ما يحدث فعلاً خلال هجوم مسلح بالذكاء الاصطناعي؟

لسنوات، تحدثت صناعة الأمن السيبراني عن هجمات الذكاء الاصطناعي في الزمن المستقبل. تخيلنا مخترقين فائقين يفككون جدران الحماية بمعرفة غريبة. الحقيقة، كما نكتشفها في مختبرات Simbian، هي بعيدة عن السينما ولكنها أكثر خطورة.

التهديد ليس أن الذكاء الاصطناعي هو ذكي بشكل خارق. إنه أن الذكاء الاصطناعي يجعل الاستمرار على مستوى الخبراء قابل للتحجيم والفوري والمتغير بشكل لا نهاية. إنه يتحول إلى “تحسين هامشي” للبرنامج النصي إلى انهيار لل熵 التي لا يستطيع فريق الأمن البشري التعامل معها.

هنا ما يحدث فعلاً عندما تاخذ الآلة لوحة المفاتيح.

المرحلة 1: الاستطلاع – عصر السياق

في العالم القديم، كان الاستطلاع “رذاذ وصلاة”. المشتركون يشترون قوائم البريد الإلكتروني ويقومون ببث قوالب عامة، آملين في نسبة点击 0.1%.

في هجوم مسلح بالذكاء الاصطناعي، الاستطلاع هو “رمي وتصوير”. يمكن للوكلاء التوليدين الآن استهلاك بصمة رقمية للهدف – منشورات LinkedIn، وتغريدات最近، وmentions الأخبار، وحتى التزامات الرمز العام – لبناء ملف نفسي في ثوان.

المرحلة 2: التنفيذ – الكابوس المتعدد الشكل

هنا ينهار الدفاع حقًا. تقليديًا، إذا كتب المهاجم برنامجًا خبيثًا (على سبيل المثال، متغير Mimikatz)، سيجد موردو الأمن ذلك وسيحظره. “التوقيع” كان الدرع.

الذكاء الاصطناعي التوليدي يدمر مفهوم التوقيع الثابت. المهاجم المسلح بالذكاء الاصطناعي لا يستخدم أداة ثابتة. إنه يستخدم وكيلًا يكتب الأداة في الهدف. إذا اكتشف الوكيل مستشعر EDR (استجابة الكشف النقطة النهاية)، فإنه يطلب simplement من خلفية LLM: “اكتب هذه المنطق لتفريغ بيانات الاعتماد لتجنب هذه المخارز API المحددة. أعد تسمية جميع المتغيرات. غير تدفق التحكم.”

النوايا من البرنامج لا تزال متطابقة. النحو يتغير完全. بالنسبة إلى نظام الدفاع القائم على القواعد، يبدو وكأنه برنامج جديد لم يسبق رؤيته.

المرحلة 3: الحركة الجانبية – سرعة الاستدلال

مرة واحدة داخل، يصبح سرع反应 الإنسان غير ذي صلة. المخترق البشري يتحرك بحذر، يتحقق من السجلات، ويكتب الأوامر، ويتوقف للتفكير. قد يتحرك إلى خادم جديد في ساعات.

الوكيل الذكاء الاصطناعي يتحرك في أجزاء من الألفية من الثانية.

ولكن السرعة ليست العامل الوحيد؛ إنه الاستدلال الاستقرائي، أو الاستدلال إلى أفضل تفسير. الذكاء الاصطناعي جيد بشكل مدهش في “الخمن” هيكل الشبكة بناءً على شظايا. إذا رأى خادمًا اسمه US-WEST-SQL-01، يفترض وجود US-EAST-SQL-01 و US-WEST-BAK-01. يختبر هذه الفرضيات في لمح البصر عبر آلاف العناوين الداخلية.

لا يحتاج إلى أن يكون كاملاً. يحتاج فقط إلى أن يكون سريعًا. بينما لا يزال محلل SOC في مرحلة التriage للتنبيه الأولي للصيد، قام الذكاء الاصطناعي بالفعل بتحديد معالج النطاق، وتحديد خوادم النسخ الاحتياطي، وتصدير جوهرة التاج للمؤسسة.

المرحلة 4 – التأثير – قنبلة الإントروبيا

الهدف النهائي للهجوم المسلح بالذكاء الاصطناعي ليس دائمًا التخفي. أحيانًا، إنه الفوضى. نحن ندخل عصر الهجمات عالية الإنتروبيا. يمكن للوكيل الذكاء الاصطناعي إنشاء 10,000 تنبيهًا واقعيًا في نفس الوقت – محاولات تسجيل دخول فاشلة، ومسح المنافذ، وتنفيذ البرامج الضارة الوهمية.

هذه هي “قنبلة الإنتروبيا”. تغمر SOC بالكثير من الإشارات التي يعاني المحللون من تعب إدراكي. هم يتقاتلون مع الوهم بينما يحدث الهجوم الحقيقي بهدوء في الخلفية. يتحول التحدي للمدافع من “finding the needle in the haystack” إلى “finding the needle in a stack of needles”.

مكافحة النار بالنار

الدروس من بحثنا واضحة: لا يمكنك مكافحة الآلة بصف طوابير.

إذا كان المهاجم يمكنه تكرار كوده في ثوان، والدفاع يحتاج إلى إنسان لكتابة قاعدة الكشف في ساعات، فقد خسرت بالفعل. لا مفر من أن يكون الدفاع مسلحًا بالذكاء الاصطناعي يعمل بنفس السرعة – التفكير، والتحقق، ومانع سريع hơn من المهاجم يمكنه الطفرة.

الهجوم تطور. يجب أن يتطور الدفاع الآن.