הסיוט הגדול ביותר של מנהלי אבטחת מידע כבר אינו רק האקר שיושב מול מסך, אלא תוקפים שמשתמשים ב־AI כדי להאיץ ולשדרג מתקפות סייבר בקנה מידה שלא היה אפשרי בעבר. מודלי שפה גדולים (LLMs) מסוגלים כיום לסייע בכתיבת קוד זדוני, ביצירת קמפייני פישינג משכנעים ובהתאמה מהירה של כלי תקיפה לסביבות שונות.
עם זאת, חשוב לדייק, AI עדיין אינו “האקר אוטונומי” שמביס לבדו את כל מערכות ההגנה. ברוב המקרים הוא משמש כמכפיל כוח עבור תוקפים אנושיים, ולא כתחליף מלא.
נוזקות שמשנות את עצמן
אחד התחומים המטרידים ביותר הוא היכולת לייצר נוזקות דינמיות - תוכנות זדוניות שמשנות את המבנה שלהן כל הזמן כדי להקשות על מערכות ההגנה לזהות אותן.
בעבר, תוכנות אנטי-וירוס הסתמכו בעיקר על “חתימות” - כלומר זיהוי של מבנה קוד מוכר. ברגע שנוזקה הייתה מתגלה, החתימה שלה הייתה מופצת וכל מערכות ההגנה היו לומדות לחסום אותה.
היום המציאות מורכבת יותר.
באמצעות AI, תוקפים יכולים ליצור במהירות עצומה וריאציות חדשות של אותה נוזקה:
- שינוי מבנה הקוד
- החלפת רכיבים פנימיים
- הסתרת פעולות חשודות
- ושכתוב חלקים מהנוזקה בכל ניסיון חדירה מחדש
כך גם אם גרסה אחת נחסמת, הגרסה הבאה כבר נראית שונה לחלוטין.
עם זאת, חשוב להבין שמערכות הגנה מודרניות כבר אינן מסתמכות רק על “חתימה” של קובץ. מערכות אבטחה מתקדמות בודקות גם את ההתנהגות של התוכנה:
- האם היא מנסה להשתלט על המחשב
- לגשת לזיכרון בצורה חריגה
- לשנות הרשאות
- או ליצור תקשורת חשודה מול שרת חיצוני
לכן שינוי הקוד בלבד לא תמיד מספיק כדי לעקוף הגנות.
מהפכת ההנדסה החברתית
התחום שבו AI כבר משנה את מאזן הכוחות בצורה דרמטית הוא ההנדסה החברתית - כלומר מניפולציה על אנשים במקום על מחשבים.
במקום לשלוח הודעת פישינג גנרית לאלפי עובדים, מערכות AI מסוגלות:
- לאסוף מידע מהרשתות החברתיות
- ללמוד איך מנכ"ל או מנהל כותבים
- לנסח הודעות אמינות מאוד
- להתאים לכל עובד הודעה אישית שנראית לגמרי אמיתית
כאשר מוסיפים לכך זיוף קול בזמן אמת (“DEEP-FAKE”), תוקף יכול להתקשר לעובד, להישמע בדיוק כמו מנהל הכספים של החברה, ולשכנע אותו לפתוח קובץ, לאשר תשלום או למסור סיסמה.
זה כבר לא תרחיש מדע בדיוני - מקרים כאלה כבר התרחשו בעולם.
בינה מלאכותית נגד בינה מלאכותית
הקרב החדש בעולם הסייבר כבר אינו מתנהל רק בין תוקף למערכת הגנה - אלא בין מנועי AI משני הצדדים.
תוקפים משתמשים בבינה מלאכותית כדי לייצר קוד זדוני במהירות, לשנות את צורת הפעולה שלו בזמן אמת, לבנות מתקפות פישינג מדויקות ולהסתגל לסביבת היעד תוך כדי התקיפה. מנגד, ארגונים נאלצים להפעיל מערכות הגנה חכמות לא פחות- כאלה שמנתחות מיליוני אירועים בשנייה, מזהות חריגות התנהגותיות ומנסות לעצור את המתקפה עוד לפני שנגרם נזק.
בעבר מערכות הגנה חיפשו “חתימה” מוכרת של נוזקה. היום הן מנסות להבין כוונה והתנהגות.
במקום לשאול:
“האם הקובץ הזה מוכר לי?”
הן שואלות:
- למה התהליך הזה מנסה לגשת לזיכרון בצורה חריגה?
- מדוע משתמש רגיל מנסה פתאום לבצע פעולות מנהל מערכת?
- למה תחנת קצה שולחת תעבורה חריגה לשרת חיצוני באמצע הלילה?
זה כבר לא משחק של זיהוי קבצים -אלא ניתוח בזמן אמת של התנהגות, חריגות ודפוסים חשודים.
