Revoluția Invizibilă în Securitatea Cibernetică: Provocarea Side-Channel
În peisajul actual al securității informatice, majoritatea discuțiilor despre inteligența artificială se concentrează pe riscurile modelelor generative sau pe modul în care atacatorii ar putea exploata prompt-urile. Cu toate acestea, un raport recent publicat de SiliconANGLE avertizează că problema urgentă nu este ceea ce AI-ul ar putea face greșit, ci ceea ce sistemele noastre actuale de detecție încă nu pot „vedea”. Această lacună de vizibilitate este scoasă la lumină de așa-numitele atacuri de tip side-channel (canal lateral).
Spre deosebire de atacurile cibernetice clasice care vizează vulnerabilități în codul software, atacurile side-channel colectează informații sau intervin în execuția unui program prin monitorizarea factorilor fizici. Aceștia includ consumul de energie, emisiile electromagnetice și, cel mai critic în era cloud-ului, timpii de procesare. Cercetările recente indică faptul că un observator extern poate deduce subiectul unei interacțiuni AI pur și simplu prin analizarea tiparelor de trafic criptat, fără a fi nevoie de decriptare sau de inspecția conținutului (payload).
De ce sistemele tradiționale bazate pe reguli eșuează
Timp de peste două decenii, industria de networking și securitate s-a bazat pe o arhitectură de detecție definită de reguli. Signaturile, pragurile de alertare (thresholds) și bazele de referință pentru anomalii au format coloana vertebrală a centrelor de operațiuni de securitate (SOC). Totuși, această abordare are o limitare structurală majoră: regulile necesită un element discret pentru a genera o potrivire.
Atacurile moderne, în special cele asistate de AI sau cele de tip „living off the land” (utilizarea instrumentelor legitime din sistem pentru scopuri malițioase), nu oferă astfel de indicatori clari. Activitatea pare validă la fiecare pas individual. Pattern-ul malițios devine vizibil doar atunci când analizăm modul în care acești pași se conectează în timp. Aici apare „gap-ul de detecție”: o întreagă clasă de comportamente ale atacatorilor nu produce nicio alertă, deoarece nu există nicio regulă care să fie încălcată în mod explicit.
AI la nivelul greșit: De la Răspuns la Detecție Activă
Deși AI-ul este deja implementat pe scară largă în securitate, acesta este adesea utilizat la „stratul greșit”. Majoritatea soluțiilor actuale folosesc AI pentru a rezuma alerte, a accelera investigațiile sau a reduce povara operațională a analiștilor după ce o detecție a avut loc deja.
Expertul în tehnologie Evan Powell subliniază că, dacă un atac nu generează o alertă inițială, nicio cantitate de automatizare sau sumarizare post-eveniment nu îl va scoate la suprafață. Pentru a închide această breșă, AI-ul trebuie mutat direct în stratul de detecție primară. Acest lucru implică:
- Analiza secvențelor comportamentale: Trecerea de la evaluarea evenimentelor izolate la monitorizarea modului în care sistemele interacționează pe parcursul unor perioade lungi.
- Învățarea din date operaționale structurate: Identificarea tiparelor care nu au fost niciodată definite explicit de un administrator uman.
- Monitorizarea structurii traficului: Chiar și în canalele criptate, evoluția modelelor de acces poate trăda o tentativă de mișcare laterală în rețea.
Impactul pentru companii: Securitate, Eficiență și Reducerea Costurilor
Adoptarea unei detecții bazate pe comportament asistat de AI nu este doar o îmbunătățire tehnologică, ci o necesitate strategică pentru companii, având un impact direct asupra indicatorilor de performanță:
- Reducerea timpului de staționare (Dwell Time): Identificarea timpurie a atacurilor complexe permite intervenția înainte ca atacatorii să își atingă obiectivele finale (exfiltrarea datelor sau lansarea ransomware), reducând drastic costurile potențiale de recuperare.
- Eficiență operațională: Prin utilizarea modelelor care învață singure ce reprezintă un comportament normal, echipele de securitate pot reduce numărul de „fals pozitive” generate de reguli rigide și învechite.
- Securizarea investițiilor în AI: Pe măsură ce organizațiile implementează propriile modele de limbaj (LLM), protejarea acestora împotriva scurgerilor prin canale laterale devine critică pentru păstrarea proprietății intelectuale.
- Evaluarea corectă a riscurilor: Multe companii operează cu un fals sentiment de securitate deoarece instrumentele lor actuale raportează „zero amenințări”, ignorând însă activitățile care nu se potrivesc modelelor tradiționale de detecție.
Concluzii pentru liderii IT
Pentru directorii de securitate (CISO) și liderii IT, primul pas nu este neapărat achiziția de noi instrumente, ci o evaluare onestă a vizibilității. Este crucial să se determine dacă stiva actuală de securitate poate detecta activități care se îmbină cu operațiunile normale.
Întrebarea esențială la evaluarea oricărei noi capacități de securitate AI trebuie să fie: „Acest sistem detectează comportamente pe care regulile nu le pot exprima, sau doar face detecția bazată pe reguli mai eficientă?”. Organizațiile care vor supraviețui noii ere a amenințărilor nu vor fi cele care acționează mai rapid în cadrul vechilor modele, ci cele care extind suprafața a ceea ce poate fi, în sfârșit, detectat.
Sursă articol: SiliconANGLE
About the Author
Discover more from Pe Bune
Subscribe to get the latest posts sent to your email.