Pimeän verkon keskusteluketju näyttää läpänheitolta. Verhoutuuko kepeiden sanojen taakse suunnitelma hyökätä tietyn yrityksen järjestelmiin?
Riskien arviointi on uhkatiedustelun kyberturva-analyytikon työn ydintä. Vaaroja täytyy tunnistaa etunojassa jo pienistä vihjeistä. Tässä työssä tekoälystä on toisaalta valtavasti apua, toisaalta kielimallit voivat johtaa pahasti harhaan.
Syvennytään seuraavaksi siihen, millaiseksi AI:n rooli on muodostunut ennakoivan kyberturvallisuuden alueella, eli yritykseen kohdistuvien riskien hallinnassa ja uhkatiedustelussa.
AI:n mukanaan tuomat ilmiöt, kuten uudenlaisten tietovuotojen riskit, ovat kasvattaneet yritysten hyökkäyspinta-alaa.
Uhkatiedustelussa voidaan hyödyntää tekoälyä etenkin suurten teksti- ja kuvamassojen seulomiseen ja epäilyttävien signaalien havaitsemiseen.
Kielimallien virhetulkinnat sekä vaikeudet tulkita kulttuurisia vihjeitä kuten huumoria ovat AI-työkalujen puutteita. Pahimmillaan uhkatiedustelussa käytetty kielimalli voi olla pahantahtoisen toimijan manipuloima. Analyysityössä on siis monia tärkeitä osa-alueita, joita ei voi jättää tekoälyn varaan.
Tietoturvan vahvistamisessa korostuu entistä enemmän kyky ennakoida riskejä ja tuntea oma hyökkäyspinta-ala.
Kyberuhkien tarkkailusta tulee monelle mieleen CSOC-valvomo (Cyber Security Operations Center). Vaikka uhkatiedustelutiimi tekee tiivistä yhteistyötä kyberturvallisuusvalvomon kanssa proaktiivisessa hengessä, sen rooli on hieman erilainen.
Uhkatiedustelussa seurataan geopoliittisia muutoksia ja maailman tapahtumien vaikutusta kyberriskeihin. Analysoimme, mitkä niistä ovat juuri meidän asiakkaillemme relevantteja. Jalkaudumme digitaalisiin ympäristöihin, joissa kyberrikosten suunnittelusta voi saada vihjeitä todellisen riskitason arvioimiseksi.
Lyhyesti uhkatiedustelua voisi kuvata näin: Katsomme asioita hyökkääjän silmin ja havainnoimme, näkyykö nyt tai lähitulevaisuudessa merkkejä esimerkiksi brändin väärinkäytöstä, mahdollisista tietovuodoista tai muista yritykseen kohdistuvista riskeistä. Haluamme siis taklata uhkia jo ennen kuin CSOC joutuu reagoimaan niihin.
Lue myös: Korvaako tekoäly CSOC-analyytikon? AI:n hyödyt ja riskit kyberturvavalvomossa.
Kissa ja hiiri -leikki hyökkääjien ja puolustajien välillä on saanut tekoälystä valtavasti kierroksia. Yrityksen käyttäessä tekoälyä hyökkäysmahdollisuuksia on enemmän kuin ennen.
Haittatekijöillä on ollut jo ennestään hyvä näkyvyys siihen, mitä internetissä on. Tekoäly auttaa haittatekijöitä korreloimaan tätä inventaariota paremmin ja saamaan nopeammin tarkempaa kokonaiskuvaa yrityksien hyökkäysrajapinnasta. Toisin sanottuna heillä on hyvä kokonaiskäsitys siitä, mitä uusia haavoittuvuuksia on mahdollista hyödyntää, ja minkä organisaatioiden laitteista tai järjestelmistä niitä löytyy.
Kun kohde on paikannettu, hyökkäyksiä voi tehdä automaattisesti agenttisen tekoälyn avulla. Se haastaa puolustusta, vaikka toistaiseksi kehittyneitä, agentteihin perustuvia hyökkäyksiä onkin nähty vielä melko vähän.
Jotta riskit eivät realisoidu, uhkatiedustelutiimit tarvitsevat vähintään yhtä laajan näkyvyyden maisemaan kuin rikollisetkin.
Toinen suuri murros on se, miten organisaatiot itse tällä hetkellä laajentavat hyökkäyspinta-alaansa. Erilaisten kielimallipohjaisten työkalujen, kuten ChatGPT:n tai Copilotin, käyttöönottoon liittyy aina tietovuotojen riskejä. Mallit ovat pohjimmiltaan alttiita haavoittuvuuksille, kuten prompt injection -hyökkäyksille.
Prompt injection -hyökkäys on viattoman prompt engineeringin pahantahtoinen vastinpari. Siinä rikollinen pääsee ensin haavoittuvuuden kautta käsiksi työkaluun ja pyrkii sen jälkeen murtamaan organisaation muurit manipuloimalla kielimallia sen oman logiikan mukaisesti.
AI-työkaluihin liittyvien digitaalisten riskien arviointi ja niiden kommunikointi yritysten johdolle korostuu nyt uhkatiedustelutyössä. Organisaatioiden Incident Response (IR) -suunnitelmat täytyy päivittää ajan tasalle niin, että myös tekoälymalleihin liittyvät tietovuodot on huomioitu.
Lue myös: Kolme tapaa mokata Incident Response -harjoittelu
Uuden sukupolven haasteiden voittamiseen tarvitaan uuden sukupolven lääkkeitä. Perinteisiin automaatioihin verrattuna kielimallipohjaisen AI:n etuna on, että se pystyy yhdistelemään havaintoja ja luomaan niistä korrelaatioita.
Tässä kolme esimerkkiä siitä, miten uhkatiedustelutiimit voivat hyödyntää tekoälyä työssään.
Tiedonkeruu ja isojen massojen perkaus on perinteisesti ollut uhkatiedustelun työläin vaihe. Selaamme uutisia, foorumeita ja erilaisia kanavia, mutta valtaosa datasta on tutkinnan alla olevan tapauksen kannalta epäolennaista. AI on loistava tunnistamaan toistuvia kaavoja tai toisiinsa liittyviä sanoja valtavista tietomassoista. Se nostaa esiin tiedonmurusia, joihin analyytikon kannattaa pureutua syvemmin.
Kuvien läpikäynnissä tekoälytyökalut ovat parhaimmillaan hyvin nopeita ja tarkkoja. Ja kuten tekstiä, myös kuvia voi käsitellä tehokkaasti massoina AI:n avulla. Työkalut voivat nostaa jatkotutkintaan tapauksia, jotka herättävät epäilykset tietyillä kriteereillä. AI:ta voi hyödyntää myös geopaikantamisessa, jossa tekoäly pyrkii kuvan perusteella etsimään mahdollisimman tarkasti geolokaation ja koordinaatit, jossa kuva on otettu.
Päivystävä sparrauskaveri on perinteisesti ollut kollega tai vaikka työpöydän kulmalla istuva kumiankka. Nyt AI voi olla mukana analyysiprosessissa. Se voi haastaa analyytikon omia ajatusvinoumia ja antaa ulkopuolista näkökulmaa erilaisten hypoteesien testailuun.
AI voi auttaa siellä täällä, mutta analyysiprosessia se ei pysty hoitamaan. Ensinnäkin malleilla on taipumuksena tehdä toisinaan virheitä, hallusinoida ja jopa keksiä “faktoja”.
Pahimmillaan muodostuu harhaanjohtavan informaation noidankehä (circular reporting), jossa tekoälyn yhteenvedon lähteenä on toisen tekoälyn laatima lähde. Keksitty asia muuttuu internetin silmissä faktaksi.
Kulttuurien lukutaito on kielimalleilla usein puutteellista. Se korostuu varsinkin silloin, kun seurataan epämuodollisia keskustelufoorumeita. Analyytikon pitää erottaa toisistaan huumori ja todelliset riskit, ja tunnistettava myös kielialueiden tavat ilmaista asioita rivien välissä.
Suuret kielimallit on koulutettu pitkälti Yhdysvalloissa tai Kiinassa, ja se näkyy vahvasti niiden tavassa katsoa maailmaa. Paikallinen ironia tai konteksti voi jäädä ymmärtämättä.
Pahimmillaan pahantahtoinen toimija on päässyt myrkyttämään kielimallin tietokantoja harjoittaakseen informaatiovaikuttamista. Tekoälyn vinoutuneet mielipiteet ohjaavat silloin ihmisten näkökulmia täysin ei-toivottuun suuntaan.
On vaikeaa, mutta välttämätöntä pysyä riittävän hyvin kartalla molemmista: tekoälystä ja siitä, miten sitä käytetään turvallisesti.
Tällä hetkellä uhkatiedustelijan huomio kiinnittyy varsinkin riskin paikkoihin, joita syntyy, kun uutta teknologiaa pusketaan vauhdilla yrityksiin. Esimerkiksi agenttisen tekoälyn taustalla toimivat uudet Model Context Protocol (MCP) -palvelut ovat vielä sen verran uutta teknologiaa, että vakiintunutta tietoturvan one-size-fits-all –ratkaisua ei niiden varalle vielä ole.
Tietoturva ei automaattisesti tule käsi kädessä helppouden ja käytännöllisyyden kanssa. Toisaalta tuottavuusloikkiakin tarvitaan, ja uusia ominaisuuksia pitää saada ketterästi käyttöön.
Ensimmäinen askel on ymmärtää AI:n vaikutukset hyökkäyspinta-alaan. Se taas tarkoittaa, että ongelmia ehkäisevälle uhkatiedustelulle on jatkossa entistä kovempi tarve.
Vaikka kielimalleihin pohjaavista työkaluista on apua, analyysityössä on monia tärkeitä osa-alueita, joita ei voi jättää tekoälyn varaan. Esimerkiksi näistä syistä ei kannata jättää riskien arviointia vain boteille:
Lähteiden, datan ja informaation tulee olla järjestelmällistä. Juuri informaation ja lähteiden verifioinnissa asiantuntijan rooli on tärkeä.
Analyytikon tulee pysyä analyysissä objektiivisena ja ne pitää tehdä riippumattomasti toimintapoliittisista prosesseista. Tekoälyn objektiivisuuteen ei voi täysin luottaa.
Uhkatiedustelun analyytikon pitää asettua asiakkaan saappaisiin ja ottaa huomioon esimerkiksi asiakkaaseen vaikuttavat poliittiset, ympäristölliset, teknologiset, sosiaaliset, sekä lailliset ympäristöt ja niiden muuttujat. Näiden hienosyisessä ymmärtämisessä AI:lla on vielä kirittävää.