ИИ ускоряет проведение кибератак. Готова ли ваша сеть?

В наши дни кибербезопасность находится под пристальным вниманием, особенно в связи с тем, что всё больше враждебных атак на основе искусственного интеллекта, таких как Scattered Spider, могут использовать различные методы, чтобы распространяться, ускорять своё воздействие и маскировать свои операции. Это означает, что для защиты современных сетей требуется более быстрое и комплексное реагирование.

Наступательный ИИ начинает набирать обороты: группа Google по анализу угроз отследила новые и набирающие популярность методы атак с использованием ИИ, в том числе инструменты ИИ, которые могут обходить средства защиты, генерировать вредоносные скрипты и автоматически избегать обнаружения. Компания Anthropic зафиксировала то, что она называет первым известным случаем использования ИИ для объединения различных вредоносных программ с целью проведения сетевой разведки, обнаружения уязвимостей, горизонтального перемещения по целевой сети и сбора данных.

Оркестровка с помощью ИИ может осуществляться с такой скоростью и в таких масштабах, что это легко может привести к сбоям в ручных методах обнаружения и устранения проблем. Это новые атаки во всех смыслах этого слова, в которых для обхода цифровой защиты используются автоматизация и интеллектуальные алгоритмы машинного обучения.

Эти атаки — лишь начало того, как ИИ можно использовать для обхода традиционных средств защиты. Хотя история компрометации учётных данных насчитывает несколько десятилетий, новым является масштаб, которого можно достичь с помощью всего нескольких подсказок для ИИ, а также то, как можно использовать ИИ для сбора огромного количества украденных данных.

Это лишь один из способов, с помощью которых злоумышленники используют ИИ. В отчёте Cloud Security Alliance за июнь 2025 года перечислено более 70 различных способов, с помощью которых автономные агенты на основе ИИ могут атаковать корпоративные системы, а также показано, как эти агенты значительно расширяют возможности для атак, выходя за рамки традиционных границ доверия и методов обеспечения безопасности.

Воистину, ничто больше не является безопасным, и мы уверенно вступаем в эпоху нулевого доверия. С тех пор как этот термин впервые употребил Джон Киндерваг в 2009 году, когда он работал в Forrester Research, он приобрёл почти универсальное значение. Разница с современными сетями заключается в том, что аналитики SOC тоже не могут ничего принимать как должное и должны более эффективно выявлять и предотвращать атаки, независимо от их источника.

Почему NDR важен для защиты от атак с использованием искусственного интеллекта

В поисках более эффективных способов защиты от новых угроз, связанных с искусственным интеллектом, организации обращаются к мониторингу сети, чтобы понять, как эти методы могут быть полезны в качестве защитного механизма.

В отличие от устаревших решений, которые блокируют известные сигнатуры трафика или полагаются на ручное расследование, системы сетевого обнаружения и реагирования (NDR) непрерывно отслеживают и анализируют сетевые данные, предоставляя информацию в режиме реального времени для выявления быстро распространяющихся угроз, основанных на искусственном интеллекте, и автоматического определения аномальных передач данных и моделей сетевого трафика. Эти системы расширяют возможности простого мониторинга сети за счет аналитики в реальном времени.

Панель управления Corelight Investigator

Современные системы защиты были разработаны для борьбы с известными угрозами в эпоху, когда искусственный интеллект ещё не мог создавать тысячи индивидуальных вариантов вредоносного ПО.

Это может быть одной из причин роста популярности запросов «Решения для обнаружения и реагирования в сети», согласно данным Google Trends и отчета Gartner’s Magic Quadrant™ для обнаружения и реагирования в сети.

Вот как современные системы NDR могут противостоять атакам с использованием искусственного интеллекта:

— Выявление и противодействие разведывательным кампаниям с использованием искусственного интеллекта и другим быстро распространяющимся полиморфным атакам. Общим для этих атак является использование автоматизированных методов для поиска незащищенных точек входа или неустраненных уязвимостей. Это все равно что взломщику пришлось бы быстро перебирать сотни запертых дверей, чтобы найти ту, которая случайно осталась открытой. Решение NDR может справляться с большими объемами трафика, генерируемого этими автоматизированными системами, и своевременно обрабатывать все эти данные, что крайне важно для обнаружения злоумышленника, скрывающегося среди обычных пользователей.

Системы NDR используют мониторинг в реальном времени для проверки всего сетевого трафика. Это позволяет им обнаруживать угрозы и восстанавливать хронологию и компоненты различных типов атак. Например, эти системы часто включают в себя различные методы автоматизации и искусственного интеллекта/машинного обучения для выявления таких вещей, как горизонтальное перемещение сетевых угроз или другое аномальное поведение, которое является признаком того, что злоумышленник пытается замести следы. Решение NDR также должно уметь отличать ложные срабатывания от реальных угроз, предоставляя при этом контекст и сетевые последствия для расследования реальных угроз.

— Во-вторых, обобщить и проанализировать, что происходит в корпоративных сетях и облачных хранилищах. Например, можно рассчитать соотношение зашифрованного и незашифрованного трафика и сравнить его с базовыми показателями за прошлые периоды или заметить, что сетевой маршрутизатор никогда раньше не использовал SSH для подключения к интернету, а теперь использует этот протокол. Или можно выявить подключения к новым сервисам или IP-адресам. Подобные данные полезны для специалистов по безопасности, так как дают им более полное представление о ходе расследования и помогают понять, как меняется сетевой трафик с течением времени.

— В-третьих, возможность сохранять эти шаблоны на каком-либо носителе для последующего изучения и анализа. Система может распознавать и извлекать отдельные файлы, а также анализировать их для принятия дальнейших мер, например для настройки специальных политик, предотвращающих такое поведение, или для просмотра того, что происходило в прошлом, чтобы обойти защиту. Один из примеров — запись о недопустимой загрузке файла с расширением изображения, например .jpg или .png, который на самом деле является исполняемым файлом и может стать основой для атаки.

— Наконец-то можно вынести вердикт о том, является ли какое-либо событие безобидным, подозрительным или вредоносным, и сделать это с помощью автоматизированных методов, которые выходят за рамки простого распознавания сигнатур или поведения вредоносного ПО. Это поможет снизить нагрузку на аналитиков SOC и устранить ложные срабатывания. Используя упомянутый выше пример с эксплойтом SSH-трафика, можно сказать, что NDR не может заглянуть внутрь зашифрованного трафика, но может легко определить, что это новая ситуация, и пометить её как потенциальное злоупотребление благодаря возможностям мониторинга сети. По мере того как злоумышленники совершенствуют свои методы и находят всё больше способов скрыть свои действия, становится всё важнее оперативно выявлять потенциально опасные события.

Поскольку противники все чаще прибегают к ИИ, чтобы обойти устаревшую защиту, видимость сети помогает SOC распознавать их действия. Независимо от того, прощупывают ли они точки входа, перемещаются вбок или прячутся на виду, SOC перехватывают их до того, как будет нанесен реальный ущерб.

Уникальное преимущество NDR заключается в том, что оно предоставляет аналитикам полезную информацию для устранения проблем, которые традиционные инструменты игнорируют или скрывают глубоко в своих журналах. Специалисты по реагированию на инциденты могут быстро исследовать необычный сетевой трафик или подозрительное использование приложений, выявлять скрытые вредоносные программы или злоумышленников и быстрее устранять инциденты. У них появляется возможность уменьшить радиус поражения вредоносной программы или предотвратить кражу конфиденциальных данных злоумышленниками.

Благодаря широкому охвату среды и быстрому реагированию NDR обеспечивает организациям гибкость, необходимую для подготовки к будущему, в котором злоумышленники будут использовать постоянно развивающиеся тактики, основанные на искусственном интеллекте.

Редактор: AndreyEx