I en tid med ökande och alltmer komplexa hot gör nya AI-baserade lösningar det möjligt att skydda IT-system på ett proaktivt sätt och i realtid. Men dessa framsteg tjänar också cyberbrottslingarnas intressen …
Ransomware, cryptomining, samordnade attacker (Advanced Persistent Threats) … Cyberpirater tävlar i kreativitet. Covid-19-krisen har medfört ytterligare exempel på detta, med en explosion av antalet nätattacker och speciellt av nätfiske. Och inför dessa alltmer komplexa och mångfacetterade hot visar traditionella skyddssystem såsom antivirus, antimalware och andra brandväggar sina begränsningar.
”Detektering av attackmönster och förmågan att agera snabbt kan göra skillnad.”
Dessa lösningar består vanligtvis i att man befinner sig ett steg bakom hackarna och skapar en signatur och ett vaccin för varje nytt hot. Signaturbaserade system skyddar därför inte mot ”zero day”-attacker då dessa sårbarheter inte tidigare offentliggjorts eller patchats.
Som på många andra områden är artificiell intelligens idag en game changer. Med hjälp av ett statistiskt tillvägagångssätt kan man genom självlärande tekniker (maskininlärning, djupinlärning) granska en fil ur alla möjliga vinklar och tilldela den en tillitspoäng.
AI gör det också möjligt att upptäcka svaga signaler genom beteendeanalys. Att en anställd loggar in på företagets informationssystem klockan tre på morgonen och från utlandet kan verka misstänkt. Vilket en klassisk brandvägg kanske inte kan snappa upp.
Reverse engineering
Enligt Loredana Mancini, affärsutvecklingschef inom cybersäkerhet på Axians Italien, VINCI Energies varumärke specialiserat inom ICT, ”kan detektering av ett möjligt attackmönster eller förmågan att agera snabbt göra skillnad vad gäller cybersäkerhet där förebyggande åtgärder är viktigare än reaktiva”.
Utöver denna proaktiva dimension möjliggör AI så kallad reverse engineering vad gäller virus. För att göra en liknelse med den medicinska världen handlar det om att upptäcka ett DNA som är gemensamt med skadliga koder för att kunna förbereda immunförsvaret på att reagera snabbare.
AI medför också att IT-övervakningsteamen inte längre behöver utföra monotona och repetitiva uppgifter genom att man inför automatiska varningar om misstänkta incidenter. Således tillämpas SOAR-lösningar (Security Orchestration, Automation and Response) på den första incidenthanteringsprocessen inom ett säkerhetsoperationscenter (SOC, Security Operations Center).
Baksidan
Men varje mynt har sin baksida och AI kan också användas i onda avsikter. När det gäller integritet kan ”möjligheten att analysera och korrelera data avslöja personlig information som inte var avsedd att offentliggöras”. Detta kan orsaka sekretessproblem, särskilt vad gäller efterlevnaden av den allmänna dataskyddsförordningen (GDPR).
“AI kan också användas av hackare för att skapa mer sofistikerade typer av attacker som utnyttjar det förflutna och automatiserar omkonfigureringen av mönster”, konstaterar Loredana Mancini. Skyddssystemet kan slå tillbaka på det företag som det är avsett att skydda och fungera som ett attackfordon genom att injicera kontaminerad data i AI-motorn. Standardiseringsgrupper arbetar för att säkra denna typ av lösningar.
”Det är alltid viktigt att komma ihåg att säkerheten i ett system aldrig är starkare än dess svagaste länk, och om någon länk är svag eller trasig äventyras säkerheten i hela systemet”, avslutar Axians affärsutvecklingschef inom cybersäkerhet.
11/02/2021