Polityka i prawo
Sztuczna inteligencja: nowa broń cyberprzestępców [WYWIAD]
O atakach na infrastrukturę kolejową, zastosowaniu sztucznej inteligencji w cyberbezpieczeństwie oraz o rewolucyjnych rozwiązaniach IBM mówi w wywiadzie dla CyberDefence24.pl doktor Yaron Wolfsthal dyrektor IBM’s Security Center of Excellence w Beer Szewie w Izraelu.
Dr Andrzej Kozłowski: Zbliżamy się do końca 2018 roku i wciąż nie widzieliśmy tak olbrzymich i spektakularnych ataków jak WannaCry czy NotPetya. Jakby Pan podsumował główne trendy w obszarze cyberbezpieczeństwa?
Dr Yaron Wolfsthal: W 2018 roku jednym z głównych trendów, który zaobserwowałem na rynku jest ogromna liczba rozwiązań. Obserwując naszych partnerów biznesowych i klientów, widzimy sytuację, w której firmy posiadają kilkanaście różnych narzędzi bezpieczeństwa pochodzących od wielu sprzedających. Zaczyna to być dużym problemem dla firm, które nie mogą zapanować nad tymi wszystkimi narzędziami i tym samym kontrolować własnego bezpieczeństwa. Mamy wiele punktowych narzędzi, które należy przełożyć w sprawnie funkcjonujący system bezpieczeństwa chroniący użytkowników końcowych przed różnego rodzaju zagrożeniami. Wkładamy w to obecnie wiele wysiłku. Bezpieczeństwo nie polega tylko na znalezieniu kolejnego kodu złośliwego programu czy luki, ale przede wszystkim opiera się na posiadaniu wszechstronnego systemu bezpieczeństwa, zdolnego do przewidywania zagrożeń. Analizując trendy technologiczne, wskazałbym na coraz powszechniejsze użycie sztucznej inteligencji.
A.K.: Oglądałem film z Pana udziałem przedstawiający atak na pociąg. Dla wielu wciąż taki scenariusz to science-fiction, jakie jest prawdopodobieństwo wystąpienia takiego incydentu w rzeczywistości?
Y.W.: Podczas jednej z ostatnich konferencji poświęconych bezpieczeństwu odbyła się jedna sesja poświęcona cyberbezpieczeństwu przemysłu motoryzacyjnego. Uważam, że atak zademonstrowany w filmie jest jak najbardziej wykonalny. Mamy w transporcie luki, które pozwalają hakerom włamać się do systemu i sieci teleinformatycznych.
A.K.: Skoro istnieją takie luki bezpieczeństwa, to dlaczego wciąż nie byliśmy świadkami takiego ataku?
Y.W.: Hakerzy wybierają najłatwiejsze miejsca do ataku oraz takie cele, które mogą przynieść największe zyski finansowe, stąd większość ataków adresowana jest na sektor finansowy. Jestem pewien, że zaobserwujemy też kampanie ukierunkowane na zaatakowanie infrastruktury transportowej.
A.K.: Film przedstawia atak „ransomware”. W ten sposób też przecież, można w łatwy sposób uzyskać pieniądze. Wyobrazimy sobie scenariusz, że mamy jedną godzinę na uratowanie pociągu i z dużą dozą prawdopodobieństwa państwo zapłaci.
Y.W.: Faktycznie tak jest. Uważam, jednak, że hakerzy koncentrują się na innych obszarach, w których łatwiej jest uzyskać pieniądze, tam gdzie mamy najprostsze punkty wejścia do sieci.
A.K.: Wspomniał Pan, że jednym z trendów w 2018 jest sztuczna inteligencja. W jaki sposób sztuczna inteligencja może zmienić cyberbezpieczeństwo i jak można ją wykorzystać, żeby zwiększyć ochronę naszych systemów?
Y.W.: Sztuczna inteligencja w wielu dziedzinach zwiększa zakres automatyzacji czynności, które normalnie wykonywał człowiek. Człowiek jest w stanie zaobserwować ograniczoną liczbę incydentów bezpieczeństwa, przykładowo tysiąc alertów. Najczęściej tylko kilka z nich stanowi prawdziwe zagrożenie. Wymaga to jednak wiele wysiłku i pracy analityków, żeby z tych tysięcy alertów znaleźć faktycznie te istotne. AI znacznie przyspiesza proces analizy oraz wyszukiwania oraz automatyzuje proces zbierania informacji.
A.K.: Czy 2018 rok był rokiem przełomowym, jeżeli chodzi o rozwój sztucznej inteligencji?
Y.W.: W ostatnich latach obserwujemy wykorzystanie sztucznej inteligencji w coraz większej liczbie dziedzin. Przez ostatnie 15 lat mieliśmy wzloty i upadki jeśli chodzi o tę technologię. Były dwa okresy nazywane "zimą sztucznej inteligencji", ponieważ inwestycje w sztuczna inteligencję zdecydowanie zmalały. Obecnie, mamy powrót AI. Wynika to z dwóch czynników, po pierwsze jest to stale zwiększająca się szybkość współczesnych komputerów. Po drugie, mamy również do czynienia z usprawnieniem algorytmów AI, jak np. deep learning. Po trzecie mamy zwiększoną możliwość dostarczenia danych i dzięki temu uzyskania szerszego i pełniejszego obrazu. Wcześniej nie było to możliwe. Dzisiaj technologia towarzyszy nam wszędzie, w domu, w pracy i wszędzie mamy sensory, które zbierają dane. Tak ogromna ilość informacji umożliwia nam zrobienie o wiele więcej ze sztuczną inteligencją i nie tylko w obszarze bezpieczeństwa.
A.K.: Wspomniał Pan, że sztuczna inteligencja może wspomóc obrońców, a co z grupami czy osobami, które chcą dokonać ataku?
Y.W.: Istnieje taka możliwość. Mamy coś co nazywamy wrogą sztuczną inteligencją. Jest to koncepcja na określenie cyberprzestępców. Jednym z elementów sztucznej inteligencji jest uczenie maszynowe. Algorytm pozyskuje wiedzę z tzw. danych uczących. W ten sposób budujemy klasyfikator, czyli ostateczną wiedzę wygenerowaną przez system uczący się. Pozwala to stwierdzić czy dane są złe czy dobre, czy oprogramowanie jest złośliwe czy nie. Wtedy też przychodzi nowa paczka danych, które nie były częścią danych uczących się i dostaje się do klasyfikatora, który decyduje, czy są one złe czy nie.
Atakujący mogą po pierwsze zaatakować dane uczące. Poprzez właściwe planowanie, dają klasyfikatorowi niewłaściwe informacje. Po ukończeniu sesji szkoleniowej, klasyfikator nie potrafi precyzyjniej stwierdzić, czy dane są złe czy dobre lub czy dana aplikacja jest szkodliwa lub nie. Atakujący może również zrobić coś innego. Czasami jest to możliwe, że kiedy klasyfikator jest dobry, można dostarczyć klasyfikatorowi pewne tzw. zakłócenia, co powoduje, że popełnia on błędy.
Praca nad AI nie jest zakończona, wciąż pozostaje dużo do zrobienia. Hakerzy coraz lepiej rozumieją cyberbezpieczeństwo, jak i sztuczną inteligencję używaną przez obrońców. Kiedy przeprowadzają oni ataki z wykorzystaniem nowoczesnych metod to obrońca musi zrozumieć nowe mechanizmy i im zapobiec. Przykładowo w naszym laboratorium w Stanach Zjednoczonych, mamy projekt zatytułowany "Robust Deep Learning". Jego zdaniem jest rozwinięcie klasyfikatora bazując na głębokim uczeniu się, który ma na celu wskazać na próby ataków na dane uczące. Cyberbezpieczeństwo i sztuczna inteligencja to nowy wyścig zbrojeń. Obrońcy stają się coraz lepsi, a wtedy hakerzy odkrywają nowe sposoby ataków.
A.K.: Cyberataki nieodłącznie wiążą się z wyciekami danych, które powodują konkretne straty finansowe. Jaki jest średni koszt takich wycieków i w jakim stopniu zależy od sektora, w którym miał on miejsce?
Y.W.: Uzyskane dane są bardzo ważne, ponieważ stanowią niezbędny element planowania. IBM co dwa lata przedstawia wyniki badań, w których ocenia koszty wycieków danych. Pracujemy nad tym wraz z różnymi zewnętrznymi instytucjami zajmującymi się analizą danych. Jedną z nich jest Ponemon Institute. Ogólnie rzec biorąc, wyliczenie kosztów wycieku danych jest bardzo trudne. Po pierwsze rozróżniamy małe ataki, które odbiegają od tych naprawdę dużych, które nazywamy "megawyłomami". Doszliśmy do wniosku, że jest duża różnica w kosztach. Koszty małych ataków wynoszą około 4 miliony i średni czas wykrycia i następnie usunięcia zagrożenia wynosi około 290 dni. Dla dużych ataków liczby są o wiele większe, koszty wahają się od 40 milionów dolarów do 350 milionów, czas wykrycia zagrożenia i jego usunięcia wynosi około roku. Bezpośrednią stratą w wyniku cyberataku są skradzione pieniądze. Mamy również pośrednie straty, jak np. utrata reputacji przez jakąś instytucję jak np. bank, ale też pogorszenie się nastrojów w zespole.
A.K.: IBM ostatnio wprowadził rozwiązane IBM Cloud Based Community Platform wzmacniając cyberbezpieczeństwo. Dlaczego to narzędzie jest tak innowacyjne i jest kluczowe dla przyszłości?
Y.W.: Podczas "The New York Cyber Security Summit", w którym corocznie uczestniczą CEO najważniejszych firm ogłosiliśmy inicjatywę IBM Security Connect (ISC). Jest ona rozwiązaniem problemu, o którym mówiliśmy na początku, czyli zbyt dużej liczby rozwiązań bezpieczeństwa pochodzących z wielu miejsc. Chcemy, żeby społeczność bezpieczeństwa była gotowa wykorzystać dostępne narzędzia. Dążymy do tego, żeby w firmach można było wdrożyć efektywny program bezpieczeństwa. Jest to jednak bardzo trudne ze względu na zbyt dużą liczbę narzędzi. Tworzy to sytuacje, w których część firm używa maksymalnie 20 proc. zakupionych usług bezpieczeństwa. Dlatego dążymy do integracji wszystkich narzędzi i ułatwienia korzystania z nich.
Ogłosiliśmy to rozwiązanie w Nowym Jorku i nasze podejście jest zupełnie inne. Nie chcemy skupiać się dłużej na pojedynczych produktach, ale zamierzamy dostarczyć platformę, która ma kilkanaście warstw. Jedną z nich jest poziom integracji danych, w ramach którego możemy wykorzystać informacje napływające z każdego narzędzia. Nie ma znaczenia czy należą one do IBM czy do innego sprzedawcy. Obecnie pracujemy z 20 różnymi producentami.
IBM posiada wiele różnych narzędzi bezpieczeństwa, które teraz są prezentowane jako interfejs programowania aplikacji (API) w ramach naszej warstwy integracji danych. Administrator systemów może wykorzystać konkretne API w ramach warstwy integracji danych i uzyskać dostęp do informacji, które akurat potrzebuje. Nie trzeba już korzystać z wielu produktów IBM i zewnętrznych dostawców. ISC stanowi katalog usług, które w bardzo łatwy sposób można obejrzeć i co bardzo ważne nie trzeba się ich uczyć indywidualnie. Wszystko na tej platformie zbudowane jest jako mikro-serwisy.
Uwzględniają one również zdolności sztucznej inteligencji, uczenia maszynowego, które dostępne są w chmurze. Postawiliśmy na modularność rozwiązań, integralność i wierzymy, że to pomoże przeciwstawić się problemom operacyjnym związanych ze zbyt dużą ilością narzędzi bezpieczeństwa i ich nieefektywnym wykorzystaniu.
A.K.: Na jakim etapie rozwoju znajduje się to rozwiązanie? Czy zostało już wprowadzone na rynek?
Y.W.: Na razie ogłosiliśmy to narzędzie. Zamierzamy je wprowadzić w lutym 2019 roku.
A.K.: Kto może być potencjalnym klientem. Wciąż wiele osób nie darzy chmury wielkim zaufaniem?
Y.W.: Według danych IBM, 85 proc firm korzysta w jakimś stopniu z chmury. Jeżeli ktoś jej nie używa to tajne agencje rządowe. Obserwujemy rosnący trend zainteresowania naszą chmurą wśród naszych klientów.
Czym jest IBM Security Center of Excellence? Co odróżnia to miejsce od innych placówek IBM?
Y.W.: IBM Security Division jest firmą działającą w ramach IBM. Mamy prawie 10 tys. pracowników. Pracujemy w ponad 110 państwach na świecie. Posiadamy zespół odpowiedzialny za rozwój technologii, dział sprzedaży, ogólnie rzec biorąc mamy wszystko co powinna mieć własna firma. Dlatego, że jesteśmy tak olbrzymią organizacją, zarząd zdecydował, że powinniśmy mieć też dedykowany zespół zajmujący się innowacjami. Moja placówka badawcza w Hajfie jest innowacyjną placówką badawczą dla zespołu odpowiedzialnego za bezpieczeństwo. To oznacza, że jednym z naszych głównych zadań jest znajdywanie rozwiązań do pojawiających się zagrożeń. Oznacza, to że moja placówka badawcza nie ma określonych dokładnie obowiązków w obszarze rozwoju produktów. Naszym głównym celem jest wyszukiwanie podatności, identyfikowanie trendów, tworzenie technologii softwarowych, które mogą pomóc nam rozwiązać problemy bezpieczeństwa i mogą zostać przekazane do zespołu odpowiedzialnego za produkcję. Oni są odpowiedzialni za jak najszybsze dostarczenie tego rozwiązania na rynek.
A.K.: Nad czym obecnie pracujecie?
Y.W.: Jednym z naszych pierwszych projektów, który został już wprowadzony na rynek było wykrywanie wewnętrznych zagrożeń. Statystyki pokazują, że 70 - 80 % wycieków danych spowodowana jest tzw. zagrożeniem wewnętrznym w organizacjach. Część z tych osób nie ma wcale złych zamiarów, po prostu są naiwni albo popełnili błędy. Nasz system ma na celu znalezienie błędów użytkownika, albo lokalizację nieautoryzowanej operacji. Cyfrowa transformacja oraz integracja wszystkiego przyczyniły się do wzrostu zagrożenia wewnętrznego w firmach. Nie mamy już oddzielającego tzw. płotu czyli firewalla, który włączymy, żeby nas chronić. Ludzie przychodzą do pracy ze swoimi urządzeniami, klienci mają dostęp do sieci organizacji. Dlatego też podejście polegające na stawianiu muru nie może się sprawdzić. W tym czasie poproszono nas o znalezienie rozwiązania. Stworzyliśmy technologię bazującą na sztucznej inteligencji, która monitoruje każdą aktywność wszystkich użytkowników. Dostarcza informacji na temat kiedy się logują i wylogowują, z jakiego miejsca to robią, jakich aplikacji używają, jakich plików dotykają. Umożliwia nam to stworzenie profili każdego użytkownika.
A.K.: Jak się to ma prywatności pracowników. Czy są oni świadomi zbieranych informacji na ich temat i profili, które tworzycie?
Y.W.: Pracownicy są świadomi, że ich aktywność w pracy jest monitorowana. Zawsze też działamy zgodnie z prawem o ochronie danych. Technologia, o której mówię jest używana w większości państw na całym świecie. Dostarcza ona informacji administratorowi bezpieczeństwa czy pracownik robi rzeczy, do których ma uprawnienia i czy jego zachowanie nie wzbudza podejrzeń. Przykładowo, jeżeli użytkownik w środku okresu świątecznego ściąga pliki na temat danych osobowych pracowników firmy, to jest to co najmniej dziwne. Ten produkt nazywa się User Behaviour Analytics. Twoja uwaga na temat prywatności jest trafna. Musimy jednak zbilansować prywatność z bezpieczeństwem.
A.K.: Nad czym jeszcze pracujecie w swojej siedzibie?
Y.W.: Opracowujemy również program zabezpieczeń automatycznych samochodów. Stworzyliśmy wielostopniową architekturę. Na poziomie aut, mamy coś co nazywamy agentem oprogramowana (software agent), który monitoruje sieci w samochodzie i reaguje kiedy napotyka, rzeczy i incydenty, który nie są spodziewane i stanowią pewną anomalię. Może to być incydent bezpieczeństwa albo również kwestie związane z naprawą i utrzymaniem auta. Informacje z auta są wysyłane z powrotem do serwera analitycznego, który znajduje na poziomie floty. Na poziomie floty mamy kolejną warstwę, która kontroluje wszystkie samochody i podnosi alarm o zagrożeniach, które mogą być widoczne w szerszym kontekście. Jest to innowacyjny pomysł, który ukierunkowany jest na rozwiązanie problemów bezpieczeństwa związanych z Internetem Rzeczy na wielu poziomach. Można je zastosować w samochodach, ale również w innych segmentach IoT.
Skupiamy się na problemach, które się nie starzeją. Część problemów jest rozwiązywana i znika, ale są takie, które towarzyszą nam zawsze, jak wykrywanie złośliwego oprogramowania, phishing. To są rzeczy, które były zagrożeniem 10 lat temu i wciąż nim są, ponieważ stanowią fundament dla działalności hakerskiej. Przyjrzymy się bliżej phisingowi, który w większości wykonywany jest za pomocą poczty. IBM stworzył w Izraelu specjalną architekturę wykrywania tego rodzaju zagrożenia. Wykorzystujemy fakt, że nasze produkty, które są zainstalowane u klientów wysyłają do nas informacje. Każda próba phisingu zauważona przez naszych klientów jest analizowana. Posiadając dostęp do wielu sfer, mamy wielkie wolumeny danych, nad którymi musimy pracować. Budujemy i ulepszamy naszą architekturę.
Inna nasza inicjatywa demonstruje otwartość IBM na współpracę z podmiotami niekomercyjnymi w celu zwiększenia bezpieczeństwa. Systemy DNS to książka adresowa Internetu, która umożliwia poruszanie się po stronach internetowych. IBM współpracuje z Global Cyber Alliance oraz Packet Clearing House (PCH). Razem tworzymy darmowe serwisy DNS. Packet Clearing House ma swoje sensory u ponad 150 dostarczycieli internetu. Oni widzą wiele ruchu DNS. IBM wraz z Global Cyber Alliance zaoferował Quad9 czyli darmowy serwer DNS. Każdy, użytkownicy, przedsiębiorstwa mogą zastąpić swój własny serwer DNS.