Renginiai 0
Lt
Renginiai 0
Paieškos rezultatas:
Daugiau
Pagrindinis puslapis Naujienos Dirbtinio intelekto panaudojimas kibernetinėse atakose: kaip NDR nustato kibernetinę šnipinėjimą GTG-1002
Dirbtinio intelekto panaudojimas kibernetinėse atakose: kaip NDR nustato kibernetinę šnipinėjimą GTG-1002- vaizdas 1
Aktualności
Paskelbta:

Dirbtinio intelekto panaudojimas kibernetinėse atakose: kaip NDR nustato kibernetinę šnipinėjimą GTG-1002

Anthropic yra JAV mokslinių tyrimų ir technologijų įmonė, kurianti naujos kartos kalbų modelius, geriausiai žinoma kaip Claude modelių šeimos kūrėja. Organizacija taip pat skelbia saugumo analizes apie tai, kaip DI naudojamas realiose kibernetinėse operacijose. Viena iš tokių analizių aprašo GTG-1002 kampaniją.

GTG-1002 yra pirmasis patvirtintas atvejis, kai priešininkas naudojo DI ne kaip pasyvų asistentą, bet kaip autonominį puolimo operatorių. Kitaip tariant: dirbtinis intelektas ne tik padėjo vykdyti veiksmus, kuriuos atliko puolančioji šalis, bet ir perėmė didžiąją dalį jo taktinio darbo bei valdė plataus masto įsilaužimus. Kaip nurodo Anthropic:

„Užpuolikai – kuriuos su didele tikimybe laikome Kinijos valstybės remiama grupe – manipuliavo mūsų įrankiu Claude Code, kad bandytų infiltruotis į maždaug trisdešimt pasaulinių tikslų ir kai kuriais atvejais buvo sėkmingi. Operacija buvo nukreipta į stambias technologijų įmones, finansines institucijas, cheminių gaminių įmones bei vyriausybines agentūras. Manome, kad tai yra pirmasis dokumentuotas kibernetinio puolimo plataus masto atvejis, vykdytas be reikšmingos žmogaus intervencijos.”

Dirbtinio intelekto panaudojimas kibernetinėse atakose: kaip NDR nustato kibernetinę šnipinėjimą GTG-1002 - vaizdas 1
KAMPANIJA GTG-1002

Kodėl GTG-1002 yra lūžio taškas?

Tradiciniame kibernetinių puolimų modelyje DI atliko papildomą vaidmenį: generavo pasiūlymus, pagreitino analizę arba automatizavo pasikartojančias užduotis. GTG-1002 susiduriame su kitokia veikimo logika.

Pagal Anthropic aprašymą, užpuolikai naudojo įrankių rinkinį Claude Code ir atvirą standartą Model Context Protocol (MCP). Dėl MCP, DI modelis gali:

  • tiesiogiai jungtis prie įrankių ir duomenų šaltinių,
  • vykdyti veiksmus su failais, duomenų bazėmis ir terminalais,
  • priimti sprendimus remiantis kontekstu, išlaikytu per kelias sesijas.

Būtent MCP paverčia pokalbių robotą agentu – sistema, kuri ne tik siūlo veiksmus, bet juos vykdo pati. Operacinė įtaka yra didžiulė: DI buvo pavesta atlikti 80–90% taktinio darbo, o žmogus atliko strateginio priežiūros rolę, tvirtindamas perėjimus tarp puolimo etapų. Dėl to kampanija pasiekė valstybinio masto veiksmų lygį, su vos 10–20% įprastai reikalingų pastangų.

DI VAIDMUO KAMPANIJOJE GTG-1002

Kaip atrodė DI valdomas puolimas?

Anthropic pristato GTG-1002 kampaniją kaip šešių etapų operaciją, kurioje sistematiškai didėjo agento DI autonomijos lygis, o žmogaus vaidmuo apsiribojo daugiausiai strateginiais sprendimo punktais (vadinamaisiais decision gates). Skirtingi etapai buvo tokie:

  1. Kampanijos inicijavimas ir tikslų parinkimas – operatoriai nustatė tikslus bei, naudodami socialinę inžineriją, pasiekė, kad agentas DI laikytų veiksmus autorizuotu saugumo testu. DI išlaikė nuoseklų operacinį kontekstą per daugelį dienų, kas leido palaikyti veiksmų tęstinumą tarp sesijų.
  2. Infrastruktūros išaiškinimas ir kartografavimas – agentas vykdė automatinę žvalgybą, įskaitant naršyklės automatizavimą, greitai nustatydamas paslaugas, išteklius bei kelių organizacijų tinklų topologiją vienu metu.
  3. Pažeidžiamumų identifikavimas ir patvirtinimas – DI savarankiškai generavo taikytinus krovinius ir atliko patvirtinimo testus siekdama nustatyti galimų pažeidžiamumų panaudojimą tikslinėje aplinkoje.
  4. Kredencialų gavimas ir lateralus judėjimas – agentas sistemingai gaudė kredencialus, analizavo prieigos lygius ir naudojo juos judėdamas giliai į tinklą, įskaitant vidinių API ir duomenų bazių prieigą.
  5. Duomenų rinkimas ir žvalgybinė analizė – DI agregavo didelius duomenų kiekius, identifikavo jautrią informaciją bei rikiavo ją pagal operacinę/žvalgybinę vertę, veikdama be išsamios žmogaus instrukcijos.
  6. Automatinė dokumentacija ir veiksmų perdavimas – sistema realiu laiku generavo išsamią kampanijos eiga dokumentaciją, palengvinsiančią operacijos perdavimą bei sprendimų priėmimą strateginiame lygyje.

Pažymėtina, kad tai ne buvo vienkartinis incidentas, tačiau įvairių etapų, nuosekliai vykdyta kampanija, realizuota dideliu greičiu ir lygiagrečiai daugybei tikslų.

APIE EXTRAHOP

Kaip ExtraHop aptinka agentinius DI kampanijas?

AI pagrindu veikiantys agentų kampanijos – tokios kaip GTG-1002 – tai daugiapakopės operacijos, vykdomos didžiausiu greičiu, dažnai nenaudojant nestandartinio kenksmingo programinės įrangos, bet naudojant teisėtus įrankius ir protokolus. Tokiame modelyje svarbiausiu tampa gynyba, pagrįsta elgsenos tinklo stebėjimu, o ne tik parašais. ExtraHop sprendžia šią problemą kompleksiškai:

1️⃣ Holistinis tinklo matomumas ir aklųjų zonų šalinimas
Efektyvios gynybos nuo autonominių agentų pagrindas yra visapusiška, vieninga tinklo telemetrija. ExtraHop suteikia matomumą end-to-end naudojant srautų analizę linijinio greičio tempu, dešifravimą ir gilų protokolų dekodavimą. Tai apima tiek įprastus komunikacijos sluoksnius, tiek verslo aplikacijas ir API, kuriuos dirbtinio intelekto agentai naudoja rekognicijos, prieigos eskalavimo ir duomenų vagysčių tikslais. Dėl to ExtraHop atskleidžia veiksmus, kurie kitu atveju liktų paslėpti užkoduotame sraute arba „pilkosios zonos“ teisėtose protokoluose.

2️⃣ Orkestracinio srauto į LLM/MCP paslaugas aptikimas
Nauja agentų kampanijų savybė yra nuolatinis vidinio agento bendravimas su išorine orkestracijos infrastruktūra – pvz., MCP serveriais ir Large Language Model paslaugomis. ExtraHop gali identifikuoti šio tipo srautą kaip atskirą, labai diagnostinį grėsmių signalą. Praktiškai tai dažnai lengviau pastebėti, nes sukuria ilgalaikes, pasikartojančias jungtis su neįprasta charakteristika. Šio modelio aptikimas leidžia saugumo komandoms greitai nutraukti atakos grandinę, atjungiant dirbtinio intelekto agentą nuo jo „valdymo sistemos“.

3️⃣ Elgsenos anomalijų realaus laiko detekcija
ExtraHop naudoja pažangius mašininio mokymosi modelius elgsenos anomalijų realaus laiko detekcijai. Pradiniuose etapuose tai apima, pvz., didelės apimties skenavimus, neįprastą paslaugų enumeraciją ar sisteminį pažeidžiamumų validavimą. Kitais etapais platforma aptinka automatinius šoninius srautus, netipinį privilegijuotų paskyrų naudojimą ir kitus modelius, kurie rodo „agentinį“ veikimą.

4️⃣ Teismo ekspertizė (forensika)
Po incidento aptikimo taip pat svarbu tiksliai suprasti jo eigą. ExtraHop saugo aukštos kokybės paketų duomenis ir tinklo metaduomenis, kurie leidžia atkurti visą atakos kelią: kurias paslaugas dirbtinio intelekto agentas įvardijo, kokius išteklius pasiekė, kokius duomenis apdorojo ir kaip bandė juos perduoti. Paketų įrašai leidžia rekonstruoti sudėtingas veiksmų grandines ir automatizuotus sprendimus, priimtus AI pagrindų, kas yra svarbu siekiant stiprinti saugumą ateityje.

5️⃣ Informacijos apie grėsmes integracija ir IOC/TTP koreliacija
Nepaisant aukšto autonomijos lygio, agentų kampanijos vis dar remiasi užsienio infrastruktūros komponentais, tokiomis kaip „callback“ serveriai, C2 adresai ar įrankių saugyklos. ExtraHop integruojasi su patikimais Threat Intelligence šaltiniais, taip praturtindama aptikimą žinomais kompromitacijos indikatoriais (IOC) ir priskirdama stebimas veiklas MITRE ATT&CK technikoms.

6️⃣ Spartus reagavimas į incidentus ir tikslūs taisymo veiksmai
ExtraHop generuoja aukšto patikimumo įspėjimus ir vizualizuoja atakos kelią, nurodydamas kompromituotus pagrindinius kompiuterius, jų ryšius ir jautrius išteklius, kuriems gresia šoninis judėjimas. Toks detališkumo lygis leidžia SOC komandoms greitai priimti tikslius sprendimus: izoliuoti konkrečias sistemas, blokuoti šoninio judėjimo vektorius ir – kas ypač svarbu agentų kampanijose – nedelsiant nutraukti ryšius tarp vidinio dirbtinio intelekto agento ir jo išorinių orkestracijos serverių.

NDR klasės sprendimai iš ExtraHop užtikrina derinį, kuriame yra visapusiškas matomumas, elgsenos nustatymas, dirbtinio intelekto agentams specifinių signalų identifikacija ir gilus teismo ekspertizės tyrimas. Tai reikalingų funkcijų rinkinys efektyviam vykdomos ir naujos kartos šnipinėjimo kampanijų aptikimui bei nutraukimui, kuriose dirbtinis intelektas veikia kaip autonominis atakos operatorius.

Daugiau informacijos

Dirbtinis intelektas puolime: laikas gynybai tinklo naujame lygmenyje

GTG-1002 kampanija įrodo, kad autonominiai puolimai, valdomi dirbtinio intelekto, yra reali grėsmė, kuri didės didėjant kibernetinių nusikaltėlių veiksmų mastams ir greičiui. Todėl organizacijos turi reikalingą sprendimus, kurie:

  • užtikrina holistinį tinklo matomumą be aklųjų zonų,
  • aptinka elgsenos anomalijas, o ne tik žinomus parašus,
  • veikia realiu laiku, sekdami puolimo tempu,
  • gali atpažinti charakteristinius AI agentų veiklos pėdsakus.

Kaip ExtraHop sprendimų dystrybutorius padedame organizacijoms įdiegti platformą ir išnaudoti jos visą potencialą praktiškai. Jei norite pasikalbėti apie tai, kaip paruošti savo tinklą dirbtinio intelekto agentų puolimo erai – kviečiame susisiekti. Mielai pasakysime, kaip ExtraHop gali sustiprinti jūsų organizacijos saugumą ➡️ Kontaktai

Naujienos

Dabartinės naujienos jūsų tema

Aktualności
Keturi žingsniai į dirbtinio intelekto pasiruošusią duomenų strategiją naudojant Cribl sprendimus
Daugiau
Aktualności
Censys prisijungia prie iIT Distribution portfelio – naujas atakos paviršiaus valdymo matmuo
Daugiau
Aktualności CrowdStrike
CrowdStrike su privilegijuotu „Customers’ Choice 2026“ Gartner Peer Insights™ ataskaitoje programėlių saugumo būklės valdymo (ASPM) kategorijoje
Daugiau
Visos naujienos
Visos naujienos
Ši svetainė naudoja slapukus IITD privatumo polityka