Seyfor StoreKontakt
MENU Zavřít

AI jako hrozba: Automatizované kybernetické útoky

  • Mgr. Jan Kozák
  • 18. 12. 2024
  • 8 minut čtení

Rozvoj umělé inteligence přinesl nejen výrazné usnadnění řady pracovních úkonů, ale také zcela novou generaci kybernetických hrozeb. Útočníci jsou dnes schopni s pomocí AI útoky automatizovat a zacílit tak na více cílů s menším úsilím. Přečtěte si, v čem tato nová hrozba spočívá a jak jí můžete čelit.

V minulosti platilo, že kybernetičtí útočníci museli velkou část úkonů provádět manuálně a pečlivě je plánovat. Nástup umělé inteligence a technologií strojového učení ale tuto překážku odstranil, a pro účely kyberútoků v posledních letech vznikla celá řada automatizovaných nástrojů. Ty útočníkům umožňují nejen podstatně zrychlit přípravu a provedení samotného útoku, ale také s pomocí AI zaútočit na výrazně větší spektrum cílů s menší námahou.

Jako příklad můžeme uvést situaci, kdy útočník s využitím některé z obvyklých metod pronikl do sítě cílové firmy a potřebuje nyní nalézt její slabiny. To, co musel pachatel v minulosti provádět ručně, nyní zvládne speciálně uzpůsobený skenovací program.

Kill chain a jeho automatizace

Pro kategorizaci kybernetických útoků se používá tzv. kill chain koncept; řetězec úkolů, které útočníci vykonávají pro dosažení svého cíle (tj. obvykle krádež citlivých dat nebo průnik do cílového systému). Ačkoliv jde pouze o ilustrační nástroj, dokáže poměrně zdařile zmapovat obecné fáze kybernetického útoku. Ten podle kill-chain modelu sestává z těchto fází:

  1. Průzkum: útočník na základě svých záměrů vyhledá konkrétní cíl.
  2. Nalezení slabin: průzkumem cílové sítě pachatel odhalí slabiny a následně připraví vektor útoku schopný této slabiny využít.
  3. Doručení škodlivého kódu: útočník svůj software infiltruje do cílové sítě s využitím nalezené slabiny.
  4. Navázání komunikace: po infiltraci sítě útočník se softwarem naváže spojení a následně jej řídí s cílem dosáhnout optimálního výsledku útoku.
  5. Šíření infekce: pachatel začne škodlivý kód šířit do dalších zařízení napříč sítí tak, aby snížil riziko svého odhalení.
  6. Splnění cíle: po dokončení všech předchozích fází může útočník konečně splnit svůj konečný cíl, tedy narušení či odcizení citlivých údajů.

Z výše uvedeného je zřejmé, že plnit jednotlivé fáze kill chainu ručně je časově i pracovně náročné. Právě zde ale do věci vstupuje potenciál umělé inteligence, která umožňuje minimálně část kill chainu automatizovat. Útočník tak může celý proces útoku provést výrazně rychleji a snáze. Typickým příkladem je volně dostupný nástroj Nmap (Network Mapper) navržený pro skenování počítačových sítí. Ač je tento program sám o sobě zcela neškodný a je široce používán již od 90. let, útočníkům může podstatně ulehčit první fázi kill chainu. Podobně pak mohou být zneužity či upraveny i jiné softwarové nástroje.

Jak strojové učení mění kybernetické útoky

Skutečnou hrozbou pro kybernetickou bezpečnost jsou ale technologie strojového učení. Běžné automatizační nástroje jsou totiž založeny na pevně daných pravidlech a obvykle pouze provádějí zadaný proces. Jak ale už samotné spojení "strojové učení" napovídá, jím vybavená umělá inteligence se dokáže učit a upravovat své chování pro rychlejší dosažení stanoveného cíle. Pokud takovému softwaru například poskytnete seznam nejčastěji používaných hesel, dokáže je analyzovat, identifikovat v nich opakující se vzorce a ve výsledku prolamovat hesla o to rychleji.

Jakým způsobem ale může strojové učení kybernetické útoky automatizovat? Na tuto otázku odpovídá článek Automating Cyber Attacks z roku 2020, který vytvořil americký think-tank CSET (Center for Security and Emerging Technology). Jeho autoři přišli s následujícími čtyřmi možnostmi, jak umělá inteligence kybernetické útoky zefektivňuje, resp. umožňuje automatizovat různé části kill chainu:

Supervised Learning (Učení s učitelem)

Tento způsob je založen na rozpoznávání vzorců v datech. Útočníci například softwaru poskytnou velký objem e-mailů rozdělených podle toho, zda byly identifikovány jako spam či nikoliv. Umělá inteligence se pak na základě analýzy těchto dat může naučit tvořit falešné e-maily schopné proniknout nejrůznějšími spamfiltry. Strojové učení rovněž pomáhá útočníkům vyhnout se tzv. honeypotům, které jsou navrženy tak, aby útočníky nalákaly a následně nasbíraly data použitelná pro prevenci dalších útoků. Strojové učení ale umožňuje na základě dřívějších zkušeností tyto pasti odhalit a vyhnout se jim.

Adversarial Learning (nepřátelské strojové učení)

U této metody je škodlivá umělá inteligence trénována metodou pokus-omyl a následně využita pro průnik do cílového systému. V praxi takový software náhodně vytváří tisíce nejrůznějších volání a vstupů a poté analyzuje reakci cílového systému. Pokud je pak u některého ze vstupů zaznamenáno abnormální chování, AI nástroj jej analyzuje a přizpůsobí mu své další vstupy. Umělá inteligence se takto může naučit napodobovat běžný síťový provoz a stát se obtížně zjistitelným pro obranné systémy.

Generative Learning (Generativní učení)

Široce rozšířené generativní AI modely (např. ChatGPT) jsou dnes schopny vytvářet velmi přirozeně vyhlížející texty, tzv. deepfake videa či kvalitní grafické výstupy. Kybernetičtí útočníci mohou této schopnosti zneužít například tím, že analyzují způsob mezilidské komunikace v cílové firmě a následně jí přizpůsobí svůj generativní jazykový model.

Tato metoda otevřela kyberzločincům zcela nové možnosti v oblasti sociálního inženýrství. Mezi ně patří například vylepšené phishingové kampaně, kdy jazykové modely napodobují komunikační styl zaměstnanců či nadřízených, a zvyšují tak pravděpodobnost úspěchu phishingu. Zejména v poslední době se pak lze setkat i s falešnými telefonáty, kdy umělá inteligence velmi věrně napodobuje hlas nadřízeného, případně si "ukradne" avatar (profilový obrázek) některého řadového zaměstnance ve snaze vymámit z jiných zaměstnanců citlivé údaje.

Reinforcement Learning (zpětnovazební učení)

Tato technika umožňuje škodlivému kódu se v reálném čase adaptovat na reakci obranných systémů, případně se přizpůsobit aktuální situaci v napadené síti. Například po úspěšném průniku může daný AI nástroj analyzovat strukturu sítě, identifikovat klíčová zařízení a následně je automaticky infiltrovat. Útočník tak může zcela automatizovat distribuční část kill chainu.

Praktické příklady využití AI pro kyberútoky

  • Deepfake technologie: schopnost AI vytvářet velmi zdařilá videa či hlasové záznamy lze snadno zneužít pro napodobení vedoucích pracovníků napadené firmy. Již byl například zaznamenán příklad, kdy umělá inteligence napodobila hlas generálního ředitele velké firmy a přiměla zaměstnance převést na účet útočníka značný obnos peněz.
  • Průnik do sítí: Ve fázi průniku do sítě využívají útočníci strojového učení k tomu, aby v reálném čase analyzovali cílovou infrastrukturu a hledali slabiny. Pokročilé skenery dokážou rozpoznat vzorce a anomálie v síťovém provozu, které naznačují zranitelné části sítě. Poté mohou útočníci využít adversarial learning k obcházení bezpečnostních opatření, jako jsou firewally a antivirové programy, což jim umožní nepozorovaně pronikat do dalších částí sítě.
  • Automatizace průniku: Jakmile se útočníci dostanou do sítě, AI jim umožňuje jednat rychle a efektivně. Reinforcement learning jim dává možnost adaptovat se na měnící se podmínky v síti, analyzovat její strukturu a získávat kontrolu nad dalšími částmi infrastruktury. To vše bez nutnosti manuálního zásahu, což útočníkům usnadňuje úspěšné provedení útoku.

Jak se bránit proti AI a automatizovaným kyberútokům

I když se na základě výše uvedeného může zdát, že AI poskytuje útočníkům nepřekonatelné výhody, ve skutečnosti zde existují účinné obranné strategie:

  • Automatická detekce anomálií: schopnost AI učit se, analyzovat a využívat slabiny počítačové sítě můžete obrátit proti útočníkům. Umělá inteligence je totiž stejně tak dobře schopná detekovat podezřelé chování, přizpůsobit mu obrannou strategii a včas tak zachytit probíhající útok nebo predikovat rizika.
  • Behaviorální analýza: AI systémy mohou na základě analýzy chování uživatelů odhalit aktivity, které by tradiční bezpečnostní opatření nezachytila. Typickým příkladem je situace, kdy řadový uživatel náhle začne žádat o přístup k citlivým datům či provádět neobvyklé peněžní transakce; zde se může jednat o známku probíhajícího útoku zvenčí. Systém na takové jednání okamžitě upozorní administrátora.
  • Vzdělávání a povědomí zaměstnanců: zaměstnanci jsou tradičně slabým článkem kyberbezpečnosti a jejich patřičné vzdělání by tak pro vás mělo být prioritou. Organizace by tak měly pořádat pravidelná školení zaměřená na rozpoznávání a detekci hrozeb, základní bezpečnostní návyky a další oblasti. Tréninky mohou zahrnovat simulace útoků a osvědčené postupy, jak reagovat na podezřelé e-maily nebo žádosti.

TIP: Přečtěte si více o roli vzdělávání v kyberbezpečnosti.

  • Zero Trust Architecture (Architektura nulové důvěry): tento přístup k bezpečnosti považuje každé zařízení uvnitř či vně sítě za potenciálně nedůvěryhodné. Takto zajištěné systémy omezují přístup k datům i infrastruktuře na nezbytně nutnou míru a zahrnují důkladné ověřování identity. Útočníci tak mají výrazně menší prostor pro průnik do sítě a její průzkum.
  • Využití vícefaktorové autentizace (MFA): v současnosti je již standardem doplňovat přihlašovací údaje druhou linií obrany v podobě ověřovacích SMS, biometriky či autentikačních aplikací (např. Microsoft Authenticator). Tyto způsoby se prolamují výrazně obtížněji než běžné heslo, a například s biometrikou si zatím neporadí ani vyspělé AI nástroje.
  • Penetrační testování, scany zranitelností a pravidelné audity: organizace by měly své systémy pravidelně testovat prostřednictvím tzv. penetračních testů či scanů zranitelností, které simulují skutečné útoky a mohou odhalit skryté zranitelnosti. Pravidelné audity bezpečnosti pak zajišťují nejen aktuálnost systémů, ale také správně nastavené governance.

TIP: Přečtěte si našich několik rad, jak předcházet bezpečnostním kybernetickým incidentům.

Chraňte svá data

Přemýšlíte, jak svá data ochránit i před pokročilými kybernetickými hrozbami? Využijte služeb odborníků Seyforu. Nabídneme vám nejen konzultace a užitečné informace, ale také kompletní bezpečnostní řešení. Zajistíme pro vás celý řetězec zabezpečení, od analýzy stávajícího stavu přes implementaci odpovídajícího řešení až po vzdělání zaměstnanců a zajištění shody s legislativou. Stačí se s námi jen spojit prostřednictvím formuláře níže.

Chci nezávaznou konzultaci

 

Zpět na výpis

Buďte v obraze se Seyfor newsletterem!

Přihlášením souhlasíte s našimi zásadami pro zpracování osobních údajů

Doporučené produkty

Ochrana před útoky

Zabezpečíme všechny články vašeho systému, od identit a koncových zařízení přes sítě, až po data a aplikace.

Více informací

Podobné články

Další články

Marie Smrčková: Péče o klienty dělá z Byznysu to, čím je

  • Ing. Kateřina Menšíková
  • 6. 3. 2025
Přečíst článek

Co je SOC a proč je klíčem k ochraně vaší firmy před kybernetickými útoky?

  • 4. 3. 2025
Přečíst článek
Další články
Vybrat jazyk

Tato stránka je chráněna službou reCAPTCHA a platí na ni zásady ochrany osobních údajů a podmínky používání služby Google. | © 2025 Seyfor