruje alert.
W pierwszej połowie 2023 roku analiza wzorców oparta na sztucznej inteligencji pomogła naszemu narzędziu Barracuda Managed XDR wykryć i unieszkodliwić tysiące bardzo ryzykownych incydentów bezpieczeństwa. Najczęściej powtarzały się wśród nich trzy zagrożenia wymagające natychmiastowego działania – logowanie z podejrzanych lokalizacji, niestandardowe zachowania użytkownika oraz komunikacja ze znanymi złośliwymi obiektami – mówi Michał Zalewski, inżynier w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.
Czym charakteryzują się te zagrożenia?
Logowanie z podejrzanej lokalizacji. Mamy z nim do czynienia, gdy użytkownik próbuje zalogować się do danego zasobu w krótkim czasie z dwóch fizycznie odległych od siebie lokalizacji. Na tyle odległych, by nie dało się pokonać dystansu między nimi w czasie, który upłynął od jednego logowania do drugiego. Może to również oznaczać, że w przypadku jednej z sesji użytkownik korzysta z sieci VPN, jednak często jest to sygnał, że atakujący uzyskali dostęp do jego konta.
W jednym z incydentów badanych przez nasz zespół SOC użytkownik zalogował się na swoje konto Microsoft 365 z Kalifornii, a następnie zaledwie trzynaście minut później z Wirginii – wyjaśnia Michał Zalewski. – Aby przebyć odległość dzielącą te miejsca w takim czasie, musiałby podróżować z prędkością przekraczającą 16 000 kilometrów na godzinę. Dodatkowo adres IP użyty do zalogowania się z Wirginii nie był powiązany z żadnym znanym adresem VPN, a użytkownik zwykle nie logował się z tej lokalizacji. Nasz zespół poinformował więc o sytuacji klienta. Ten potwierdził, że to nieautoryzowane logowanie i natychmiast zresetował swoje hasła oraz wylogował nieuprawnionego użytkownika ze wszystkich aktywnych sesji.
Niestandardowa aktywność
Sztuczna inteligencja może rozpoznać także nietypową lub nieoczekiwaną aktywność na koncie użytkownika. Do takich aktywności zaliczane są logowania w niestandardowych godzinach, nietypowe wzorce dostępu do plików lub tworzenie wielu kont dla pojedynczego użytkownika lub organizacji. Tego typu działania mogą być sygnałem różnych problemów, w tym infekcji złośliwym oprogramowaniem, ataków phishingowych oraz zagrożeń ze strony pracowników wewnętrznych.
Komunikacja ze znanymi złośliwymi obiektami
Sztuczna inteligencja identyfikuje to zagrożenie, gdy użytkownicy komunikują się z podejrzanymi lub złośliwymi adresami IP, domenami lub pobierają/przesyłają pliki o podejrzanej sygnaturze. Takie działania mogą być oznaką zainfekowania urządzenia złośliwym oprogramowaniem lub ataku phishingowego. W takim przypadku powinno się natychmiast dokonać wielopoziomowej izolacji takiego komputera.
Warto pamiętać o tym, że sztuczna inteligencja może zostać wykorzystana także przez cyberprzestępców, na przykład do tworzenia bardzo przekonujących wiadomości e-mail lub do dostosowania złośliwego kodu do konkretnych celów. Aby zabezpieczyć swoją organizację i pracowników przed coraz bardziej wyrafinowanymi cyberatakami, należy wprowadzić wielowarstwowe zabezpieczenia, obejmujące mechanizmy silnego uwierzytelniania, regularne szkolenia pracowników i aktualizacje oprogramowania. Dobrze jest także zapewnić stały monitoring całej sieci, aplikacji i punktów końcowych – podsumowuje Michał Zalewski z Barracuda Networks.
Barracuda Networks
