W miarę rozwoju technologii i wzrostu zależności od usług online, ochrona portali przed atakami stała się kluczowym aspektem bezpieczeństwa cyfrowego – zarówno w przypadku konsumentów, jak również wielkich organizacji sektora publicznego i prywatnego. Jednym z najskuteczniejszych narzędzi w tym obszarze jest Firewall Aplikacji Webowych nowej generacji (WAF), który w połączeniu z sztuczną inteligencją stanowi potężną linię obrony przeciwko różnorodnym zagrożeniom. Jak F5 Networks, jako lider w technologiach bezpieczeństwa, łączy możliwości WAF i AI, by zaoferować zaawansowaną ochronę aplikacji internetowych?
Portale internetowe stały się kluczowym elementem infrastruktury cyfrowej. Miliony ludzi na całym świecie codziennie korzysta z nich w celu zapoznania się z najnowszymi wiadomościami, wykonania transakcji finansowej, komunikowania się ze znajomymi czy robienia zakupów. W efekcie nawet tymczasowy brak dostępu do usług oferowanych przez dany portal może znacząco wpłynąć na jego użytkowników.
Nie chodzi tylko o komfort życia zawodowego lub prywatnego (któż nie dzielił się informacjami o niedziałających komunikatorach takich Messenger czy WhatsApp?), ale również o straty finansowe (brak możliwości prowadzenia kampanii reklamowych) czy nawet zdrowie i bezpieczeństwo – wiele systemów opieki zdrowotnej czy reagowania kryzysowego polega na stabilnym i bezpiecznym dostępie do usług online.
Sztuczna inteligencja w walce z atakami DDoS
Ataki DDoS (Distributed Denial of Service) są jednym z najczęstszych zagrożeń dla portali i aplikacji. Polegają one na zasypywaniu systemów tak dużą liczbą żądań, że nie jest on w stanie ich przetworzyć, co prowadzi do znacznego spowolnienia działania danego portalu czy nawet jego całkowitego zablokowania.
Z obserwacji specjalistów Axians wynika, że tradycyjne metody obrony, często oparte na statycznych regułach i sygnaturach, nie są wystarczające w starciu z nowoczesnymi, złożonymi atakami, które mogą doprowadzić do konkretnych strat związanych z odebraniem klientom dostępu do aplikacji. Z pomocą przychodzą tutaj sztuczna inteligencja oraz uczenie maszynowe.
Rozwiązania oparte na AI wykorzystują zaawansowane algorytmy uczenia maszynowego do analizy wzorców ruchu sieciowego i identyfikacji anomalii, które mogą wskazywać na próbę ataku. Dzięki temu systemy mogą wykrywać i blokować nie tylko znane zagrożenia, ale również te, które dopiero się pojawią. A to, że się pojawią, jest niemal pewne – w 2022 roku co piąte zagrożenie zidentyfikowane przez CERT Orange Polska było związane z atakami DDoS.
Ale nie tylko DDoS stanowi zagrożenie dla portali czy aplikacji. Cyberprzestępcy często wykorzystują takie metody jak wstrzykiwanie złośliwego kodu SQL, XSS czy CSRF, wykorzystywanie podatności w plikach, API czy w ustawieniach mechanizmów bezpieczeństwa, a także tzw. exploity zero-day. W dobie powszechnych wycieków danych atakujący często sięgają również po skradzione lub wyłudzone dane i wysyłają masowe żądania do różnych aplikacji w celu ustalenia, czy dany e-mail, login lub hasło są wykorzystywane w danym miejscu, a następnie próbują odgadnąć brakujący element układanki niezbędny do zalogowania się do danego portalu.
Zwiększenie możliwości WAF dzięki AI
Firewalle aplikacji webowych co do zasady zabezpieczają strony internetowe przed atakami, filtrując ruch przychodzący według ustalonych uprzednio reguł. Integracja AI z WAF znacząco jednak poszerza ich możliwości. Wykorzystując algorytmy uczenia maszynowego, WAF potrafią analizować wzorce ruchu i wykrywać anomalie, które mogą wskazywać próbę ataku, a także uczyć się na podstawie danych historycznych. W efekcie firewall nie tylko reaguje na znane zagrożenia, ale także przewiduje nowe, nieznane do tej pory typy ataków zanim do nich dojdzie. Dzięki temu możliwa jest nie tylko reaktywna, ale również proaktywna obrona portali oraz aplikacji.
Z obserwacji specjalistów Axians wynika, że najczęstsze typy ataków doświadczanych przez klientów obejmują można podzielić na kilka grup:
- Ataki na aplikacje internetowe z grupy OWASP Top10 (np. ataki typu injection, wykorzystywanie podatności, itd.);
- Ataki na interfejsy API, które stają się dominującą grupą z powodu zmieniającej się architektury aplikacji w kierunku konteneryzacji, gdzie poszczególne mikroserwisy komunikują się za pomocą API;
- Ataki na tożsamość (np. credential stuffing, account takover);
- Ataki DDoS (w tym nie tylko wolumetryczne, ale również aplikacyjne, tzw. low-bandwith);
- Ataki na użytkowników typu ransomware, czy spear phishing.
Co istotne, każda z powyżej wymienionych grup ataków może być zautomatyzowana przez cyberprzestępców i przeprowadzona z sieci kontrolowanych przez nich botnetów przy wykorzystaniu różnego rodzaju technik (m.in. AI) mających na celu ominięcie tradycyjnych metod ochrony. I to właśnie użycie generatywnej sztucznej inteligencji (np. modeli LLM – Large Language Model), która umożliwia im podszywanie się pod „prawdziwych” ludzi i symulowanie ich zachowania w celu ominięcia analizy behawioralnej, sprawia że wysiłki cyberprzestępców kończą się sukcesem. W ostatnich latach obserwuje się również ogromny wzrost liczby ataków typu DDoS polegających na zasypywaniu serwera żądaniami do momentu, w którym nie jest w stanie ich obsłużyć z powodu ich nadmiaru.
Przykłady wykorzystania AI w WAF
F5 Networks wykorzystuje AI do optymalizacji swoich rozwiązań WAF w różnych scenariuszach. Przykładem może być ich zaawansowany system ochrony aplikacji, który analizuje ruch w czasie rzeczywistym, identyfikując i blokując ataki, a jednocześnie minimalizując fałszywe alarmy. F5 zapewnia także szczegółowe raporty i analizy, które są kluczowe dla administratorów bezpieczeństwa w celu zrozumienia stanu bezpieczeństwa aplikacji i zarządzania nim.
AI wprowadza do systemów WAF możliwość uczenia się na bazie przebytych doświadczeń, co jest kluczowe w przypadku identyfikacji i neutralizacji nowych, nieznanych do tej pory zagrożeń. Systemy WAF wspierane przez AI mogą samodzielnie dostosowywać swoje algorytmy, by lepiej odpowiadać na zmieniające się metody ataków, co umożliwia bardziej skuteczną i dynamiczną obronę aplikacji internetowych. Algorytmy wyszkolone w ten sposób mogą np. szybciej wykrywać anomalie w ruchu internetowym (np. wstrzykiwanie kodu SQL, XSS lub ataki DDoS), ale również przeprowadzać analizy behawioralne, aby ustalić, czy dane zachowanie użytkownika odbiega od normy, bo np. zbyt często prosi o przypomnienie hasła, wykonuje nietypowe czynności lub loguje się w nietypowych godzinach.
Zbadanie tych anomalii w kontekście posiadanych danych o typowych zachowaniach pozwala szybko ustalić, czy za danymi żądaniami stoi człowiek, czy robot. Następnym krokiem jest podjęcie automatycznej decyzji o zablokowaniu ruchu lub dostosowaniu istniejącej polityki bezpieczeństwa – np. poproszenie o dodatkową weryfikację tożsamości za pomocą CAPTCHA lub innej metody, a także prewencyjne zablokowanie dostępu do wrażliwych części infrastruktury sieciowej. Dodatkowo, firewalle nowej generacji chętnie integrują się z globalnymi platformami analitycznymi, które wykorzystują AI do agregowania i analizowania danych o zagrożeniach z całego świata.
Ataki AI na instytucje sektora publicznego
W ochronie przed AI najlepiej wykorzystywać rozwiązania, które również czerpią z możliwości sztucznej inteligencji. Tu z pomocą przychodzą rozwiązania F5, które mają zaimplementowane szereg funkcjonalności wspomaganych przez algorytmy AI/ML:
- Behawioralny WAF dostępny jako NGINX App Protect, BIG-IP AWAF, BIG-IP NEXT WAF, F5XC WAAP, który używa algorytmów AI/ML w celu podniesienia skuteczności ochrony sygnaturowej i redukcję tzw. false positives, jak również w celu generowania dynamicznych sygnatur na podstawie modelu statystycznego ruchu dla anomalii w celu łagodzenia skutków ataków DDOS L3-7;
- Mitygacja złośliwych użytkowników dostępne w F5XC WAAP to funkcjonalność wykorzystująca sztuczną inteligencję do identyfikacji i ochrony przed użytkownikami generującymi złośliwy ruch (ataki, nieudane próby logowania, skanowanie aplikacji, itp.);
- Automatyczne wykrywanie i inwentaryzacja interfejsów API, w tym shadow API dostępna w F5XC WAAP, wykorzystująca algorytmy AI/ML do identyfikacji ukrytych endpointów API i przez to umożliwiająca precyzyjne określenie przestrzeni ataku;
- F5XC Bot Defense dostępny dla NGINX App Protect, BIG-IP AWAF, BIG-IP NEXT WAF, F5XC WAAP, który używa algorytów AI/ML do poszukiwania wzorców zautomatyzowanych zachowań w celu odróżnienia ruchu użytkowników od syntetycznego ruchu z botów.
Na koniec dnia sztuczna inteligencja pomaga w generowaniu raportów, które przedstawiają zautomatyzowaną analizę wektorów ataków oraz zaobserwowanych naruszeń bezpieczeństwa, a także zawierają rekomendacje związane z dalszymi krokami. Dzięki temu specjaliści ds. cyberbezpieczeństwa mogą lepiej zrozumieć naturę zagrożeń, z którymi mierzy się dana aplikacja czy portal i podejmować odpowiednie decyzje o wzmacnianiu pewnych elementów infrastruktury w zależności od potrzeb.
Jak zatem widać, integracja AI z WAF stanowi przełom w obronie przed cyberatakami. Pozwala nie tylko na skuteczną walkę z obecnie znanymi zagrożeniami, ale również na adaptację do szybko zmieniającego się krajobrazu cyberbezpieczeństwa. W miarę jak rośnie zaawansowanie ataków, tylko równie dynamiczne i inteligentne systemy obronne mogą zapewnić niezbędną ochronę przed nimi. F5 Networks, poprzez swoje innowacyjne podejście do połączenia WAF i AI, ustanawia nowe standardy w ochronie aplikacji internetowych.