Umělá inteligence a strojové učení jsou součástí jednoho z nejdiskutovanějších témat v oblasti IT. Pokud jde o digitální bezpečnost, někteří doufají, že jednoho dne poskytnou dokonalou ochranu před malwarem, zatímco jiní se obávají, že jejich příslib může uvolnit cestu k sofistikovanějším kybernetickým útokům. Oba pohledy jsou správné.
Umělá inteligence není jen strojové učení
O umělé inteligenci (Artificial Intelligence) a strojovém učení (Machine Learning) se mluví již dlouho. Potenciál změn, které tyto technologie přinášejí, však ještě není zcela znám. Jedno je však jisté: umělá inteligence, kterou vídáme na filmových plátnech, zůstává hudbou budoucnosti.
Pojmy umělá inteligence a strojové učení se často nesprávně používají jako synonyma. V případě umělé inteligence jde o to, že se stroj dokáže učit a jednat samostatně a "inteligentně", bez lidské interakce a pouze na základě vnějších vstupů. Strojové učení zase využívá algoritmy zpracování dat k samostatnému provádění určitých úkolů. Počítač dokáže rychle identifikovat struktury a anomálie ve velkém množství dat a rozdělit je na menší jednotky podstatné pro daný problém (generování modelu). Přesto se strojové učení většinou považuje za jádro umělé inteligence.
Lidé a androidi? Tým snů, který dokáže porazit hackery
Strojové učení má v boji proti kyberkriminalitě velký význam, zejména pokud jde o detekci malwaru. Pomocí obrovského množství dat je strojové učení vycvičeno ke správnému filtrování souborů a vzorků do kategorií "neškodný" a "škodlivý". Díky tomu lze nové a neznámé prvky automaticky přiřadit do jedné ze dvou kategorií. To vyžaduje obrovské množství vstupních dat – každá informace musí být správně kategorizována. Často se nesprávně uvádí, že algoritmus dokáže dokonale označit nové prvky jen proto, že mu bylo poskytnuto velké množství dat. Pravdou je, že závěrečné ověření člověkem v případě sporných výsledků je nezbytné.
Lidé jsou stále lepší než stroje, pokud jde o učení se z kontextů a kreativní jednání. To je oblast, kde mají algoritmy prostor pro zlepšení. Například profesionální vývojáři malwaru dokáží chytře maskovat skutečný účel svého kódu. Škodlivý kód může být ukryt v pixelech čistého obrázkového souboru a fragmenty škodlivého kódu se mohou schovat v dalších souborech. Škodlivý efekt se tak může projevit až po spojení jednotlivých prvků. Algoritmus strojového učení nemusí být schopen tento proces identifikovat a může učinit chybné rozhodnutí. Naproti tomu lidský "lovec virů" může na základě svého tréninku, zkušeností a instinktů rozpoznat nebezpečí přesněji. Proto je nutné, aby lidé a stroje spolupracovali a aktivně předcházeli škodlivým akcím.
Strojové učení je jen malou součástí strategie IT bezpečnosti
Strojové učení je důležitou součástí strategií IT bezpečnosti již od 90. let 20. století. Uplynulé digitální desetiletí nás naučilo, že na složité problémy neexistují jednoduchá řešení. To platí zejména v kyberprostoru, kde se podmínky mohou změnit během několika sekund. V dnešním světě by bylo nerozumné spoléhat se při budování odolné kybernetické obrany pouze na jednu technologii. Osoby s rozhodovací pravomocí v oblasti IT si musí uvědomit, že ačkoli je strojové učení nepochybně cenným nástrojem v boji proti kybernetické kriminalitě, mělo by být pouze jednou ze součástí celkové bezpečnostní strategie organizace a implementace sofistikovaných IT řešení stále vyžaduje odborné znalosti skutečných lidí: pracovníků bezpečnosti i IT správců.
Kyberzločinci také drží krok s "chytrou" érou
Strojové učení je populární také v odvětví kybernetické kriminality. Stále více hackerů využívá strojové učení k nalezení a zneužívání potenciálních obětí nebo ke krádežím cenných dat prostřednictvím spamových a phishingových kampaní. Zároveň lze strojové učení využít k nalezení mezer a slabin v bezpečnosti. Kyberzločinci využívají algoritmy strojového učení také k ochraně vlastní IT infrastruktury (např. botnetů).
Společnosti, které používají strojové učení ve větším měřítku, jsou někdy pro útočníky obzvláště atraktivní. Například infikováním vstupních datových souborů kyberzločinci způsobí, že jinak funkční systémy generují chybné výsledky a činí špatná strategická rozhodnutí – způsobují chaos, narušení provozu a někdy i nenapravitelné škody.
Malware vytvořený na základě strojového učení: Emotet
Emotet, malware založený na strojovém učení, koluje po internetu již několik let. Jak uvádí poslední ESET Threat Report v prvních čtyřech měsících roku 2022 vzrostl počet detekcí Emotetu více než stonásobně.
Hackeři používají Emotet k automatickému stahování nežádoucích aplikací, například bankovních trojských koní, do počítače oběti. Díky strojovému učení si Emotet dokáže své oběti cíleně vybírat. Zároveň je tento malware překvapivě dobrý v tom, že uniká sledovacím botnetům nebo honeypotům.
V rámci útoku Emotet shromažďuje telemetrická data potenciálních obětí a odesílá je na útočníkův řídicí a kontrolní (C&C – command & control) server k analýze. Na oplátku dostává od serveru příkazy nebo binární moduly. Na základě těchto dat software vybírá pouze ty moduly, které odpovídají jeho příkazům. Zdá se také, že dokáže rozlišit skutečné lidské aktéry od virtuálních strojů a automatizovaných prostředí používaných výzkumníky z oblasti kybernetické bezpečnosti.
Zvláště nápadná je schopnost softwaru Emotet naučit se rozlišovat mezi legitimními a umělými procesy. Ty druhé zpočátku přijímá, ale pak je během několika hodin zařadí na černou listinu. Zatímco zařízení oběti nadále přenáší data, na strojích/botech zařazených na černou listinu se škodlivý kód dostane do jakéhosi klidového režimu a ukončí jakoukoli škodlivou činnost.
Strojové učení a IoT
Internet věcí (IoT) je od počátku oblíbeným cílem útočníků, kteří mohou pomocí algoritmů strojového učení využít bezpečnostních zranitelností. V dnešní době roste počet routerů, bezpečnostních kamer a dalších chytrých zařízení. V mnoha případech jsou však tato zařízení velmi nespolehlivá a často je lze sledovat nebo jinak zneužít. K tomu obvykle dochází kvůli výchozímu továrnímu nastavení, slabým heslům nebo jiným známým zranitelnostem.
Jak se bránit online hrozbám
Díky velkému objemu dat a lepšímu výpočetnímu výkonu se strojové učení v posledních letech hojně využívá v různých oblastech, včetně IT bezpečnosti. Svět digitální bezpečnosti se však neustále mění. Není proto možné vždy chránit firemní infrastrukturu před často se měnícími hrozbami pouze pomocí algoritmů strojového učení. Jediným způsobem, jak zůstat o krok před hackery, jsou vícevrstvá řešení v kombinaci s talentovanými a kvalifikovanými lidmi.
