שימוש ב Generative AI לאבטחת סייבר בענן
אין צורך בכדור בדולח כדי לנחש את החשיבות הגוברת והולכת של AI בעולמות הטכנולוגיה בכלל והסייבר בפרט
שנת 2023 הייתה שנת מפנה בשימוש בבינה מלאכותית ג'נרטיבית ובמודלי שפה גדולים (Generative AI and Large language models). סקר של חברת האנליסטים מק'קינזי קבע ששליש מהארגונים משתמשים בAI ג'נרטיבי באופן קבוע לשימושים עסקיים שונים.
אחד השימושים האלו הוא הגנת סייבר. היכולת לזהות דפוסים במהירות בכמויות דאטה אדירות הופכת את הבינה המלאכותית הג'נרטיבית למתאימה במיוחד לשימוש במשימה זו - בייחוד בגילוי וזיהוי איומים.
ניתן לאמן את מודלי ה- AI על דאטה רב וכך לטייב כל הזמן את יכולות הגילוי והזיהוי. צריך לזכור שטכנולוגיה זו זמינה לשני הצדדים, והתוקפים יכולים להשתמש בה ליצור התקפות אוטומטיות מתוחכמות בקלות יחסית.
כחברת סייבר שמתמחה באבטחת ענן והייתה בין הראשונות בעולם לשלב מודלי AI לזיהוי איומים, Skyhawk Security חוזה שלושה טרנדים עיקריים שישפיעו על השוק בשנה הבאה.
שימוש גובר ב-LLM לאבטחת סייבר בענן
בשנת 2024, השימוש הגובר במודלי שפה ו-AI ג'נרטיבי ישפיע מהותית על הגנת הסייבר בארגונים. הצפי שלנו הוא ששימוש זה יקטין את התלות בכוח אדם מיומן שהמחסור בו מהווה היום את אחד האתגרים המשמעותיים ביותר שעומדים בפני ארגונים.
לדוגמא, השימוש במודלי שפה לניתוח לוגים יאפשר לזהות במהירות וביעילות מתקפות מוכרות וכן Zero-Days שאינם מוכרים. המודלים יאתרו דפוסים בלתי נראים (לעיני האנליסט) שמרמזים על מתקפה מתוחכמת שעובדת מתחת לסף הרעש תוך ניצול מנגנונים לגיטימיים, או חריגות (אנומליות) שמעידות על מתקפות חדשות ולא-מוכרות.
השילוב של AI ו- LLM יאפשר לבצע פעולות אבטחה מדוייקות ויעילות יותר תוך שהם מטפלות ברוב ההתרעות ומאפשרות לאנליסט האנושי להתמקד רק באיומים הדחופים והחמורים ביותר.
שימוש זדוני במודלי AI שונים לטייב התקפות פישינג
הטכנולוגיה המתקדמת הזו זמינה גם לפושעי הסייבר. עד עתה רוב המאמצים של ההאקרים התמקדו בשימוש בכלים אלו ליצירה אוטומטית של רושעות, אולם, אנו צופים שכבר בטווח הזמן הקרוב מאוד הם ירחיבו את השימוש בכלים אלו ליצירת טקסטים, קבצי סאונד ווידאו שיאפשרו להם להתחזות לכל אדם שירצו.
יכולת כזו תעצים מאוד את אמינות מתקפות הנדסה חברתית (Social engineering) שמסתמכות על הטעיית הקורבן. עד היום מתקפות אלו (לדוגמא: פישינג) נבנו על סמך דפוסים מוכרים יחסית (תרמית ה"נסיך הניגרי") שבהם התוקפים מתחזים לאדם אלמוני ומנסים לשכנע את הקורבן לבצע פעולות מסוימות.
האפשרות להתחזות בצורה משכנעת לאנשים מוכרים, נניח אמן מפורסם או לאדם שהקורבן מכיר, ועל ידי הטכנולוגיה ליצור מסר אישי ואמין, תגדיל את הסיכוי שהקורבן יפול בפח. ניתן ליצור אוטומציות מורכבות שמתמרנות בין הודעות טקסט, הודעות קול ואפילו וידאו סינתטי, הכל באמינות שמספיקה לשכנע את האדם הסביר.
הקלות שבה יהיה ניתן לייצר מתקפות אלו, בשילוב של איכות הזיוף, מעמידות את הארגונים השונים בפני בעיה מסדר גודל אחר מכל איום שבו נתקלו בעבר. אם תוקפים מתוחכמים ירצו להפיל ברשתם עובד בכיר בארגון הם יכולים בקלות לאתר מכרים וחברים שלו.
לשלוח לו הודעות קוליות, הודעות טקסט, מייל או סרטונים, וברגע של היסח דעת, העובד יקליק על לינק זדוני, יוריד למחשבו רושעה או ימסור בטעות פרטי הזדהות שיאפשרו לתוקפים לחדור לארגון ולנוע בו בחופשיות.
עליה בכמות ובתחכום של מתקפות סייבר על סביבות ענן
בהמשך לסעיף הקודם, יש להניח שכלי תקיפה מתקמים לא יופנו "רק" נגד המשתמשים אלא גם כלפי סביבות הענן עצמן. ההנחה בשוק היא שעל ידי אבטחת הפרימטר של סביבות ענן (יצירת סביבת ענן רובוסטית ונטולת מיסקונפיגורציות), ניתן ליצור ולתחזק סביבות ענן בטוחות ביותר.
הנחה זו עלולה להתגלות כאופטימית מדי. גם מערכות בקרת התצורה (CSPM) המתקדמות ביותר לא מסוגלות למנוע לחלוטין חדירה של גורמים זרים לסביבת הענן, ואינן מסוגלות לאתר חדירה זו בזמן אמת.
התגברות תקריות מסוג זה תביא להבנה שעל מנת לאבטח סביבות אלו אי אפשר להסתפק במאמץ לייצר פרימטר רובוסטי וצריך להשקיע גם בפתרונות זיהוי והכלת איומים בזמן.
בנוסף, לא ניתן יותר להסתמך על פתרונות איסוף ועיבוד מידע ארגוניים מהדור הישן (SIEM ו-XDR), אלא יש להסתמך על פתרונות Cloud-Native המאפשרים זיהוי והכלת איומים בזמן אמת בסביבת הענן עצמה.
לסיכום, אין צורך בכדור בדולח כדי לנחש את החשיבות הגוברת והולכת של AI בעולמות הטכנולוגיה בכלל והסייבר בפרט.
מעבר לתחזית הכללית ("תוקפים ומגינים יעשו שימוש נרחב יותר בכלי AI") ולנטיה של חברות שונות להדביק תווית של AI Inside לכל מוצר טכנולוגי, ארגונים צריכים לבחון היטב את הכלים שיבחרו בכדי להתמודד עם האתגרים הללו, בייחוד בסביבות ענן.
רק מוצרים שנולדו מתוך הבנה אינטימית של סביבות אלו, ומתבססים על מנגנוני AI ו-LLM מוכחים, יוכלו לתת מענה למתקפות המתוחכמות שעוד צפויות בעתיד.
חן בורשן הוא מנכ"ל סקייהוק סקיוריטי. לשעבר בכיר בחברת Dome9, אחת מחברות אבטחת הענן הראשונות בעולם, שנרכשה על ידי צ'קפוינט. יזם סדרתי שהקים מספר חברות בתחום ניהול ואבטחת ענן והמציא מעל 20 פטנטים טכנולוגיים שונים.
אין צורך בכדור בדולח כדי לנחש את החשיבות הגוברת והולכת של AI בעולמות הטכנולוגיה בכלל והסייבר בפרט
שנת 2023 הייתה שנת מפנה בשימוש בבינה מלאכותית ג'נרטיבית ובמודלי שפה גדולים (Generative AI and Large language models). סקר של חברת האנליסטים מק'קינזי קבע ששליש מהארגונים משתמשים בAI ג'נרטיבי באופן קבוע לשימושים עסקיים שונים.
אחד השימושים האלו הוא הגנת סייבר. היכולת לזהות דפוסים במהירות בכמויות דאטה אדירות הופכת את הבינה המלאכותית הג'נרטיבית למתאימה במיוחד לשימוש במשימה זו - בייחוד בגילוי וזיהוי איומים.
ניתן לאמן את מודלי ה- AI על דאטה רב וכך לטייב כל הזמן את יכולות הגילוי והזיהוי. צריך לזכור שטכנולוגיה זו זמינה לשני הצדדים, והתוקפים יכולים להשתמש בה ליצור התקפות אוטומטיות מתוחכמות בקלות יחסית.
כחברת סייבר שמתמחה באבטחת ענן והייתה בין הראשונות בעולם לשלב מודלי AI לזיהוי איומים, Skyhawk Security חוזה שלושה טרנדים עיקריים שישפיעו על השוק בשנה הבאה.
שימוש גובר ב-LLM לאבטחת סייבר בענן
בשנת 2024, השימוש הגובר במודלי שפה ו-AI ג'נרטיבי ישפיע מהותית על הגנת הסייבר בארגונים. הצפי שלנו הוא ששימוש זה יקטין את התלות בכוח אדם מיומן שהמחסור בו מהווה היום את אחד האתגרים המשמעותיים ביותר שעומדים בפני ארגונים.
לדוגמא, השימוש במודלי שפה לניתוח לוגים יאפשר לזהות במהירות וביעילות מתקפות מוכרות וכן Zero-Days שאינם מוכרים. המודלים יאתרו דפוסים בלתי נראים (לעיני האנליסט) שמרמזים על מתקפה מתוחכמת שעובדת מתחת לסף הרעש תוך ניצול מנגנונים לגיטימיים, או חריגות (אנומליות) שמעידות על מתקפות חדשות ולא-מוכרות.
השילוב של AI ו- LLM יאפשר לבצע פעולות אבטחה מדוייקות ויעילות יותר תוך שהם מטפלות ברוב ההתרעות ומאפשרות לאנליסט האנושי להתמקד רק באיומים הדחופים והחמורים ביותר.
שימוש זדוני במודלי AI שונים לטייב התקפות פישינג
הטכנולוגיה המתקדמת הזו זמינה גם לפושעי הסייבר. עד עתה רוב המאמצים של ההאקרים התמקדו בשימוש בכלים אלו ליצירה אוטומטית של רושעות, אולם, אנו צופים שכבר בטווח הזמן הקרוב מאוד הם ירחיבו את השימוש בכלים אלו ליצירת טקסטים, קבצי סאונד ווידאו שיאפשרו להם להתחזות לכל אדם שירצו.
יכולת כזו תעצים מאוד את אמינות מתקפות הנדסה חברתית (Social engineering) שמסתמכות על הטעיית הקורבן. עד היום מתקפות אלו (לדוגמא: פישינג) נבנו על סמך דפוסים מוכרים יחסית (תרמית ה"נסיך הניגרי") שבהם התוקפים מתחזים לאדם אלמוני ומנסים לשכנע את הקורבן לבצע פעולות מסוימות.
האפשרות להתחזות בצורה משכנעת לאנשים מוכרים, נניח אמן מפורסם או לאדם שהקורבן מכיר, ועל ידי הטכנולוגיה ליצור מסר אישי ואמין, תגדיל את הסיכוי שהקורבן יפול בפח. ניתן ליצור אוטומציות מורכבות שמתמרנות בין הודעות טקסט, הודעות קול ואפילו וידאו סינתטי, הכל באמינות שמספיקה לשכנע את האדם הסביר.
הקלות שבה יהיה ניתן לייצר מתקפות אלו, בשילוב של איכות הזיוף, מעמידות את הארגונים השונים בפני בעיה מסדר גודל אחר מכל איום שבו נתקלו בעבר. אם תוקפים מתוחכמים ירצו להפיל ברשתם עובד בכיר בארגון הם יכולים בקלות לאתר מכרים וחברים שלו.
לשלוח לו הודעות קוליות, הודעות טקסט, מייל או סרטונים, וברגע של היסח דעת, העובד יקליק על לינק זדוני, יוריד למחשבו רושעה או ימסור בטעות פרטי הזדהות שיאפשרו לתוקפים לחדור לארגון ולנוע בו בחופשיות.
עליה בכמות ובתחכום של מתקפות סייבר על סביבות ענן
בהמשך לסעיף הקודם, יש להניח שכלי תקיפה מתקמים לא יופנו "רק" נגד המשתמשים אלא גם כלפי סביבות הענן עצמן. ההנחה בשוק היא שעל ידי אבטחת הפרימטר של סביבות ענן (יצירת סביבת ענן רובוסטית ונטולת מיסקונפיגורציות), ניתן ליצור ולתחזק סביבות ענן בטוחות ביותר.
הנחה זו עלולה להתגלות כאופטימית מדי. גם מערכות בקרת התצורה (CSPM) המתקדמות ביותר לא מסוגלות למנוע לחלוטין חדירה של גורמים זרים לסביבת הענן, ואינן מסוגלות לאתר חדירה זו בזמן אמת.
התגברות תקריות מסוג זה תביא להבנה שעל מנת לאבטח סביבות אלו אי אפשר להסתפק במאמץ לייצר פרימטר רובוסטי וצריך להשקיע גם בפתרונות זיהוי והכלת איומים בזמן.
בנוסף, לא ניתן יותר להסתמך על פתרונות איסוף ועיבוד מידע ארגוניים מהדור הישן (SIEM ו-XDR), אלא יש להסתמך על פתרונות Cloud-Native המאפשרים זיהוי והכלת איומים בזמן אמת בסביבת הענן עצמה.
לסיכום, אין צורך בכדור בדולח כדי לנחש את החשיבות הגוברת והולכת של AI בעולמות הטכנולוגיה בכלל והסייבר בפרט.
מעבר לתחזית הכללית ("תוקפים ומגינים יעשו שימוש נרחב יותר בכלי AI") ולנטיה של חברות שונות להדביק תווית של AI Inside לכל מוצר טכנולוגי, ארגונים צריכים לבחון היטב את הכלים שיבחרו בכדי להתמודד עם האתגרים הללו, בייחוד בסביבות ענן.
רק מוצרים שנולדו מתוך הבנה אינטימית של סביבות אלו, ומתבססים על מנגנוני AI ו-LLM מוכחים, יוכלו לתת מענה למתקפות המתוחכמות שעוד צפויות בעתיד.
חן בורשן הוא מנכ"ל סקייהוק סקיוריטי. לשעבר בכיר בחברת Dome9, אחת מחברות אבטחת הענן הראשונות בעולם, שנרכשה על ידי צ'קפוינט. יזם סדרתי שהקים מספר חברות בתחום ניהול ואבטחת ענן והמציא מעל 20 פטנטים טכנולוגיים שונים.
