Vloga strojnega učenja pri zaznavi kibernetskih groženj
Kako generativna AI in strojno učenje omogočata zgodnje zaznavanje napadov Kontron SI SOC-u.
Podrsajte levo za prikaz vseh gumbov
Orodja za generativno umetno inteligenco (AI) niso le teoretična grožnja – že danes se uporabljajo pri množični proizvodnji manipulativnih vsebin (deeofake videi/glasovi), pri izvedbi poslovnih ali finančnih prevar in pri širjenju dezinformacij, kar ima utemeljene družbene, pravne in varnostne posledice. Meja med legitimnim in zlonamernim je pogosto tako zabrisana, kot je v zimskih dnevih v Ljubljani jasno nebo.
Eksponenta rast deepfake vsebin v Evropi
Po podatkih Evropskega parlamentarnega poročila naj bi število deepfake videov v letu 2025 doseglo približno 8 milijonov, kar predstavlja izjemen porast v primerjavi z okoli 500.000 deepfake vsebinami v letu 2023. Ta trend jasno kaže, da se obseg in kompleksnost AI-podprtih groženj hitro povečujeta tudi v evropskem prostoru.
Eksponentna rast AI-podprtih napadov pomeni, da pristopi, ki temeljijo na statičnih pravilih in podpisih, niso več učinkoviti. Sodobni napadi so visoko prilagodljivi, avtomatizirani in zasnovani tako, da posnemajo legitimno vedenje sistemov in uporabnikov. Posledično je za pravočasno zaznavo groženj nujna uporaba naprednih metod.
Kaj je strojno učenje?
Strojno učenje (ML – machine learning) je ena izmed vej področja umetne inteligence. Razvilo se je iz statistike, saj je nastala potreba po analizi zapletenih podatkovnih zbirk, kar je bila omejitev tradicionalne statistike in takratnega računalništva. Strojno učenje opisuje modele in algoritme, ki se učijo za namen reševanja specifičnega problema, pri čemer je cilj strojnega učenja prepoznavanje zapletenih vzorcev v podatkih, ki se lahko kasneje uporabi za napovedovanje ali klasifikacijo novih oziroma še ne videnih podatkov.
Poznamo nadzorovano, polnadzorovano, nenadzarovano in spodubjevalno strojno učenje (Steiner, 2024). Na primer, nadzorovano učenje prepozna že znane napade, medtem ko nenadzorovano učenje pomaga odkriti nove, še nepoznane grožnje.
Primeri uporabe strojnega učenja v Kontron SI SOC-u
Zaznavanje nenavadnega vedenja v omrežju
Prepoznavanje novih, še neznanih groženj
Hitrejši in natančnejši odziv na incidente
V Kontron SI SOC-u tehnologijo strojnega učenja uporabljamo za analizo velikih količin podatkov in prepoznavanje vzorcev v kibernetskih napadih na podlagi naslednjih tehnik strojnega učenja:
Detekcija anomalij
Algoritmi strojnega učenja lahko analizirajo omrežni promet in prepoznajo nenavadne vzorce, kot so nenavadni podatkovni prenosi ali nepooblaščen dostop do sistemov, kar omogoča zgodnje odkrivanje napadov.
Klasifikacija zlonamerne programske opreme
Strojno učenje se uporablja za avtomatsko prepoznavanje zlonamerne programske opreme na osnovi njenih značilnosti, kar zmanjša potrebo po ročnem pregledu in poveča hitrost odziva.
Vedenjske spremembe uporabnikov
Strojno učenje analizira vedenje uporabnikov in prepozna nenavadne dejavnosti, kot je dostopanje do občutljivih podatkov, kar lahko nakazuje na notranji napad ali zlorabo dostopa.
Primer iz prakse: zgodnje zaznavanje ransomware napada
V enem izmed primerov, ki smo jih zaznali v Kontron SI SOC-u je umetna inteligenca zaznala nenavadno obnašanje na delovni postaji uporabnika, kjer je v zelo kratkem času prišlo do zaporednega dostopanja do velikega števila datotek in njihovega množičnega spreminjanja. Takšen vzorec ni bil skladen z običajnim delom uporabnika, prav tako pa ga klasične protivirusne rešitve v tistem trenutku še niso prepoznale kot potencialno grožnjo.
Na podlagi vedenjske analize je AI prepoznala značilne znake začetne faze ransomware napada in dogodek ocenila kot visoko tvegan. V oddelku smo bili nemudoma obveščeni in okuženo napravo izolirali iz omrežja, s čimer smo preprečil širjenje zlonamerne kode na druge sisteme.
Zaradi pravočasnega odziva ni prišlo do šifriranja kritičnih podatkov niti do motenj v poslovanju, podjetje pa se je uspešno izognilo večji finančni in operativni škodi. Primer jasno kaže, da umetna inteligenca dopolnjuje klasične protivirusne rešitve ter omogoča zgodnje zaznavanje napadov še v začetni fazi, preden ti povzročijo resne posledice.
Avtor prispevka: Alex Crgol, varnostni analitik v Kontron SI SOC-u
Sorodne vsebine
Dogodek STIK 2025 – ko se posel preoblikuje v skupnost
Zanima me več
Je NIS2 res tak izziv – kot bi se vzpenjali na goro?
Zanima me več
Kako SOC ekipa s pomočjo AI preprečuje spletne prevare?
Zanima me več