Когда ИИ становится хакером и стражем: новое поле битвы в сфере кибербезопасности

В сфере кибербезопасности искусственный интеллект (ИИ) стал оружием с двумя острыми концами. В то время как компании и учреждения используют его для более быстрого обнаружения атак и реагирования на них, киберпреступники используют его для проведения более скрытых, автоматизированных и опасных атак. В настоящее время системы безопасности, основанные на ИИ, работают со скоростью, недостижимой для человека. Они анализируют миллионы данных в режиме реального времени, обнаруживают подозрительные шаблоны до того, как угроза материализуется, и в некоторых случаях нейтрализуют атаки без вмешательства человека. Эти инструменты охватывают различные уровни цифровой инфраструктуры. Существуют решения на уровне сети, конечных точек, мониторинга приложений или брандмауэров последнего поколения. В арсенале средств защиты машинное обучение (machine learning) зарекомендовало себя как самая революционная технология в области кибербезопасности. С помощью машинного обучения можно обучить алгоритмы автоматически идентифицировать вредоносное ПО и неизвестные угрозы на основе анализа исторических паттернов и аномального поведения. ИИ обеспечивает автоматизацию, расширенные возможности корреляции, позволяя обнаруживать и предвидеть угрозы на основе больших объемов данных и высокой скорости реакции для их сдерживания. Среди основных областей применения можно выделить следующие: автоматическое обнаружение аномального поведения устройств и приложений; автоматическая классификация писем для обнаружения фишинга и вредоносных кампаний; постоянный мониторинг доступа и трафика в сети; сокращение ложных срабатываний и приоритезация критических инцидентов; прогнозный анализ атак на основе исторических данных. Анализ поведения для создания профилей и обнаружения аномалий Реагирование на угрозы в режиме реального времени без вмешательства человека Но с другой стороны, преступники также обладают искусственным интеллектом. Сегодня речь идет не только о запуске атаки, но и о нарушении промежуточных защит и автоматическом обходе контроля. Многочисленные отчеты подтверждают эту глобальную тенденцию. В Уругвае к традиционному фишингу добавилось использование дипфейков, созданных с помощью ИИ, для мошенничества и подмены личности. Совсем недавно к ним добавился вишинг, при котором используются поддельные голоса для вымогательства выкупа и манипулированные видео, рекомендующие ложные инвестиционные возможности от имени организаций или публичных личностей. Социальная инженерия также стала автоматизированной. Злоумышленники создают чрезвычайно персонализированные кампании, известные как спир-фишинг, имитируя реальные разговоры или внутреннюю переписку. Такие инструменты, как GhostGPT или WormGPT — темные версии традиционных генеративных моделей — позволяют составлять убедительные сообщения, даже снижая языковые и культурные барьеры. Сегодня злоумышленник может находиться в России или Бангладеш и при этом звучать как коллега по офису. Криминальная экосистема индустриализировала Ransomware-as-a-Service (RaaS) — платформы, которые автоматизируют все процессы, от заражения и шифрования данных до переговоров с жертвой и получения оплаты в криптовалюте. В этом контексте ИИ увеличивает масштаб и эффективность этих операций, снижая технические барьеры для злоумышленников и повышая изощренность кампаний. Часто они также разрабатывают эксплойты и уклоняющееся вредоносное ПО, то есть вредоносные программы, способные динамически адаптироваться, чтобы избежать обнаружения. В предыдущих исследованиях исследователи из Университета Иллинойса и команда Google DeepMind продемонстрировали, что ИИ также способен обнаруживать уязвимости нулевого дня и автоматически генерировать эксплойты, необходимые для их использования. Это особенно беспокоит в Латинской Америке, где в компаниях уровень исправления уязвимостей очень низкий. В заключение, самым опасным изменением, которое принес ИИ в киберпреступность, является сокращение времени и затрат, связанных с разработкой персонализированных атак. Раньше сложные инструменты и техники больше не являются прерогативой крупных киберпреступных групп, таких как LockBit, Akira или Clop, и многих других. Они доступны любому киберпреступнику, что привело к демократизации киберпреступности. Простых ответов нет, но есть конкретные действия: во-первых, внедрение инструментов защитного ИИ, чтобы сравняться со скоростью атаки: решения для обнаружения и реагирования (EDR NDR SIEM) с анализом поведения и автоматической корреляцией, интегрированные с аналитикой угроз в режиме реального времени. Во-вторых, усилить традиционные меры безопасности, такие как многофакторная аутентификация, управление уязвимостями на основе рисков, сегментация сети и минимальные привилегии, внутренние политики распознавания дипфейков и мониторинг необычного поведения. Наконец, необходимо снизить риск, связанный с человеческим фактором: обучить команды и укрепить процессы, которые не зависят от индивидуальной памяти, а основаны на привычках, задокументированных процедурах, автоматизации и контроле по умолчанию. Это позволяет предотвратить ошибки, ускорить реагирование на атаки и снизить воздействие автоматизированных угроз. Люди являются самым важным звеном в цепочке и, именно потому что они люди, также самым уязвимым. Важно защищать их, не ожидая, что они будут непогрешимы.