Acalvio — Автономные ИИ-атаки: новая реальность облачной безопасности

Недавние исследования подтвердили то, чего многие команды по информационной безопасности уже опасались: кибератаки больше не являются исключительно результатом действий человека. Исследователи в области безопасности задокументировали автономную облачную атаку, оркестрируемую ИИ, в ходе которой злоумышленник прошёл путь от начального доступа до получения полных административных привилегий менее чем за 10 минут.

Такой уровень скорости и автоматизации представляет собой фундаментальный сдвиг. Атаки, которые раньше занимали часы или дни — а иногда и недели, — теперь могут выполняться ИИ-агентами от начала до конца на машинной скорости. Для защитников это означает отход от традиционных моделей угроз и необходимость новой стратегии защиты.

Анатомия облачной атаки, оркестрируемой ИИ (LLMjacking)

Наблюдаемая атака была направлена на организацию, использующую AI- и LLM-нагрузки в AWS. Целью злоумышленника было получение несанкционированного доступа к AWS Bedrock и запуск ресурсов с GPU для обучения моделей — техника атаки, широко известная как LLMjacking, при которой противники захватывают ИИ-инфраструктуру в собственных целях.

Эксплойт развивался по многоэтапному сценарию:

• Начальный доступ — злоумышленник получил действительные учетные данные AWS, опубликованные в публичном S3-бакете.
• Обнаружение и разведка — ИИ-агент быстро проанализировал роли IAM для выявления учетных записей с повышенными привилегиями.
• Повышение привилегий — злоумышленник принял административные роли и внедрил вредоносный код в функции AWS Lambda.
• Закрепление — были созданы бэкдоры для обеспечения долгосрочного доступа.
• Исполнение и воздействие — ИИ-нагрузки были запущены в AWS Bedrock с использованием несанкционированных GPU-ресурсов.

Каждый этап был автоматизирован и выполнялся с минимальным участием человека, что позволило завершить всю цепочку за считанные минуты.

Чем атаки, оркестрируемые ИИ, отличаются от традиционных

Облачные атаки не являются чем-то новым, и такие техники, как «Living off the Cloud», используются уже много лет. Однако исторически эти атаки выполнялись вручную. Даже высококвалифицированным злоумышленникам требовалось время для анализа среды, бокового перемещения и повышения привилегий.

Автономные ИИ-агенты снимают эти ограничения. Они способны:

• масштабно перечислять идентичности и разрешения
• непрерывно проверять пути доступа
• мгновенно адаптироваться на основе обратной связи

В результате скорость атак возрастает на порядок, делая чисто реактивные методы обнаружения неэффективными.

Взгляд защитника: подход «assume compromise»

Хотя предотвращение по-прежнему важно, данная атака подчёркивает суровую реальность: начальный доступ часто неизбежен, особенно в крупных облачных средах с множеством идентичностей, сервисов и интеграций.

Учётные данные могут быть скомпрометированы, неправильно настроены или раскрыты способами, которые сложно полностью исключить. Поэтому современная облачная безопасность должна исходить из принципа assume compromise — предположения, что злоумышленник уже получил определённый уровень доступа.

Ключевым вопросом становится скорость обнаружения и остановки атаки до того, как будет нанесён ущерб.

Почему традиционные методы обнаружения не справляются с ИИ-атаками

Большинство стратегий обнаружения в облаке основаны на анализе аномалий — формировании базовой модели «нормального» поведения и выявлении отклонений. Такой подход по своей сути реактивен.

В динамичных и эфемерных облачных средах базовые линии сложно определить. Когда ИИ-атака достигает цели менее чем за 10 минут, просто не остаётся времени для выявления значимых паттернов или реагирования на аномалии.

Защита от подобных угроз требует проактивного и превентивного подхода.

Превентивная защита: обнаружение атак до нанесения ущерба

Превентивная защита направлена на прогнозирование поведения атакующих и размещение механизмов обнаружения на ранних этапах цепочки атаки. Ключевым элементом этого подхода является киберобман.

Киберобман предполагает развертывание реалистичных, но ложных активов — honeytoken и ловушек — в точках, представляющих интерес для злоумышленников. Любое взаимодействие с такими активами является высокодостоверным признаком вредоносной активности и обеспечивает мгновенное обнаружение без ложных срабатываний.

Проектирование обмана для атак, оркестрируемых ИИ

Эффективная стратегия обмана нацелена на ранние этапы MITRE ATT&CK, наиболее релевантные для ИИ-атак, включая:

• Обнаружение
• Доступ к учетным данным
• Повышение привилегий
• Закрепление

Цель — остановить атаку до этапов исполнения или воздействия, где происходит реальный ущерб.

Киберобман для AWS и AI-нагрузок

В средах AWS обманные активы проектируются так, чтобы выглядеть ценными как для человека, так и для автономных ИИ-агентов. К ним относятся:

• Identity Honeytokens — ложные пользователи и роли IAM с видимостью административных привилегий
• Credential Honeytokens — поддельные ключи доступа и секреты, хранящиеся в AWS Secrets Manager
• Cloud Resource Decoys — реалистично выглядящие EC2-инстансы, S3-бакеты и функции Lambda

В сценарии LLMjacking киберобман позволяет обнаружить атаку уже на этапе перечисления и принятия ролей IAM, останавливая эксплойт до установления полного административного контроля.

Остановка ИИ-атак на машинной скорости

Комбинируя превентивную безопасность и киберобман, организации могут обнаруживать автономных ИИ-агентов на этапе разведки, а не после компрометации. Это смещает баланс в пользу защитников — заставляя атакующих раскрывать себя на ранних стадиях и предотвращая злоупотребление облачными и ИИ-ресурсами.

Как официальный дистрибьютор Acalvio, Softprom помогает организациям внедрять масштабируемые и автоматизированные стратегии превентивной защиты, обеспечивающие безопасность облачных и AI-нагрузок от нового поколения автономных атак.

Заключение

Атаки, оркестрируемые ИИ, сокращают временные рамки атак до минут, практически не оставляя пространства для реактивной защиты. Превентивная безопасность, основанная на киберобмане и honeytoken, обеспечивает необходимую видимость и скорость для обнаружения и остановки атак на самых ранних этапах. В эпоху автономных противников прогнозирование поведения атакующего становится не просто желательным — оно становится критически необходимым.