Читаем Истоки победы. Как разрушительные военные инновации определяют судьбы великих держав полностью

Сегодня противодействие кибератакам обычно требует выбора между частотой и масштабом атак, с одной стороны, и их эффективностью - с другой. Так обстоит дело с "фишингом" и "копьеметанием". Фишинговые атаки подразумевают рассылку общих сообщений большому количеству адресатов. Они используются, несмотря на очень низкий процент успеха, просто из-за огромного количества атакуемых целей. Почти каждый человек получал по электронной почте сообщение, адресованное широкой аудитории, которое побуждает его нажать на иконку или веб-адрес, что приведет к загрузке вредоносного ПО на его компьютер или к раскрытию личной или служебной информации. Большинство получателей просто удаляют письмо. Однако небольшой процент не делает этого.

Spear phishing, с другой стороны, является разновидностью "дизайнерского" фишинга, который предполагает подготовку сообщений электронной почты для определенных групп или лиц. Цель состоит в том, чтобы убедить получателя в том, что письмо пришло от человека или организации, которых он знает и которым доверяет, например, от друга, коллеги или работодателя. Например, в 2019 году хакеры проникли в Redbanc, межбанковскую сеть, соединяющую систему банкоматов Чили. Для этого они инсценировали длительный процесс приема на работу, сопровождавшийся видеоинтервью, чтобы убедить одного сотрудника загрузить и запустить вредоносное ПО. Время, усилия и навыки, затрачиваемые на spear phishing, вознаграждаются значительно большей вероятностью успеха по сравнению с простым фишингом. Это также делает spear phishing относительно дорогим. Однако если значительная часть работы будет автоматизирована с помощью искусственного интеллекта, то можно будет проводить атаки с помощью spear-phishing более эффективно и масштабно.

ИИ и киберзащита

Киберсоревнование, по-видимому, благоприятствует нападению. Иными словами, при равных ресурсах, выделяемых на нападение и защиту, атакующий, как правило, одерживает верх. Потенциальное использование ИИ для усиления наступательных кибер-операций только еще больше усложняет ситуацию с киберзащитой. Однако, как и в других областях военной конкуренции, ИИ работает по обе стороны улицы и способен помочь как обороне, так и наступлению. Как это делается?

Когда кибер-атака осуществляется на ряд конкретных целей, она оставляет после себя криминалистические артефакты или цифровые улики, созданные в ходе атаки. При атаке злоумышленник обычно сначала проводит разведку для выявления слабых мест. Атакующий использует эти слабые места при осуществлении атаки.

Большинство современных средств защиты оптимизированы против известных угроз. Для повышения эффективности киберзащиты необходимо собирать информацию о предыдущих атаках на другие, похожие цели, которая может быть использована для поражения будущих попыток взлома защищаемой системы. Сложные системы киберзащиты основаны на сборе большого количества данных, которые служат сырьем для анализа больших данных. Это очень трудоемкая работа, требующая талантов высококвалифицированных специалистов. Некоторые эксперты считают, что сочетание ИИ и машинного обучения может позволить киберзащитникам не только учиться на предыдущих атаках, но и выявлять аномальное поведение в киберпространстве, чтобы предотвратить еще неизвестные угрозы. Например, анализ больших данных может использоваться для определения базовых параметров сетевого трафика и взаимодействия машин. Эта базовая информация может быть использована с помощью машинного обучения для выявления аномалий в трафике с целью обнаружения ранних признаков вражеского зондирования или готовящейся или готовящейся атаки. Это может позволить ИИ выявлять и блокировать новые атаки, проводить судебно-медицинскую экспертизу, а также осуществлять ремонт или исправления в системе защиты до того, как злоумышленник сможет инициировать модифицированную последующую атаку. И он может делать это со скоростью, которую человек не сможет превзойти, поддерживая свои оборонительные усилия в течение длительного периода времени.

Агентство перспективных оборонных исследовательских проектов США (DARPA), подразделение Пентагона, занимающееся исследованиями и разработками в области передовых технологий, работает над использованием достижений в области аналитики больших данных и машинного обучения для усиления киберзащиты. Программа DARPA под названием Cyber Hunting at Scale (CHASE) объединяет компьютерную автоматизацию и передовые алгоритмы и скорости обработки данных для отслеживания больших объемов данных в режиме реального времени, что позволяет киберзащитникам выявлять сложные атаки, которые иначе могли бы остаться скрытыми среди потока данных, поступающих в систему. Другими словами, ИИ позволяет защите изучать и анализировать гораздо больший процент поступающих данных, чем это было бы возможно. Если усилия DARPA оправдаются, они значительно усилят защиту от более традиционных форм атак, таких как широко распространенные вредоносные программы, фишинг, атаки типа "отказ в обслуживании", а также APT.