Jak umělá inteligence urychluje identity-based kybernetické útoky
Nový incident v prostředí AWS ukazuje, že AI dramaticky zkracuje čas potřebný k průniku do infrastruktury
Umělá inteligence se rychle stává jedním z klíčových faktorů, které mění podobu kybernetických útoků. To, co dříve útočníkům trvalo dny nebo týdny, lze dnes s pomocí AI provést během několika minut.
Nedávný incident v prostředí AWS ukazuje, jak mohou útočníci kombinovat kompromitované přístupové údaje, chyby v konfiguraci cloudových služeb a nástroje založené na umělé inteligenci. Výsledkem je výrazně rychlejší eskalace útoku a vyšší riziko pro organizace – od provozních dopadů až po reputační škody.
Únik přihlašovacích údajů z cloudového úložiště
V analyzovaném případě útočníci získali přístupové údaje uložené v veřejně dostupném S3 bucketu. Tyto přihlašovací údaje následně použili k přihlášení do cloudového prostředí organizace.
Veřejná cloudová úložiště představují pro útočníky dlouhodobě atraktivní cíl. Důvodů je několik:
- cloudová úložiště se snadno vytvářejí, ale obtížně auditují ve velkém rozsahu
- často bývají špatně nakonfigurovaná nebo ponechaná veřejně přístupná
- některá zůstávají v prostředí zapomenutá nebo bez aktivní správy
V tomto případě navíc názvy bucketů používaly obecnou terminologii spojenou s AI, což útočníkům usnadnilo jejich vyhledání během průzkumu infrastruktury.
Eskalace oprávnění během několika minut
Po získání přístupových údajů sehrála umělá inteligence klíčovou roli v další fázi útoku.
Během pouhých osmi minut se útočníkům podařilo získat administrátorská oprávnění v prostředí. K urychlení útoku byly využity nástroje založené na velkých jazykových modelech (LLM), které pomohly automatizovat několik kritických kroků:
- laterální pohyb v cloudovém prostředí
- generování kódu pro eskalaci oprávnění
- vyhledávání oprávnění mezi jednotlivými účty v organizaci
Útočníci se následně pokusili získat přístup ke všem dostupným účtům v rámci cloudové infrastruktury.
AI jako nástroj útoku i cenný cíl
S rostoucím využíváním umělé inteligence v podnikových prostředích se AI infrastruktura stává nejen nástrojem, ale také atraktivním cílem pro útočníky.
Organizace investují značné prostředky do:
- vlastních modelů AI
- trénovacích dat
- výpočetní infrastruktury, zejména GPU
Tyto zdroje mají přímou obchodní hodnotu a mohou být zneužity k dalším útokům, monetizovány nebo použity jako prostředek vydírání.
V popisovaném incidentu útočníci dokonce zřizovali GPU zdroje a zneužívali spravované AI služby, což naznačuje, že cílem útoku byla i samotná AI infrastruktura.
Základní bezpečnostní hygiena stále rozhoduje
Přestože AI výrazně zrychluje útoky, mnoho incidentů má stále stejné kořeny – chyby v základním zabezpečení.
Mezi nejdůležitější opatření patří zejména:
- správná konfigurace přístupových práv
- důsledné uplatňování principu nejnižších oprávnění
- pravidelné audity cloudových úložišť
- omezení veřejného přístupu k citlivým zdrojům
V tomto případě by právě správná bezpečnostní konfigurace pravděpodobně zabránila útočníkům získat počáteční přístup.
Proč je klíčové sledovat chování identit
Ani dobře nastavené prostředí však nezaručuje stoprocentní ochranu. Přihlašovací údaje mohou být kompromitovány a chyby v konfiguraci se mohou objevit i v dobře spravovaných systémech.
Proto stále větší roli hraje průběžné monitorování chování identit a účtů. To umožňuje odhalit podezřelé aktivity i v případě, že se útočník přihlašuje pomocí legitimních údajů.
Typickým příkladem může být situace, kdy účet běžně používaný pro práci s databázemi během pracovní doby najednou:
- provádí pokusy o přístup mezi cloudovými účty
- eskaluje oprávnění
- nebo provádí neobvyklé operace v noci
Takové odchylky mohou signalizovat kompromitovaný účet a probíhající útok.
Jak se připravit na AI-akcelerované útoky
Rostoucí rychlost útoků a hodnota AI infrastruktury vyžadují moderní bezpečnostní přístup, který kombinuje více vrstev ochrany:
- důslednou správu přístupů a identit
- pravidelnou kontrolu konfigurací cloudových služeb
- průběžné monitorování chování uživatelů a systémů
- detekci anomálií v reálném čase
Integrovaný přístup, který spojuje preventivní opatření, behaviorální analýzu a detekci identity-based hrozeb, pomáhá organizacím lépe reagovat na útoky, které dnes probíhají rychlostí strojů – a stále častěji právě s pomocí umělé inteligence.