Kibervédelmi kurzusaink kapcsán szerettünk volna egy részletes cikket írni a témában, ezért interjút készítettünk Szöllősi Péterrel, aki szakmai partnerünk, a Black Cell OFFSEC Üzletágvezetője.  Csapatuk elkötelezett az információs értékek védelme mellett, így szakértő válaszokat kaptunk a mesterséges intelligencia és a kibervédelem kapcsolatáról, az ezzel kapcsolatos alapfogalmakról, és arról, milyen új veszélyek jelentek meg mostanában a távmunka kapcsán, illetve melyek az aktuális trendek és megoldások ezen a területen.

Milyen módon segíti a mesterséges intelligencia és az automatizáció az IT biztonsági csapatokat? Hogyan csökkentheti túlterheltségüket?

Mindenekelőtt érdemes egy kicsit árnyalni, hogy az AI, ML, DL (Artifical Intelligence, Machine Learning és Deep Learning) mit is takar.

Artifical Intelligence (AI)

Az (artificial intelligence) széles tudományág, célja az emberihez hasonló kognitív képességek (pl. tanulás, problémamegoldás) imitálása számítástechnikai megoldások segítségével.

Machine Learning (ML)

A gépi tanulás egy részterület az AI-n belül. A gépi tanulás az élőlényeknek a környezetükhöz történő rugalmas alkalmazkodását próbálja lemásolni, létrehozni olyan modelleket, algoritmusokat amelyek folyamatosan képesek magukat fejleszteni, javítani és a környezeti változókhoz igazítani. 3 fő területe a felügyelt (tag-elt információkat kap az algoritmus), felügyelet nélküli (itt elvárás az önálló összefüggések feltárása az adatokban) és a megerősítéses tanulás (büntetés-jutalmazás használata a szimuláció során, melynek eredményét az algoritmus beépíti a „döntéshozatalába”).

Deep Learning (DL)

A mélytanulás (deep learning) a gépi tanuláson belül alkalmazott algoritmus, amely a mesterséges neurális hálókon alapul. A bemenő paraméterek egy többrétegű, egymással összekötött csomópontokból (node) álló hálózaton futnak végig. Minden egyes node végrehajt valamilyen műveletet a kapott adatokkal, és egy adott küszöbérték átlépése esetén továbbítja azokat a következő rétegnek, míg végül az algoritmus a hálózat végén kidobja az eredményt. A modell betanítása során a küszöbértékek és az egyes csomópontok által végzett műveletek tuningolása zajlik.

Visszatérve a kérdésre: egy-egy biztonsági elemzés, egy-egy kibervédelmi csapat összetett munkája során a komplex összefüggések nagy számosságban történő feltárása esetén jó szolgálatot tehet: támogatják a megfelelő priorizálást, segítségükkel redukálható a fals pozitívok számossága, gyorsítható a detektáció és a megfelelő modellek esetén prediktív képességekről is beszélhetünk. Ezáltal csökken a hibalehetőség, a felszabadult erőforrás pedig átcsoportosíthatóvá válik.

Az AI hogyan támogatja a vállalati kibervédelmet, és milyen nehézségek jelennek meg ezzel kapcsolatban? Valóban kétélű fegyver az AI?

A vállalati kibervédelemben az egyik legszemléletesebb példa, mikoris a kutatók egy neurális háló és egy IDPS rendszerintegrációval a tanulási folyamat végére közel teljes blokkolást tudtak elérni: kategorizálták az egyes támadástípusokat (DoS, 2R, R2L, stb.) és a tesztelés végére 95.6%-os pontossági rátát értek el.

Egyúttal kétélű fegyver, hiszen ahogyan védekezéshez, úgy programozható támadásokhoz is. Használják  például polymorf malware-ek gyorsítánál, ahol is folyamatosan változik a kód és ezzel nehezítik meg számottevően a detektálást. Illetve attól sem állunk messze, hogy egy direkt támadás ilyen módon kerüljön végrehajtásra: nincs szükség több támadó csatasorba állítására valós időben, az előkészületek igényelnek komolyabb erőforrást. Amint az a fázis bejeződött, az algoritmusok végrehajtják a támadást, folyamatosan alakítva a policy-jukat az áldozat reakcióihoz. A másik kihívás a tanulómodell „tisztán tartása”: ha belekerül egy rossz minta jóként címkézve, az katasztrofális lehet.

A digitalizáció útjára lépő vállalatokat milyen új típusú kockázatok és sebezhetőségek fenyegetik mostanában?

A víruhelyzet miatt március óta egyre több vállalat tért át az otthoni munkavégzésre. A megfelelő rendelkezésre állás biztosítása mellett a kihívások másik fő vonala a biztonság megteremtése és fenntartása volt és lett. Többségében VPN kapcsolattal érhetők el a munkavállalók számára a munkahelyi hálózatok, rendszerek. Ezt az adaptációt a támadási trendek is lekövették, napjainkban jóval több pl. a VPN elleni támadás mint a megelőző években és ezek száma továbbra sem csökken. Mivel számos vállalatnál kifizetődőnek bizonyult a teljes, vagy részleges Home Office-ra átállás, így az egyik legnagyobb biztonsági kihvívás jelenleg ezek védelmének a biztosítása. Ebben az esetben a védelem szerves részét képezi (vagy kellene, hogy képezze) magának a környezetnek a biztonsági felmérése is, hiszen csak akkor vagyunk képesek hatékonyan védekezni, ha tudjuk, mik a gyenge pontjaink. Ezek kiiktatásával, vagy kiemeltebb védelmével azonban a teljes rendszerünk védekezési potenciálja is növelhető.  A másik – nem újkeletű, de éppen a fentiek miatt egyre nagyobb figyelmet igénylő – probléma a BYOD (Bring Your Own Device, magyarán saját privát eszköz használata munkavégzésre). Ezesetben a legfőbb probléma a kontroll teljes hiánya lehet az adott eszköz felett. Nem tudható, hogy milyen alkalmazások vannak telepítve, ezek hova jelentenek a hálózatról, kontaktokról (pl. játékok esetében  stb.). Erre megoldás, ha a vállalati policy-ban szabályozva, vagy tiltva van ezen eszközök használata. Kiemelném még a munkavállalók információbiztonsági tudatosságának hiányát, vagy nem megfelelő szintjét. A VPN elleni támadások mellette az egyik leggyakoribb (és legsikeresebb) támadás az ún. phishing támadások (adathalászat). Ennek során vagy a munkavállalótól, vagy a munkavállalón keresztül szereznek meg szenzitív információkat a támadók.

Melyek az aktuális trendek és megoldások?

Érdekességként a három alábbi szektort emelném ki (a teljesség igénye nélkül, az információbiztonságon túl), ahol egyre inkább bevonódnak ezen rendszerek akár a kutatásba, akár a munkavégzésbe.

Egészségügy: az MIT CSAIL (Computer Science and Artificial Intelligence Lab ) automatizált gépi tanulásos rendszere megvizsgálja a betegek mellkasi röntgen felvételeit, többek között,  tüdőgyulladásra utaló jeleket keresve és amennyiben úgy értékeli, jelent a radiológusnak. Emellett képes arra, hogy egy eljárás költségeit, a ráfordítandó időkeretet és a hatásosságát megjósolja..

Művészetek: szintén az MIT egyik csapata segédkezett egy olyan rendszer kialakításában, mely kapcsolatokat keres egyes festők képei között: több száz év több millió képei között keresnek stílusbeli, kulturális, motivációs kapcsolatokat.

Ipar: olyan segédrendszert fejlesztenek jelenleg, amely képes új anyagokat javasolni, melyek még nem, vagy nem a megfelelő formában léteznek. Például olyan anyagokat, melyekkel az űrkutatásban ellenállóbb bevonatot képesek kialakítani a járművek számára. Atomi szinten szimulálják egy-egy anyag törési mutatóit és ezek alapján az információk alapján igyekeznek hatékonyabb részecskestruktúrákat alkotni.

Összességében elmondható, hogy kvázi csak ott nem lehetséges valamilyen módon az említett megoldásokat implementálni, ahol nem akarjuk. Izgalmas évtizednek nézünk elébe.