Conform unui raport Microsoft, echipele de securitate cibernetică se confruntă cu o nouă generație de amenințări care folosesc Inteligența Artificială (AI) pentru a automatiza descoperirea vulnerabilităților și crearea de sarcini utile (payload-uri) malițioase la o viteză fără precedent. Adversarii antrenează modele lingvistice mari (LLMs) pe repository-uri de cod public, transformând procesul de creare a exploit-urilor dintr-o muncă de săptămâni în una de doar câteva ore.
Atacul se bazează pe scripturi loader generate automat (în PowerShell) care sunt injectate în documente inofensive.
Odată executate, aceste scripturi descarcă și lansează malware-ul creat de AI direct în memoria sistemului, evitând detecția bazată pe fișiere (disk-based detection). Specialistii in securitate cibernetica trebuie să prioritizeze monitorizarea comportamentului și remedierea rapidă.
Sfaturi de Protecție
1. Folosiți soluții de securitate EDR bazate pe comportament: Astfel, puteți identifica automat amenințările noi, fără semnătură, generate de inteligența artificială.
Pasul 1: Migrați de la soluțiile Antivirus tradiționale la platforme EDR (Endpoint Detection and Response - ex: Microsoft Defender, CrowdStrike, SentinelOne).
Pasul 2: Configurați EDR-ul să monitorizeze și să alerteze la comportamente anormale - Consola EDR - Reguli de Detectare sau similar.
Pasul 3: Aplicați reguli ASR (Attack Surface Reduction) pentru a bloca acțiunile tipice de exploatare Grup Policy/Intune (MDM) sau Consola EDR/Setări ASR.
2. Implementați o politică de remediere rapidă (Fast Patching): Scopul este de a reduce drastic "fereastra de oportunitate" a atacatorilor, remediind vulnerabilitățile critice înainte ca instrumentele lor bazate pe AI să le poată transforma în cod malițios funcțional.
Pasul 1: Stabiliți și aplicați imediat alerte de prioritate maximă (P0) pentru vulnerabilitățile critice și reduceți drastic fereastra de Service Level Agreement (SLA) pentru implementarea corecțiilor de la săptămâni la zile.
Pasul 2: Implementați și integrați soluții de automatizare patch (de tip Patch Management System sau RMM) pentru a asigura distribuirea și instalarea rapidă și consistentă a corecțiilor pe întreg parcul de sisteme.
3. Implementarea și Monitorizarea Interfeței de Scanare Antimalware (AMSI): Detectarea și Blocarea Scripturilor Malitioase în Memorie
Pasul 1: Asigurați-vă că AMSI este operațională, verificând integrarea acesteia cu soluția dvs. antivirus (de exemplu, Microsoft Defender).
Pasul 2: Monitorizați jurnalele AMSI pentru a detecta scripturile PowerShell/Python ascunse sau pe cele care încearcă să folosească funcții periculoase.
4. Restricționați Utilizarea Instrumentelor de Execuție (PowerShell): Blocarea descărcării și execuției de payload-uri in memorie.
Pasul 1: Aplicați regulile ASR (Attack Surface Reduction) din Windows Defender pentru a bloca aplicațiile de productivitate să creeze procese copil periculoase.
Pasul 2: Restricționați execuția de scripturi cu IEX și DownloadData (folosite pentru descărcare de payload).
5. Monitorizați Activitatea de Alocare a Memoriei Executabile: Detectarea injecției de shellcode și a execuției în memorie.
Pasul 1: Configurați soluția EDR/SIEM să genereze alerte la apelurile API către funcții de sistem utilizate pentru injecția în memorie, cum ar fi VirtualAlloc sau CreateRemoteThread.
Pasul 2: Investigați orice proces care încearcă să modifice permisiunile de execuție ale memoriei.
6. Implementați Filtre pentru Noile Domenii (NDD) Obiectiv: Blocarea domeniilor de comandă și control (C2) generate și înregistrate rapid de AI.
Pasi: Utilizați servicii DNS Filtering care blochează traficul către Domenii Nou Înregistrate (NDD) pentru o perioadă de 30 de zile.
7. Aplicați Allow-Listing: Prevenirea rulării de fișiere necunoscute.
Pasul 1: Implementați Windows Defender Application Control (WDAC) sau AppLocker.
Pasul 2: Permiteți rularea doar a fișierelor binare cunoscute și semnate digital.
8. Monitorizați Jurnalele de Audit pentru Persistență Neobișnuită: Detectarea tentativelor de a menține accesul după atac.
Pasi: Monitorizați jurnalele de audit pentru crearea de noi intrări în registru sub cheia HKCU:\Software\Microsoft\Windows\CurrentVersion\Run sau crearea de sarcini programate (schtasks.exe).
9. Utilizați Sandbox-uri pentru Analiza Dinamică: Izolarea și analiza fișierelor suspecte.
Pasul 1: Configurați un sistem automat de Sandboxing pentru a izola și rula orice atașament sau fișier descărcat suspect.
Pasul 2: Analizați comportamentul fișierului în sandbox (apeluri de rețea, crearea de procese, alocare de memorie).
10. Instruirea cu privire la Atacurile de Tip Spear-Phishing Sofisticate: Recunoașterea e-mailurilor personalizate generate de AI.
Pasul 1: Educați utilizatorii de faptul că AI permite atacatorilor să creeze e-mailuri de spear-phishing convingătoare, cu referințe specifice companiei.
Pasul 2: Insistați pe verificarea metodelor de autentificare (MFA) și a sursei oricărui link, indiferent cât de personalizat și legitim pare mesajul.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro