Кибербезопасность в эпоху ИИ
Мы переживаем парадигмальный сдвиг в том, как мы доказываем свою личность в интернете. Вместо вопроса Что ты знаешь? (пароль, PIN-код, девичья фамилия матери) или Как ты выглядишь? (Face ID, отпечаток пальца) главным становится вопрос Как ты себя ведёшь?
Генеративный ИИ и развитие вредоносного ПО, такого как RAT (Remote Access Trojans), позволили киберпреступникам масштабировать атаки и даже обходить защиту вроде Face ID или MFA, которые когда-то считались неуязвимыми.
Анализ поведенческой биометрии становится стандартной практикой в банках, которые несут ответственность за возмещение убытков от кибератак, если их системы защиты не соответствуют современным угрозам.
Теория вычислительного моторного контроля
Когда вы прокручиваете выпадающее меню или перемещаете ползунок на телефоне, ваш мозг выполняет сложный цикл обратной связи, исправляя незаметные ошибки на пути движения каждого миллиметра и миллисекунды жеста.
На ранних этапах поведенческая биометрия использовалась для различения поведения человека и бота. Исследователи вскоре обнаружили, что ту же технологию можно применять для отличия поведения одного человека от поведения другого.
Теория вычислительного моторного контроля — междисциплинарная область, объединяющая нейронауку, биомеханику и информатику, — предоставляет исследователям основу для понимания наиболее характерных особенностей человеческого поведения.
Исследования показывают, что то, что мы называем "робототехничным" — эти бессознательные нейронные коррекции — это именно то, что делает поведенческий профиль человека невозможным для воспроизведения. Исследование 2012 года Калифорнийского университета в Беркли под названием Touchalytics, которое анализировало паттерны прокрутки 41 участников, когда они просматривали текст и изображения на смартфонах, доказало, что уже после 11 жестов прокрутки поведенческие модели могли идентифицировать конкретного пользователя из группы без ошибок.
Цифровые "говорящие признаки"
Исследование Беркли выявило 30 поведенческих характеристик, уникальных для привычек прокрутки каждого пользователя, включая длину штриха, траекторию, скорость, направление, кривизну, время между штрихами и даже площадь пальца, которую использовал участник. Например, некоторые пользователи полностью останавливают палец в конце жеста прокрутки. Другие поднимают палец, пока он ещё движется, в так называемой "баллистической" прокрутке.
Но поведенческая аналитика выходит далеко за пределы прокрутки. Ритмы печати, навигация по полям, даже незаметные изменения в том, как пользователь держит телефон, различают одного пользователя от другого.
ИИ-гонка вооружений
Определённые поведенческие сигналы, рассматриваемые в отдельности, могут помочь банкам выявить явное мошенничество. Устройство, обнаруженное в перевёрнутом виде во время транзакции, например, является серьёзным предупреждением. Сверхчеловеческая скорость печати, невозможно прямые движения курсора или устройства, инициирующие транзакцию в режиме блокировки экрана, также могут вызвать тревогу.
Однако системы поведенческой биометрии — это гораздо больше, чем системы на основе правил. Используя линейную алгебру и статистику, модели ИИ могут объединять тонкие сигналы интерфейса человеко-компьютер для создания моделей, специфичных для пользователя, которые непрерывно аутентифицируют пользователя даже после того, как он прошёл точечные проверки, такие как вход или Face ID.
В AppGate Center of AI Excellence, где я работаю инженером машинного обучения, мы обучаем специфичные для пользователя поведенческие модели на основе данных датчиков сотового телефона. Эти модели позволяют нам обеспечивать живой анализ того, являются ли движения на вашем устройстве или на любом устройстве, подключённом к вашему банковскому счёту, действительно вами.
Наши специфичные для пользователя модели обнаружения аномалий в сочетании с глобальными сигналами на основе правил помогают банкам защищаться от атак Account Takeover (ATO) и Device Takeover (DTO). Во многих случаях поведенческие модели обеспечивают лучшую защиту, чем традиционные биометрические маркеры, такие как отпечатки пальцев или технология распознавания лиц.
Киберснабжение
Пожилые люди являются наиболее частыми жертвами атак Account Takeover (ATO) или кража личных данных. Традиционная атака обычно представляет собой многоэтапную, мультиорганизационную операцию, часто начинающуюся с фишингового URL или социальной инженерии (хорошо спланированной психологической манипуляции по телефону), через которые преступники похищают учетные данные жертвы и продают их другой организации преступников на обширных тёмных веб-рынках, таких как печально известный Genesis Market, форум тёмного веба, на котором размещались более 80 миллионов украденных учетных данных от более 2 миллионов человек.
Эти цифровые отпечатки обмениваются на рынке как обычный товар и часто переходят из рук в руки несколько раз, прежде чем попасть к разработчику или боту, который фактически пытается взломать вашу учётную запись. Эта сложная цепь поставок затрудняет для органов власти поиск преступника или преступников после того, как было обнаружено мошенничество.
Распространённые средства ATO позволяют преступникам обойти точечную аутентификацию (вход) с отдельного устройства, обычно неизвестного банку. Однако стандартные меры кибербезопасности, используемые большинством банков, применяют какую-либо форму интеллекта устройства, OTP, MFA или другой проверки устройства для остановки атаки. Но появляются новые, более страшные тенденции, когда преступники могут сделать даже эти методы устаревшими.
Новые поверхности атак
Сегодня существует вредоносное ПО, которое может перехватывать онлайн-формы, удаленно регистрировать нажатия клавиш при вводе и даже взламывать непосредственно в ваш телефон для перехвата MFA в том, что называется Device Takeover (DTO), грозного двойника ATO. И с ростом генеративного ИИ опасение, что киберпреступники только начинают, становится реальностью.
Например, инструмент deepfake, используемый в киберпреступном мире под названием ProKYC, позволяет злоумышленникам обойти двухфакторную аутентификацию, распознавание лиц и даже проверки с живой верификацией, используя видео с глубокой подделкой. Печально известный RAT (Remote Access Trojan) под названием BingoMod, распространяемый через smishing (фишинг по SMS), выдаёт себя за легитимное приложение антивирусной защиты на телефонах Android, используя разрешения устройства, которые позволяют удалённому злоумышленнику тихо похищать конфиденциальную информацию, такую как учетные данные и SMS-сообщения, а также выполнять денежные переводы, исходящие с заражённого телефона.
Как только устройство скомпрометировано, все традиционные формы проверки банка находятся под полным контролем злоумышленника. С точки зрения банка, отпечаток устройства правильный, IP-адрес правильный, коды MFA и приложения аутентификатора совпадают. Из-за роста социальной инженерии даже контрольные вопросы безопасности, такие как девичья фамилия вашей матери, обеспечивают небольшое утешение.
Это означает, что единственной защитой от киберпреступления является подлинность поведения человека.
Непрерывная аутентификация, меньше прерываний
Растущая сложность кибератак и, в свою очередь, более сложная кибербезопасность привели к одному положительному результату для клиентов онлайн-банкинга: лучшему пользовательскому опыту.
Поскольку поведенческие модели могут непрерывно аутентифицировать пользователей, необходимость в постоянной отправке MFA или OTP снижается, и легитимный сеанс онлайн-банкинга фактически проходит намного более гладко для клиентов.
Продукт, над которым я в настоящее время работаю, называется 360 Risk Control и объединяет сигналы от обнаружения ботов, интеллекта устройства, моделей поведенческой биометрии рабочего стола и мобильного устройства в одну непрерывную оценку рисков, которая выполняется на протяжении всего сеанса банкинга, задолго после точечной аутентификации (например, входа, Face ID).
Когда сигналы риска возрастают, система может ускорить аутентификацию, запросить дополнительную проверку или даже полностью остановить транзакцию. Но когда поведение совпадает с ожидаемым, процесс проходит гладко и без необходимых прерываний.