Technologijos

Dirbtinio intelekto kibernetiniai išpuoliai ir naujos gynybos taktikos

Kaip dirbtinis intelektas keičia kibernetinius išpuolius ir kokios naujos gynybos technologijos atsiranda 2024–2025 m. Apžvelgiame realias grėsmes ir praktines apsaugos priemones.
2026 30 gegužės

Dirbtinio intelekto valdomi kibernetiniai išpuoliai ir naujos gynybos technologijos

Dirbtinis intelektas (DI, angl. AI) jau seniai nebėra tik įrankis gynybai. 2024–2025 m. jis vis dažniau naudojamas ir puolimui: nuo itin įtikinamų fišingo laiškų iki autonominių įsilaužimų, kurie prisitaiko prie aukos gynybos. Tuo pačiu metu atsiranda nauja DI pagrįsta kibernetinė gynyba, galinti reaguoti greičiau nei žmogus.

Kaip dirbtinis intelektas keičia kibernetinius išpuolius

1. Generatyvinis DI fišingo ir socialinės inžinerijos atakoms

Generatyvinis DI (pvz., dideli kalbos modeliai) leido kibernetiniams nusikaltėliams kurti:

  • Beveik idealią kalbą – be akivaizdžių gramatikos klaidų, pritaikytą konkrečiai kalbai ir regionui.
  • Asmeniškai pritaikytus laiškus – pagal viešai prieinamą informaciją iš socialinių tinklų ir nutekintų duomenų bazių.
  • Didelio masto kampanijas – tūkstančius skirtingų, bet įtikinamų žinučių, automatizuotai pritaikytų skirtingoms aukoms.

Rezultatas – fišingo laiškai tampa sunkiai atskiriami nuo tikrų, o atakų sėkmės procentas auga. Europoje, įskaitant Baltijos šalis, 2024 m. fiksuojamas nuolatinis DI sustiprinto fišingo augimas, ypač prieš smulkų ir vidutinį verslą.

2. DI kodui ir pažeidžiamumams išnaudoti

Programišiai naudoja DI ne tik tekstui, bet ir kodui:

  • Pažeidžiamumų paieškai – modeliai automatizuotai analizuoja atvirojo kodo saugyklas, bibliotekas ir konfigūracijas.
  • Eksploito generavimui – DI padeda greičiau parašyti ar adaptuoti kenkėjišką kodą konkrečiai aplinkai.
  • Šifravimo apeiti – analizuojami šifravimo įgyvendinimo netobulumai, o ne pati kriptografija.

Toks puolimas tampa labiau pramoninis: vietoj kelių aukštos kvalifikacijos įsilaužėlių pakanka vieno branduolio komandos, kuri naudoja DI, kad išplėstų savo galimybes.

3. Autonominės ir prisitaikančios atakos

Vienas pavojingiausių scenarijų – pusiau autonominės atakų grandinės. DI sistemos gali:

  • Skaitmeniniuose žemėlapiuose automatiškai identifikuoti pažeidžiamus taikinius (serverius, IoT įrenginius, pasenusias sistemas).
  • Prisitaikyti prie gynybos – jei užblokuojamas vienas vektorius, DI išbando kitą, keičia IP, parašus, elgesio modelį.
  • Maskuotis kaip teisėtas srautas – imituoti vartotojų veiksmus, darbo laiką, naršymo įpročius.

Tokios atakos ypač pavojingos kritinei infrastruktūrai: energetikos, transporto, sveikatos apsaugos sektoriams, kur klaidos kaina yra ne tik finansinė.

Naujos DI pagrįstos gynybos technologijos

1. Elgesio analizė ir anomalijų aptikimas

Tradicinės ugniasienės ir antivirusai remiasi žinomais parašais. DI pagrįstos sistemos žiūri kitaip – jos mokosi, kaip turėtų atrodyti normalus elgesys, ir ieško nukrypimų. Tai daroma keliais lygiais:

  • Vartotojų elgesio analizė (UEBA) – stebimi prisijungimo laikai, vietos, prieigų tipai, failų operacijos.
  • Tinklo srauto analizė – identifikuojami neįprasti duomenų srautai, net jei jie užšifruoti.
  • Programų elgesys – lyginamas su tipiniu konkretaus proceso veikimu.

DI čia padeda sumažinti klaidingų pavojaus signalų skaičių ir koncentruotis į tikrai įtartinus įvykius. Šią kryptį vysto tiek tarptautiniai tiekėjai (pvz., XDR ir SIEM platformos), tiek ES finansuojami kibernetinio saugumo projektai.

2. Automatizuotas reagavimas (SOAR ir autonominės gynybos agentai)

Vien aptikti grėsmę nebepakanka – reikia reaguoti greitai. Čia pasitelkiamos SOAR (Security Orchestration, Automation and Response) platformos ir naujos kartos DI agentai, kurie gali:

  • Automatiškai izoliuoti įrenginį, jei aptinkamas įtartinas elgesys.
  • Uždrausti prieigą prie tam tikrų sistemų, kol incidentas ištiriamas.
  • Generuoti taisykles ugniasienėms ir EDR/XDR sprendimams realiu laiku.
  • Parengti pirminę incidento analizę ir pateikti rekomendacijas SOC komandai.

2024–2025 m. rinkoje daugėja sprendimų, kurie naudoja generatyvinį DI, kad paaiškintų incidentą „žmonių kalba“ ir siūlytų kelių žingsnių veiksmų planą. Tai ypač aktualu organizacijoms, kurios neturi didelės vidinės saugumo komandos.

3. DI-asistentai saugumo operacijų centruose (SOC)

Saugumo analitikų trūkumas yra globali problema. DI-asistentai SOC aplinkoje padeda:

  • Greitai apibendrinti žurnalus ir surasti ryšius tarp skirtingų įvykių.
  • Automatiškai koreliuoti duomenis iš SIEM, EDR, tinklo sensorių ir debesijos.
  • Kurti ataskaitas vadovybei suprantama kalba, nurodant verslo rizikas.

Tokie įrankiai jau diegiami ir Baltijos regione veikiančiuose SOC centruose, leidžiant analitikams koncentruotis į sudėtingesnes užduotis, o ne rutiną.

Praktinės apsaugos kryptys organizacijoms

1. Zero Trust ir prieigos valdymas

Zero Trust („nepasitikėk niekuo pagal nutylėjimą“) tampa būtinu principu, kai atakos tampa išmanesnės. Pagrindiniai aspektai:

  • Daugiafaktorė autentifikacija (MFA) visoms kritinėms sistemoms.
  • Mažiausios būtinos prieigos (least privilege) principas vartotojams ir paslaugoms.
  • Nuolatinis prieigos vertinimas pagal elgesio modelius (DI padeda nustatyti, ar vartotojas elgiasi „kaip įprasta“).

2. DI naudojimas ir gynyboje, ir rizikų valdyme

Įmonėms svarbu ne tik pirkti DI pagrįstus saugumo produktus, bet ir:

  • Įvertinti, kokius duomenis jos pačios atiduoda DI sistemoms (ypač debesijos paslaugoms).
  • Turėti DI naudojimo politiką darbuotojams (teksto generavimui, kodavimui, duomenų analizei).
  • Testuoti savo aplinką naudojant „red teaming“ ir DI imituojančias atakas.

Vis dažniau kalbama apie „AI red teaming“ – specialias komandas ir įrankius, kurie tikrina, kaip organizacija atlaikytų DI sustiprintas atakas.

3. Žmonių ir DI tandemas: mokymai ir procedūros

Net ir pažangiausia technologija nepadės, jei žmonės nesupras rizikų. 2024–2025 m. kibernetinio saugumo mokymuose atsiranda naujos temos:

  • Kaip atpažinti DI generuotą fišingą ir klastotes.
  • Kaip saugiai naudoti viešus DI įrankius (neįkelti konfidencialių duomenų).
  • Kaip reaguoti į incidentus ir dirbti kartu su automatizuotomis gynybos sistemomis.

Organizacijos, kurios derina technologiją, procesus ir žmonių įgūdžius, gerokai geriau pasiruošusios DI valdomiems išpuoliams.

Reguliavimas ir etika: kur link juda Europa

Europos Sąjunga 2024–2025 m. žengia į DI reguliavimo etapą: įsigalioja AI aktas, stiprinamos NIS2 direktyvos nuostatos. Tai reiškia:

  • Aukštos rizikos DI sistemoms (pvz., kritinės infrastruktūros valdymui) taikomi griežtesni reikalavimai.
  • Privalomas incidentų pranešimas tam tikriems sektoriams ir paslaugų tiekėjams.
  • Didesnė atsakomybė už DI sprendimų saugumą, tiek kuriant, tiek diegiant juos organizacijose.

Lietuvos įmonėms ir viešajam sektoriui tai – proga iš anksto peržiūrėti savo DI ir kibernetinio saugumo strategijas, kad jos atitiktų naujus ES standartus ir gerąją praktiką.

Išvados: DI kaip ginklas ir skydas

Dirbtinio intelekto valdomi kibernetiniai išpuoliai jau yra realybė, o ne tik teorinis scenarijus. Tačiau DI taip pat tampa galingiausiu gynybos įrankiu: nuo elgesio analizės ir automatizuoto reagavimo iki SOC asistentų ir pažangių XDR sprendimų.

Per artimiausius metus laimės ne tie, kas visiškai išvengs atakų – tai neįmanoma – o tie, kurie:

  • Proaktyviai diegs DI pagrįstą kibernetinę gynybą.
  • Nuolat mokys darbuotojus atpažinti naujo tipo grėsmes.
  • Integruos saugumą į visus skaitmeninius procesus, o ne laikys jį „priedu“.

DI era kibernetikoje tik prasideda. Kuo anksčiau organizacijos prisitaikys prie naujos realybės, tuo didesnė tikimybė, kad jos išliks saugios ir konkurencingos.

DUK: dirbtinis intelektas ir kibernetiniai išpuoliai

Kaip atpažinti DI generuotą fišingo laišką?

DI generuoti fišingo laiškai dažnai būna gramatiškai taisyklingi ir gerai suformuluoti, todėl reikia ieškoti ne kalbos klaidų, o turinio požymių: netikėtų skubių prašymų (ypač susijusių su mokėjimais ar prisijungimo duomenimis), keistų siuntėjo adresų, nuorodų į nežinomas svetaines, prašymo apeiti įprastas procedūras. Naudokite el. pašto filtrus su DI pagrįsta analizė ir mokykite darbuotojus tikrinti informaciją kitais kanalais.

Ar mažoms įmonėms verta investuoti į DI pagrįstą saugumą?

Taip, nes DI įrankiai leidžia automatizuoti tai, kam anksčiau reikėjo atskiros saugumo komandos. Mažoms įmonėms verta rinktis debesijos pagrindu veikiančius XDR, EDR ar valdomo saugumo (MDR) sprendimus, kuriuose DI jau integruotas. Tai dažnai pigiau ir efektyviau nei bandyti viską valdyti rankiniu būdu.

Kokį pirmą žingsnį turėčiau žengti, jei noriu stiprinti gynybą nuo DI išpuolių?

Pirmiausia atlikite kibernetinio saugumo vertinimą: įsivertinkite, kokius duomenis ir sistemas turite, kokios yra kritinės rizikos. Tuomet: (1) įdiekite MFA ir atnaujinkite prieigos valdymą, (2) pasirinkite bent vieną DI pagrįstą apsaugos sluoksnį (pvz., el. pašto apsaugą ar EDR), (3) suplanuokite trumpus, bet reguliarius darbuotojų mokymus apie naujo tipo fišingą ir socialinę inžineriją.