Η τεχνητή νοημοσύνη έχει τη δυνατότητα να αναλάβει τον έλεγχο μεγάλων ροών πληροφορίας, αλλά χρειάζεται να θυμόμαστε ότι δεν έχει τη δυνατότητα να ξεχωρίσει το καλό από το κακό.

Το 2016, περισσότερα από 1 δισεκατομμύριο λογισμικά ήταν χαρακτηρισμένα ως malware. Το ποσοστό των malware που προστίθενται κάθε χρόνο αυτόματα στο Lab cloud της Kaspersky αυξάνεται σταθερά εδώ και μια πενταετία. Από 7,53% το 2012, έφτασε το 40,5% το 2016. Το ρόλο του λαγωνικού έχει αναλάβει το Astraea, το οποίο βασίζεται σε τεχνολογία machine – learning, δεχόμενο πληροφορίες από εκατομμύρια υπολογιστές, τις οποίες συγκρίνει με τα γνωστά malware και σε περίπτωση που βρει έστω και ελάχιστη διαφορά δημιουργεί μια νέα καταχώριση στη βάση.

Η λειτουργία του Astraea ξεκίνησε το 2010, δηλαδή αρκετά χρόνια πριν η τεχνητή νοημοσύνη εμφανιστεί με παχύς τίτλους στο προσκήνιο της δημοσιότητας.

Πάθαμε και μάθαμε
Η επίθεση στην Equifax, η πρόσβαση σε προσωπικά δεδομένα 198 εκατομμυρίων ψηφοφόρων στις ΗΠΑ και η διαρροή προσωπικών δεδομένων χιλιάδων εργαζομένων στο FBI, είναι μερικά από τα περιστατικά που ταρακούνησαν την κοινότητα των cybersecurity experts τα προηγούμενα χρόνια. Και στις τρεις περιπτώσεις, οι επιθέσεις είχαν σχεδιαστεί εξειδικευμένα για τον κάθε στόχο και ήταν επιτυχημένες γιατί είχαν την υποστήριξη machine learning αλγορίθμων. Οι επιτιθέμενοι συχνά αξιοποίησαν τα μέσα κοινωνικής δικτύωσης για να χρησιμοποιήσουν συγκεκριμένα άτομα ως πύλες εισόδου στα συστήματα των εταιρειών που εργάζονταν. Η στρατηγική των συνόρων, την οποία αξιοποιούν οι περισσότερες εταιρείες, εγκαθιστώντας firewalls, λογισμικά antivirus και εφαρμόζοντας πολιτικές password protection δεν είναι πλέον επαρκής. Στο βιβλίο του Future Crimes, ο Marc Goodman, παρουσιάζει τους αυτοματισμούς που χρησιμοποιούνται στις σύγχρονες κυβερνοεπιθέσεις και παρατηρεί ότι μια διαφορά σε σχέση με τους αυτοματισμούς του παρελθόντος, είναι η δυνατότητα προσαρμογής τους στο περιβάλλον που κάθε φορά αντιμετωπίζουν. Σύμφωνα με τον ίδιο, το αργότερο μέχρι το 2022, περισσότεροι από 6 δισεκατομμύρια άνθρωποι θα αποτελούν αυτό που ονομάζει “attack surface”, παραδίδοντας συχνά τα κλειδιά της πόλης στους επιτιθέμενους. Και αυτό ίσως να είναι ένα μικρό μόνο κομμάτι του προβλήματος, αν θεωρήσουμε ότι η ανάπτυξη της τεχνολογίας IoT, είναι πιθανό να αυξήσει το “attack surface” στην κλίμακα των τρισεκατομμυρίων.

Ωστόσο, αυτό που ανησυχεί περισσότερο τις κυβερνήσεις είναι η κυβερνοεπιθέσεις που έχουν ως στόχο την τρομοκρατία. Σύμφωνα με έρευνα της Morgan Stanley, οι ζημίες από κυβερνοεπιθέσεις είναι πολύ πιθανό να ξεπεράσουν τα 6 τρισεκατομμύρια δολάρια μέχρι το 2021. Τι θα συμβεί όμως αν εκτός από τις απώλειες χρημάτων, οι κυβερνοεπιθέσεις έχουν ως αποτέλεσμα και απώλειες ανθρώπινων ζωών; Θα μπορούσε για παράδειγμα ένα αυτόνομο όχημα να πέσει πάνω σε ένα πλήθος ατόμων γιατί κάποιος πήρε τον έλεγχο των ηλεκτρονικών του συστημάτων; Η πόσο πιθανό είναι το ενδεχόμενο μια ομάδα τρομοκρατών να αποκτήσει τον έλεγχο ενός οπλισμένου UAV;

Μια φορά ο Δαυίδ κέρδισε με σφεντόνα
Στόχος των νέων εργαλείων είναι να διακρίνουν σε πραγματικό χρόνο αν ο άγνωστος επισκέπτης χτυπάει την πόρτα με καλές ή κακές προθέσεις. Οι αλγόριθμοι είναι ικανοί στο να εντοπίζουν ανωμαλίες σε γνωστά patterns. Σε αυτές τις περιπτώσεις πιθανολογούν ότι η ανωμαλία προέρχεται από κάποιον με κακές προθέσεις και θέτουν την εταιρεία σε αμυντική στάση. Μια ήπια προσέγγιση θα μπορούσε να είναι ένα alert στον υπεύθυνο ασφαλείας για περαιτέρω διερεύνηση, ενώ μια πιο σκληρή προσέγγιση θα μπορούσε να σημαίνει την αυτόματη απομόνωση κάποιων συστημάτων μέχρι να διαπιστωθεί που οφείλεται η ανωμαλία.

Για να μάθει το machine χρειάζεται δάσκαλο
Η βασική προϋπόθεση για να λειτουργούν σωστά οι αλγόριθμοι machine learning είναι να έχουν τη σωστή εκπαίδευση. Επομένως, αν τους τροφοδοτήσουμε με λάθος δεδομένα θα καταλήξουν σε λάθος συμπεράσματα. Η τεχνική που έχει γίνει γνωστή ως Adversarial Examples κάνει ακριβώς αυτό. Ο επιτιθέμενος τροφοδοτεί τον αλγόριθμο με δεδομένα που τον οδηγούν σε λάθος συμπεράσματα. Μια κάμερα ασφαλείας για παράδειγμα αναγνωρίζει ως σκύλο έναν άνθρωπο που εισέρχεται στα τέσσερα σε ένα απαγορευμένο χώρο και φοράει μια κουκούλα με μακριά αυτιά, οπότε δεν ενεργοποιεί το συναγερμό. Ένα άρθρο που δημοσιεύτηκε στο OpenAI (https://blog.openai.com/adversarial-example-research/) παρουσιάζει ενδιαφέροντα παραδείγματα τεχνικών που έχουν τη δυνατότητα να ξεγελάσουν έναν αλγόριθμο.

Σε αυτές τις περιπτώσεις, ο αλγόριθμος χρειάζεται επανεκπαίδευση και επομένως ο ανθρώπινος παράγοντας εισέρχεται ξανά στο προσκήνιο. Μια από τις μεθόδους που χρησιμοποιούνται για την αντιμετώπιση των adversarial examples είναι η σκόπιμη τροφοδότηση του αλγόριθμου με “φάρσες”, οι οποίες του λέμε ότι είναι “φάρσες” και άρα όταν τις βλέπει χτυπάει συναγερμό γιατί δεν είναι σίγουρος τι τελικά είναι. Η βελτίωση της βασικής εκπαίδευσης είναι επίσης ένας τρόπος αντιμετώπισης και οι εξειδικευμένοι μηχανικοί είναι αυτοί που έχουν τη νοημοσύνη να προβλέψουν ή να διορθώσουν έπειτα από λάθος τις άστοχες προβλέψεις του αλγόριθμου. Όπως φαίνεται οι εγκληματίες φροντίζουν ώστε οι ειδικοί στην κυβερνοασφάλεια να μην μείνουν άνεργοι.

Συνέντευξη:
Πάνος Δημητρίου, CTO & Co-Founder, ENCODE

    Στην κεντρική σελίδα του site αναφέρεστε σε machine learning security. Η αξιοποίηση αυτής της τεχνολογίας είναι για εσάς κάτι νέο ή τη χρησιμοποιούσατε ανέκαθεν; Έχετε συνεργασίες για την ανάπτυξη των αλγορίθμων;

Η πλατφόρμα Enorasys Security Analytics & Response Orchestration της Encode, καθώς και τα επιμέρους προϊόντα αυτής (Security Analytics, SOCStreams και Lookup Service), σχεδιάστηκαν και υλοποιήθηκαν από την αρχή αξιοποιώντας τεχνολογίες και τεχνικές machine learning, μεταξύ άλλων, έτσι ώστε να λειτουργούν ως πραγματικός «πολλαπλασιαστής ισχύος» για ένα Security Operations Center, τόσο για τον εντοπισμό όσο και για τη διαχείριση απειλών και συμβάντων ασφάλειας. Όσον αφορά το machine learning, οι αλγόριθμοι είναι πολλοί και γνωστοί και ιδιαίτερα για λύσεις ασφάλειας δεν είναι απαραίτητη η δημιουργία «καινούργιων» αλγορίθμων. Αυτό που έχει σημασία είναι μια ομάδα με μεγάλη εμπειρία στο αντικείμενο του προβλήματος (cyber security) σε συνεργασία με ταλαντούχους Data Scientists και η δυνατότητα δημιουργίας καλών data sets, καθώς και να είσαι «μέρος της διαδικασίας» – όλα αυτά τα συνδυάζει η Encode.

    Ποια από τα στοιχεία του λογισμικού σας θεωρείτε ότι δημιουργούν την ειδοποιό διαφορά;

Τα χαρακτηριστικά αυτά διαφέρουν ανά προϊόν: Για το Enorasys Security Analytics είναι η προσέγγιση μας προς στη λύση ενός προβλήματος, αυτού του «γρήγορου εντοπισμού στοχευμένων-εξεζητημένων επιθέσεων», μέσω της χρήσης analytics για τον εντοπισμό επικοινωνιών του επιτιθέμενου με κάποιο σύστημα το οποίο έχει κάνει ήδη compromise (αυτό που λέγεται στην ορολογία “Command and Control communication channel). Για το SOCStreams είναι οι δυνατότητες του να βελτιστοποιήσει και αυτοματοποιήσει τις διαδικασίες διαχείρισης απειλών και συμβάντων ασφάλειας. Και τέλος για το Enorasys Lookup Service να παρέχει γρήγορα και άμεσα πληροφορίες σε έναν αναλυτή για κάποια απειλή, καθώς και την «ετυμηγορία» του, χρησιμοποιώντας τεχνικές machine learning.

    Στις υπηρεσίες που προσφέρετε υπάρχει η λογική των δομικών λίθων. Είναι αυτό εφικτό στην πράξη; Μπορείτε για παράδειγμα να έχετε επέμβαση, αν προηγουμένως δεν έχετε κάνει ανάλυση της απειλής;

Η σωστή αντιμετώπιση απειλών έχει συγκεκριμένα στάδια και σε ένα μεγάλο βαθμό το ένα βασίζεται στο άλλο. Για παράδειγμα με τις υπηρεσίες Managed Detection and Response παρέχουμε μια ολοκληρωμένη λύση από τον εντοπισμό – ανάλυση – εστιασμένο έλεγχο – οριοθέτηση εύρους διακύβευσης και ανάσχεση αυτής. Σε άλλες υπηρεσίες μας όμως, μπορεί να σταματήσουμε στον εντοπισμό – ανάλυση – ενημέρωση και οι υπόλοιπες ενέργειες να γίνουν από ομάδες του πελάτη, με εμάς, ως SOC, έχοντας ένα επικουρικό και βοηθητικό ρόλο, όντας πάντα μέρος και εις γνώση της διαδικασίας.

Διαβάστε τα υπόλοιπα κεφάλαια του Special Report CYBERSECURITY στους παρακατω συνδέσμους: