0.8.2. Kritikus infrastruktúra előkészítése kiber-hadviseléshez

2025.10.06.
AI Biztonság Blog

A kiber-hadviselésről alkotott képünket gyakran a filmekből ismert, látványos támadások formálják: szikrázó erőművek, összeomló pénzügyi rendszerek, leálló közlekedési hálózatok.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

A valóság ennél sokkal csendesebb, lassabb és alattomosabb. A legveszélyesebb állami szintű műveletek nem a látványos rombolásról szólnak, hanem a türelmes, módszeres előkészületekről – a digitális hadszíntér „tereprendezéséről” egy esetleges jövőbeli konfliktus esetére.

Ez a folyamat nem hónapokig, hanem gyakran évekig tart. A cél nem az azonnali károkozás, hanem a stratégiai pozíciók elfoglalása a célország legérzékenyebb rendszereiben: az energiaellátásban, a vízműveknél, a telekommunikációban és a logisztikában. A támadók olyanok, mint a digitális szabotőrök, akik békidőben helyezik el a tölteteket, hogy háború esetén egyetlen gombnyomással aktiválhassák azokat.

A „Left of Boom” Stratégia: Felkészülés a Krízis Előtt

A katonai és kiberbiztonsági szakzsargonban a „boom” jelenti magát az eseményt – a robbanást, a kibertámadást, a rendszerleállást. 

A „left of boom” (a robbanástól balra, az idővonalon korábban) pedig minden olyan tevékenységet felölel, ami az esemény előtt történik: a felderítés, a tervezés, a behatolás és a pozíciók kiépítése. A nemzetállami szereplők ebben a fázisban a legerősebbek!

Céljuk, hogy mélyen beágyazódjanak az ipari irányítórendszerekbe (ICS) és a felügyeleti és adatgyűjtő rendszerekbe (SCADA), amelyek a fizikai világ folyamatait vezérlik. Itt nem egy egyszerű weboldal feltöréséről van szó. Ezek a rendszerek vezérlik a duzzasztógátak zsilipeit, az elektromos alállomások kapcsolóit vagy a gázvezetékek nyomását. Egy sikeresen elhelyezett „alvó ügynök” (dormant malware) évekig észrevétlen marad, várva az aktivációs parancsra.

Felderítés Behatolás (pl. phishing) Perzisztencia kiépítése „Alvó” implantátum BOOM Aktiválás Károkozás „Left of Boom” (Előkészítés) „Right of Boom” (Hatás)

Az AI szerepe a hadszíntér előkészítésében

A mesterséges intelligencia mind a támadó, mind a védekező oldalon kulcsfontosságú eszközzé vált. Egy állami szereplő nem manuálisan keres sebezhetőségeket több ezer alállomás PLC-jében (Programmable Logic Controller); erre a feladatra specializált AI-modelleket vet be.

Támadó oldali AI alkalmazások

  • Automatizált felderítés: AI-alapú szkennerek folyamatosan pásztázzák az internetet és a dark webet a kritikus infrastruktúrához kapcsolódó, rosszul konfigurált vagy elavult rendszerek után kutatva.
  • Sebezhetőségek priorizálása: Egy AI-modell képes felmérni, hogy egy adott sebezhetőség kihasználása mekkora fizikai hatással járhat. Nem a legkönnyebben támadható, hanem a legnagyobb stratégiai értékkel bíró célpontot keresi.
  • Adaptív malware: A modern megoldások AI-t használnak arra, hogy viselkedésüket a környezethez igazítsák, elkerülve a hagyományos anomália-detekciós rendszereket. Képesek „megtanulni” a hálózat normális működését, és ahhoz igazítani a rejtőzködésüket.

# Pszeudokód egy AI-vezérelt adaptív malware logikájára
# Figyelem: Ez egy koncepcionális példa, nem működő kód.

class AdaptiveImplant:
 def __init__(self, network_monitor):
 # AI modell a hálózati forgalom elemzésére
 self.behavior_model = self.train_on_normal_traffic(network_monitor)
 self.activity_level = "dormant" # Alapértelmezetten alvó állapot

 def run_cycle(self):
 if self.check_for_activation_signal():
 self.activity_level = "active"
 self.execute_payload()
 else:
 # A hálózati forgalomhoz igazítja a kommunikációját
 self.cloak_communication(self.behavior_model)

 def cloak_communication(self, model):
 # Olyan kommunikációs mintát generál, ami a modell szerint
 # "normális" forgalomnak tűnik, így elkerüli a detektálást.
 # Pl. csak karbantartási időablakokban kommunikál.
 print("Kommunikáció rejtve a normál forgalomban...")

Védekező oldali AI alkalmazások

Természetesen a védők sem tétlenek. Az AI számukra is elengedhetetlen a modern, alacsony intenzitású, de folyamatos fenyegetésekkel szemben.

  • Viselkedésalapú anomália-detekció: Fejlett AI rendszerek figyelik az ICS/SCADA hálózatok forgalmát, és olyan apró, szabálytalan mintákat keresnek, amelyek egy rejtőzködő támadóra utalhatnak – még ha a támadó maga is AI-t használ az álcázásra.
  • Threat Hunting asszisztencia: Az AI segít a biztonsági elemzőknek hatalmas mennyiségű naplófájl és hálózati adat feldolgozásában, kiemelve a potenciálisan gyanús eseményeket, amelyek egy APT csoport lassú, módszeres tevékenységére utalhatnak.
  • Prediktív védekezés: AI-modellek elemzik a globális fenyegetési adatokat, és előrejelzéseket adnak arra vonatkozóan, hogy melyik infrastruktúra-elem lehet a következő valószínű célpont, lehetővé téve a proaktív megerősítést.

AI Red Teaming szempontok: Hogyan szimuláljunk egy állami szintű előkészületet?

AI Red teamerként a feladatunk ebben a kontextusban messze túlmutat a hagyományos behatolásvizsgálaton. Nem elég egy sebezhetőséget találni és kihasználni. Egy nemzetállami szereplő hosszú távú, lopakodó hadjáratát kell szimulálnunk, amelynek célja a perzisztencia és a potenciális jövőbeli károkozás.

A szimuláció során a hangsúly a következőkre helyeződik:

  • Észrevétlenség: Mennyi ideig tudunk a hálózaton maradni anélkül, hogy a blue team észrevenne? Képesek vagyunk-e elkerülni az AI-alapú védelmi rendszereket?
  • Mély beágyazódás: El tudunk-e jutni az IT hálózatokról a valódi fizikai folyamatokat irányító OT (Operational Technology) hálózatokra?
  • Potenciális hatás felmérése: Nem kell ténylegesen lekapcsolni egy erőművet. A feladat az, hogy bizonyítsuk: meglenne rá a képességünk. Ez lehet egy kontrollált tesztkörnyezetben végrehajtott művelet, vagy egy részletes jelentés a kiépített hozzáférésekről és a lehetséges támadási vektorokról.
Hagyományos Pentest vs. APT Szimuláció (Kritikus Infrastruktúra)
Szempont Hagyományos Penetrációs Teszt Állami Szereplő (APT) Szimuláció
Cél Sebezhetőségek azonosítása és kihasználása. Hosszú távú, rejtett perzisztencia kiépítése és a védelem reakcióidejének tesztelése.
Időtartam Napok vagy hetek. Hetek, hónapok vagy akár egy év.
Zajszint Magas lehet, gyakran aktiválja a riasztásokat. Extrém alacsony („low and slow”), a detektálás elkerülése a fő cél.
Fókusz IT rendszerek, webalkalmazások. IT rendszerekről az OT/ICS hálózatokra való átjutás.
Siker mértéke Adminisztrátori jogosultság megszerzése. Észrevétlen hozzáférés egy kritikus vezérlőrendszerhez.

A kritikus infrastruktúra digitális előkészítése a modern hadviselés egyik legaggasztóbb, de legkevésbé látványos formája. A háború már jóval az első lövés eldördülése előtt elkezdődik a bitek és bájtok csendes csataterén. Red teamerként a mi felelősségünk, hogy felkészítsük a védőket erre a láthatatlan, de rendkívül valós fenyegetésre!

0.8.1. Nemzetbiztonsági célú tömeges megfigyelés és adatgyűjtés

2025.10.06.

0.8.3. Választási befolyásolás és demokratikus folyamatok aláásása

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit