Ми з дитинства пам’ятаємо фільми про повстання машин і про штучний інтелект (ШІ), що зароджується у кіберпросторі, усвідомлює себе та йде війною проти людства. Реальність водночас — і буденніша, і цікавіша: технології ШІ та їхні неймовірні можливості використовують як зі світлої, так і з темної «сторони сили». ШІ водночас захищає людей у кіберпросторі, та надає хакерам нові можливості для атак. Його можливості у цій царині — настільки широкі, що ринок ШІ-сервісів для кіберзахисту за кілька років оцінюють у сотні мільярдів.
AIN.UA разом з експертами безпекової компанії SOC Prime розбирається, як штучний інтелект може допомагати зловмисникам і захищати від їхніх атак, як він змінює підходи до кібербезпеки, а також яку роль може зіграти в цьому ChatGPT й аналогічні сервіси.
Історія та тренди ШІ в кібербезпеці
Робити прогнози щодо кібербезпеки просто. Завжди кажіть, що наступного року кількість атак та вірусів сильно зросте, і ви не помилитесь. Це, звісно, жарт, але частина правди в ньому є: за минулий рік, як і за останнє десятиліття, кіберзагроз стало більше, а відтак — і заподіяної шкоди.
За даними Check Point, кількість атак у III кварталі 2022 року зросла на 28% порівняно з роком до того. 2022-й у кібербезпеці Check Point назвали «лютим та штормовим», через напад росії на Україну, який, за американською воєнною доктриною, відбувався не лише фізично, але й у кіберпросторі. За даними звіту Google Fog of War, торік російські хакери на 250% збільшили спроби атакувати українців, і ще на 300% — користувачів із країн НАТО.
Суперзусилля зловмисників потребують суперзброї, що їм протистоятиме. На цю роль аналітики активно пропонують технології штучного інтелекту. За прогнозом Acumen Research and Consulting, ринок для ШІ-рішень захисту від кіберзагроз 2021 року становив $14,9 млрд, а уже за кілька років зросте удесятеро: до $133,8 млрд у 2030 році.
Але історія використання ШІ у кібербезпеці має свої особливості. CEO SOC Prime Андрій Безверхий пригадує, що у кібербезпеці ШІ довший час був здебільшого маркетинговим прийомом, buzz word, який включали до пітчів та пресрелізів, бо це круто і модно звучить.
«Раніше люди з індустрії на таке вже тригерилися. Коли бачиш, що в описі продукту є deep learning, state of the art, military grade — все із цим продуктом стає зрозуміло», — згадує він.
Були й свої історії шахрайства, як-от скандал із публічною британською компанією Darktrace, яка з 2013 року отримала понад $230 млн венчурних інвестицій та вийшла на IPO. Її засновник, мільярдер Майк Лінч, начебто обманом продав свою іншу компанію HP за $11 млрд і потім був засуджений за шахрайство майже на $5 млрд, а його розрекламований ШІ-сервіс кіберзахисту також підозрюють у неефективності.
«Звісно, це не означає, що в кіберзахисті ШІ не використовують. Просто, на відміну від автономних авто чи пілотування дронів, тут технології deep learning, машинного навчання не були визначальними», — пояснює Андрій Безверхий.
Поки не з’явився ChatGPT.
У нього — мільйони юзерів по всьому світі, нещодавно, зусиллями Мінцифри, його відкрили й для користувачів з України. Він змінив правила гри: його називають game changer у багатьох галузях, зокрема, і в кібербезпеці. Розглянемо нижче, чому так.
Як ChatGPT (та інші ШІ) служать «світлій» та «темній стороні сили»
Джина випустили з пляшки: «темні здобутки» ChatGPT
За словами CEO SOC Prime, у тому, що стосується написання та перевірки коду, ChatGPT — не стільки розвиток, скільки еволюційний стрибок уперед. І це має як позитивні, так і негативні грані.
З негативних: таланти ChatGPT дуже швидко оцінила «темна сторона сили»: хакери та шахраї, що займаються кібератаками. Уже в грудні 2022 та на початку січня 2023 року в аналітичних звітах почали з’являтися скриншоти з форумів дарквебу, де хакери обговорювали нові можливості атак.
Почати з того, що ChatGPT швидко складає мейли ідеальною англійською, невідмінні від листа, написаного людиною, втілюючи «такий собі злий аналог Grammarly». І це розв’язує зловмисникам руки щодо фішингу. Звісно, чат-боту не даси завдання: «Напиши фішингового листа на ось цю тему», подібні речі OpenAI заборонили. Але ці заборони можна обійти, змінюючи запити до чат-бота.
«Темна сторона сили швидко все зрозуміла, почала робити скрипти, щоб автоматизувати написання таких листів по API. Просто уявіть, що буде, якщо доступ до чату нададуть в Мордор або в Китай. У них біда з англійською, а тут натиснув кнопку — і за кілька секунд у тебе мейл ідеальною англійською на будь-яку тему», — застерігає Безверхий.
За даними Держспецзв’язку за III квартал 2022 року, 17% фішингових листів обходять усі методи захисту. Можна уявити, що станеться з цим показником, якщо ШІ почнуть активно використовувати для фішингу.
Це не всі ризики, пов’язані зі зловмисним використанням ШІ. ChatGPT вміє писати макроси для Excel (для переходу на шкідливий сайт), віруси-шифрувальники, шукати вразливості та баги в коді — тобто, фактично, вхідні двері для хакерів.
«Автоматична генерація нових шифрувальників — це катастрофа. Наприклад, уявімо, що ви відкрили фішинговий лист, перейшли на сайт, а там є код, що виконується в інтерпретаторі, у командному рядку. Шкідливого файлу немає, все виконується у пам’яті. Це може обійти всі антивіруси й половину EDR-cистем. Усі складові цієї атаки може написати ChatGPT. Джина випустили з пляшки», — пояснює Безверхий.
На світлій стороні: як ChatGPT може нас захищати
Але чи означає це, що «світла сторона» відстала та програла? Звісно, ні. ChatGPT та інші сервіси на основі лінгвістичних моделей відкривають великі можливості й для «сил захисту».
Наприклад, чат-бот добре вчиться писати Sigma-правила.
Sigma, спільна мова для кіберекспертів усього світу на відкритому коді, з’явилась ще 2016 року. Людина, що знає «сігму», може самостійно писати сигнатури для будь-якої кіберзагрози й додавати їх до спільної бази. Sigma використовують для створення відкритої для всіх глобальної бази даних про кіберзагрози, що постійно оновлюється.
«Люди досить швидко вчаться працювати із Sigma. ChatGPT вчиться ще швидше, хоча часом і шпортається. Уже в січні 2023 року на YouTube з’являлися відео, де ChatGPT пише Sigma-правило. Виходило у нього з помилками, але над цим можна працювати», — говорить CEO SOC Prime.
ChatGPT може бути помічним і для пошуку вразливостей (те, чим зараз займаються учасники багбаунті-програм), і для вичитки та тестування коду. Він чудово пише документацію: за робочим досвідом SOC Prime, на рівні гарного спеціаліста-джуна. І йому добре вдаються інструкції.
Приклад того, як це вже працює: інтеграція ChatGPT у систему захисту Microsoft Sentinel (детально описана у блозі компанії). Чат-бот на даних із системи захисту пише інструкцію для адміністратора, наприклад: у вас стався інцидент з підбором пароля, вам потрібно скинути паролі для 100 користувачів. Тобто, ШІ допомагає аналітикові першої ланки.
Звісно, ChatGPT — не єдина ШІ-технологія, що відкриває незнані до цього моменту можливості у кібербезі. Інша хайпова річ: нейромережі, як-от Midjourney або DALL-E, що генерують неймовірно детальні, гарні та реалістичні зображення, іноді майже не відмінні від справжніх фото. Часом ці картинки використовують для невинних пранків, іноді це призводить до скандалів та шкоди: як у нещодавній історії із фейковим фото дитини в сльозах, яку нейромережа намалювала після обстрілу в Дніпрі, і яке запостили українські офіційні канали.
Звісно, шахраям ці можливості теж відкриті: адже у гарну згенеровану картинку можна вшити шкідливий код, за допомогою діпфейку видурити з людини персональні дані.
Але можливості для добрих справ ще ширші. Один із неочевидних кейсів: захист критично важливих сервісів. За словами Безверхого, є технології, що ізолюють робоче місце людини від сервера через генерацію картинок.
«Наприклад, у вас є сервер із банківським клієнтом. Замість того, щоб давати вам доступ до банківської системи напряму, вам дають проміжну машину, де ви взаємодієте з інтерфейсом із картинок. При тому, ваше робоче місце та банківська система повністю роз’єднані, що забезпечує їй гарний захист. Відмальовка цих інтерфейсів — важке й довге завдання. А за допомогою AI можна «перекласти» на таку схему інтерфейс будь-якого сервісу», — пояснює експерт.
Де вчать таких технологій
Кількість користувачів ChatGPT за кілька місяців сягнула рекордних 100 млн, адже що ця технологія з точки зору юзера — дуже проста у використанні. Але «під капотом» — це складний сервіс, що працює на сімействі лінгвістичних моделей OpenAI GPT-3. Тож разом із популярністю таких моделей зростає і попит на спеціалістів, що вміють писати deep learning-моделі та налаштовувати їх. Попит на спеціалістів, що вмітимуть працювати із подібними технологіями у кіберсфері — ще більший, адже кібербезпека останні роки відчуває гострий дефіцит кадрів.
Саме тому безпекові компанії переглядають навчальні програми для майбутніх спеціалістів з урахуванням цих трендів. Наприклад, SOC Prime уже пів року навчає студентів Cyberport Institute at Biotech (працює при Державному біотехнологічному університеті) та студентів Волинського національного університету імені Лесі Українки працювати із безпековою мовою Sigma та фреймворком MITRE ATT&CK® (ми вже розповідали про них раніше).
Зараз компанія модифікує свою навчальну програму і дає студентам працювати з інтеграціями ChatGPT. Наприклад, нещодавно SOC Prime випустив новий реліз свого сервісу Uncoder — безкоштовного онлайн-перекладача із Sigma на інші мови. Українські студенти вже з ним працюють та тренуються на ньому.
У новому релізі туди інтегрували ChatGPT, який допомагає робити переклади не тільки з універсальної мови Sigma, а безпосередньо з однієї мови SIEM або EDR-системи на іншу за допомогою технології reverse translation.
То хто переможе: хакери чи кіберзахисники, озброєні ШІ
ChatGPT та інші ШІ-технології не лише допомагають перемагати в кіберпросторі, а й воювати на справжній війні. Наприклад, існує технологія розпізнавання облич за допомогою нейромережі Clearview AI, завдяки якій можна ідентифікувати російських військових злочинців. ChatGPT теж може сприяти українській розвідці та інформаційним волонтерам (і ймовірно, вже допомагає).
Попри загрози та ризики експерти налаштовані оптимістично: прогресу ШІ не спинити, ці технології еволюціонують непередбачувано швидко. За оцінкою Андрія Безверхого, черговий якісний стрибок у ШІ, зокрема, у вигляді ChatGPT, звісно може спочатку привнести трохи хаосу в кібербезпеку, але потім все буде добре.
«На початку може бути жорстко, тому що усі зловмисники кинуться його використовувати. Але добро почне відбиватися. Захист еволюціонує на інцидентах. Тож у довгостроковій перспективі кібербезпека навчиться працювати з такими моделями заради прогресу та кращого захисту для всіх», — вважає він.
Ми спитали у ChatGPT, чи збирається він шкодити, а чи допомагати кіберзахисникам. Він запевнив, що сприяє лише «світлій стороні»: