Kybernetická bezpečnost

Hrozby umělé inteligence jsou odvrácením pozornosti. Vaším skutečným problémem je něco blíže domu

mm
Publikováno
Aktualizováno

Buďme upřímní: kybernetické útoky s využitím umělé inteligence jsou děsivou perspektivou. Ale nejsou největší hrozbou pro vaši firmu.

Největší hrozbou je odvrácení pozornosti, které vytvářejí.

Po dobu více než 15 let jsem viděl, jak se stejný scénář opakoval. Vedení se lekne nejnovější “superhrozby umělé inteligence”, zatímco bezpečnostní tým stále bojuje s odpověďmi na základní otázky, jako je “Kde je naše nejcitlivější zákaznická data?” nebo “Kdo je zodpovědný za opravu toho kritického systému?” Stíháme nové nástroje, zatímco inženýři jsou vtahováni do poslední minuty compliance cvičení a kritické zranitelnosti jsou deprioritizovány.

Toto je klasický “fancy zámek na obrazovce” problém. Organizace se spěchají nasadit obrany poháněné umělou inteligencí, ale útočníci používají umělou inteligenci s méně pravidly a větší agilitou, aby prošli fundamentálními mezerami v procesu, vlastnictví a kultuře. Pro firmy středního trhu je zvláště ignorování základů pozváním stát se další varovnou historkou.

Proč statické obrany selhávají v dynamickém světě

Když jsem začal svou kariéru, bezpečnost byla seznamem: antivir, opravy a silné firewally. Ten svět je dávno pryč. Dnes polymorfní malware přepisuje sám sebe, aby unikl podpisům, a botnety spouštějí útoky rychleji, než může reagovat jakýkoli člověk.

Šifrovaný provoz se stal útočníkovým největším úkrytem. Zpráva Zscaler ThreatLabz z roku 2024 zjistila, že téměř 90 % malwaru je nyní doručeno přes šifrované kanály. To znamená, že devět z deseti hrozeb je neviditelných pro starší nástroje, které nemohou prohlížet tento provoz.

Skutečným úzkým místem je však organizační tření. Sledoval jsem skvělé bezpečnostní týmy, které strávily týdny pouze tím, že se snažily získat souhlas k uzavření známé mezery. V době, kdy se schází schůzky, může automatizovaný útočník být uvnitř a ven. Být statickým již není možností. Bezpečnostní programy musí být kontextově vědomé a zaměřené na rychle se pohybující části podniku.

Industrializace kyberzločinu

To by nemělo nikoho překvapit. Útočníci jsou podnikatelé, kteří řídí podnik. Jednoduše přijímají novou technologii, aby zlepšili svůj ROI – stejně jako my. Umělá inteligence jim pomáhá industrializovat jejich operace.

  • Phishing jako služba, Supercharged: Phishing je stále nejčastějším způsobem, jak se útočníci dostanou dovnitř. FBI a IBM jej uvádějí jako hlavní počáteční vektor přístupu po několik let. Nyní s generativními nástroji umělé inteligence, jako je “FraudGPT”, mohou zločinci vytvářet dokonalé, bezchybné kampaně phishingu v rozsahu, který jsme dosud neviděli.
  • Hlas je lež: Phishing pomocí hlasu (“vishing”) exploduje. CrowdStrike zaznamenal 442% nárůst, protože útočníci používají AI-klonované hlasy k napodobení výkonných ředitelů a oklamání zaměstnanců, aby převodili peníze. Britská energetická firma ztratila přes 243 000 dolarů tímto způsobem z jediného hovoru.
  • Vzestup automatizovaného protivníka: Lovci hrozeb z CrowdStrike nyní vidí kompletní automatizované kampaně – od AI-generovaných životopisů s deepfake video rozhovory až po malware-free infiltrace, které žijí zcela v cloudu.

Obránci čelí hrozbám, které se přizpůsobují a přetrvávají s minimálním lidským dohledem. Útočníci automatizují již roky; umělá inteligence pouze urychluje jejich workflow.

Abychom drželi krok, je nejvyšší čas, abychom se zbavili zastaralých, checklist-driven přístupů k compliance a kybernetické bezpečnosti. Hledání stříbrné kulky s nejnovějším nástrojem na trhu není odpovědí. Říkáme, že je to jedinečná příležitost vrátit se k základům.

Přestaňte se ptát “Jsme v souladu?” Začněte se ptát “Jsme odolní?”

I když umělá inteligence mění krajinu, většina porušení stále dochází kvůli zanedbaným základům. Ano, hlas toho CEO byl klonován, ale skutečné selhání bylo pravděpodobně rozbitý finanční schvalovací proces. Umělá inteligence byla pouze posledním krokem v řetězu zanedbaných základů.

Umělá inteligence nemusí najít zero-day exploit, když může najít pět let starý nezabezpečený server nebo vývojáře s administrativními právy ke všemu. Nákup dalšího bezpečnostního nástroje poháněného umělou inteligencí nezachrání rozbitou kulturu. Umělá inteligence by měla posílit silné procesy, ne nahradit je.

To je místo, kde vedení často chybuje. Byl jsem v zasedacích místnostech, kde se ptali: “Jsme v souladu?” Lepší otázka je, “Zajišťuje náš bezpečnostní program, že náš podnik je silnější?”

Compliance se stává cvičením s kontrolním seznamem. Produktové týmy spěchají dopředu, inženýři dostávají bezpečnostní úkoly bez zdrojů a vedení předpokládá, že čistá auditní zpráva znamená, že podnik je v bezpečí. To není pravda. Řešením není více nástrojů, ale silnější podpěra shora. Bezpečnost musí být přímo vázána na podnikový růst a integritu produktu.

Pragmatický playbook pro éru umělé inteligence

Společnosti Fortune 500 mohou házet peníze na tento problém. Společnosti středního trhu musí být chytřejší. Co tedy vlastně děláte?

  1. Opravte svou základnu nejdříve. Předtím, než koupíte další nástroj, ujistěte se, že máte pevný inventář vašich dat, nezranitelné kontrolní mechanismy a proces oprav, který skutečně funguje.
  2. Umístěte umělou inteligenci na program. Proveďte stoly s cvičeními založenými na útocích poháněných umělou inteligencí. Udělejte z toho pravidelnou část výkazu rady, aby se s tím zacházelo jako s podnikatelským rizikem, ne jako s IT problémem.
  3. Soustřeďte se na chování, ne pouze na statické signály. Prioritizujte nástroje, které detekují divné aktivity – jako je uživatelský účet, který náhle přistupuje k databázi, ke které se nikdy předtím nepřistupoval – nad nástroji, které pouze loví známý malware.

Umělá inteligence není nepřítelem – lenost je

Umělá inteligence není dvojí meč; je to lupa. Zvyšuje efektivitu dobrých procesů a činí katastrofálními špatné procesy.

Útočníci vždy budou mít nové nástroje. Skutečnou otázkou je, zda je vaše bezpečnostní strategie postavena na solidním základě odolnosti, nebo zda pouze honí další lesklý objekt. Éra nastavení a zapomenutí bezpečnostních opatření je u konce. Organizace, které budují kulturu bezpečnosti a zvládají základy, budou vyhrávat, i v éře autonomních hrozeb.

mm

Nicholas Muy je CISO ve společnosti Scrut Automation, který vede kybernetické iniciativy v oblasti compliance a řízení rizik umělé inteligence. S více než 15 lety zkušeností v oblasti modelování hrozeb s využitím umělé inteligence a strategie kybernetické bezpečnosti podniků chránil prostředí Fortune 500 a přispěl k národní kybernetické politice na ministerstvu vnitřní bezpečnosti USA.