Κυβερνοασφάλεια

Οι απειλές του AI είναι μια αποσπάσμENE. Το πραγματικό πρόβλημά σας είναι πιο κοντά στο σπίτι

mm
Δημοσιεύτηκε
Ενημερώθηκε

Ας είμαστε ειλικρινείς: Οι κυβερνοεπιθέσεις που βασίζονται στο AI είναι μια τρομακτική προοπτική. Nhưng δεν είναι η μεγαλύτερη απειλή για την επιχείρησή σας.

Η μεγαλύτερη απειλή είναι η αποσπάσμENE που δημιουργούν.

Για πάνω από 15 χρόνια, έχω δει την ίδια ιστορία να αναπτύσσεται. Η ηγεσία τρομοκρατείται από την τελευταία “υπερ-απειλή του AI”, ενώ η ομάδα ασφαλείας ακόμη παλεύει να απαντήσει σε βασικά ερωτήματα όπως “Πού βρίσκεται τα πιο ευαίσθητα δεδομένα των πελατών μας;” ή “Ποιος είναι υπεύθυνος για την ενημέρωση του κρίσιμου συστήματος;” Χασομερούμε με νέα εργαλεία ενώ οι μηχανικοί τραβούν σε τελευταίες προθέρμανσεις συμμόρφωσης και κρίσιμες ευπαθειές υποβαθμίζονται.

Αυτή είναι η κλασική “εlegαντi κλείδi σε μια οθόνη πόρτας” πρόβλημα. Οι οργανισμοί βάζουν AI-κίνητα αμυντικά, αλλά οι επιτιθέμενοι χρησιμοποιούν AI με λιγότερους κανόνες και περισσότερη ευελιξία για να περάσουν από τις θεμελιώδεις лакκώσεις στη διαδικασία, την ιδιοκτησία και τον πολιτισμό. Για τις μεσαίες εταιρείες, ειδικά, η αγνόηση των βασικών είναι μια πρόσκληση να γίνουν η επόμενη ιστορία προειδοποίησης.

Γιατί οι στατικές αμυντικές λύσεις αποτυγχάνουν σε ένα δυναμικό κόσμο

Όταν ξεκίνησα την καριέρα μου, η ασφάλεια ήταν ένας κατάλογος: αντί-ιός, ενημερώσεις και ισχυρά τείχη προστασίας. Αυτός ο κόσμος έχει πέρασει. Σήμερα, το πολύπλοκο malware ξαναγράφει τον εαυτό του για να αποφύγει τις υπογραφές, και τα botnets εκκίνηση επιθέσεων γρηγορότερα από ό,τι οποίος άνθρωπος μπορεί να ανταποκριθεί.

Ο κρυπτογραφημένος трафик έχει γίνει ο αγαπημένος κρυψώνα του αντιπάλου. Η αναφορά ThreatLabz του Zscaler για το 2024 βρήκε ότι 几乎 90% του malware παραδίδεται μέσω κρυπτογραφημένων καναλιών. Αυτό σημαίνει ότι εννέα στα δέκα απειλές είναι αόρατες στα κλασικά εργαλεία που δεν μπορούν να ελέγξουν αυτόν τον трафик.

Το πραγματικό φιλτράρισμα, ωστόσο, δεν είναι μόνο η τεχνολογία, αλλά και η οργανωτική τριβή. Έχω δει εξαιρετικές ομάδες ασφαλείας να ξοδεύουν εβδομάδες μόνο για να πάρουν έγκριση για να κλείσουν ένα γνωστό κενό. Στο χρόνο που χρειάζεται για να προγραμματιστούν οι συναντήσεις, ένας αυτοματοποιημένος επιτιθέμενος μπορεί να μπει και να βγει. Το να είναι στατικός δεν είναι πλέον μια επιλογή. Τα προγράμματα ασφαλείας πρέπει να είναι ευαίσθητα στο контέκστ και να εστιάζουν στα γρήγορα κινούμενα μέρη της επιχείρησης.

Η βιομηχανοποίηση της κυβερνοεγκλήματος

Αυτό δεν πρέπει να εκπλήσσει κανέναν. Οι επιτιθέμενοι είναι επιχειρηματίες που διευθύνουν μια επιχείρηση. Απλώς υιοθετούν νέα τεχνολογία για να βελτιώσουν το ROI τους – όπως και εμείς. Το AI βοηθά στην βιομηχανοποίηση των επιχειρήσεών τους.

  • Φισινγκ-ως-Υπηρεσία, Σουπερ-φορτίωση: Το φισινγκ παραμένει ο #1 τρόπος εισόδου. Το FBI και η IBM το αναφέρουν ως τον πρώτο διευθυντή πρόσβασης για χρόνια. Τώρα, με εργαλεία γενετικού AI όπως το “FraudGPT”, οι εγκληματίες μπορούν να δημιουργήσουν τέλεια προσαρμοσμένες, χωρίς γραμματικές φισινγκ εκστρατείες σε μια κλίμακα που δεν έχουμε δει ποτέ.
  • Η φωνή είναι ένα ψέμα: Η φωνητική φισινγκ (“vishing”) εκρήγνυται. Η CrowdStrike είδε μια 442% αύξηση καθώς οι επιτιθέμενοι χρησιμοποιούν AI-κλωνοποιημένες φωνές για να μιμηθούν εκτελεστές και να πείσουν τους υπαλλήλους να μεταφέρουν ταμεία. Μια βρετανική εταιρεία ενέργειας έχασε πάνω από $243.000 με αυτόν τον τρόπο από μια seule κλήση.
  • Η άνοδος του αυτοματοποιημένου αντιπάλου: Οι κυνηγοί απειλών της CrowdStrike βλέπουν πλέον πλήρως αυτοματοποιημένες εκστρατείες – από AI-γενετικά βιογραφικά με deepfake βίντεο συνεντεύξεων σε εισβολές χωρίς malware που ζουν εξ ολοκλήρου στο cloud.

Οι αμυνόμενοι αντιμετωπίζουν απειλές που προσαρμόζονται και επιμένουν με ελάχιστη ανθρώπινη επιτήρηση. Οι επιτιθέμενοι έχουν αυτοματοποιήσει για χρόνια, το AI απλώς έβαλε την εργασία τους σε υπερ-ταχύτητα.

Για να τους κρατήσουμε, είναι ώρα να απελευθερωθούμε από τις παλιές, λίστα-κίνητες προσεγγίσεις για τη συμμόρφωση και την κυβερνοασφάλεια. Η αναζήτηση για ένα ασημένιο βόλι με το τελευταίο εργαλείο στην αγορά δεν είναι η απάντηση. Αυτό όμως είναι μια μοναδική ευκαιρία να επιστρέψουμε στις βασικές αρχές.

Παύσετε να ρωτάτε “Είμαστε συμμορφωμένοι;” Αρχίστε να ρωτάτε “Είμαστε ανθεκτικοί;”

Ακόμη και καθώς το AI ανασχηματίζει το τοπίο, οι περισσότερες παραβιάσεις συμβαίνουν ακόμη λόγω παραμελημένων βασικών. Βέβαια, η φωνή του CEO ήταν κλωνοποιημένη, αλλά η πραγματική αποτυχία ήταν πιθανότατα μια σπασμένη διαδικασία οικονομικής έγκρισης. Το AI ήταν απλώς το τελικό βήμα σε μια αλυσίδα παραμελημένων βασικών.

Το AI δεν χρειάζεται να βρει ένα zero-day exploit όταν μπορεί να βρει ένα πενταετές αμετακίνητο διακομιστή ή έναν dévelopπερα με δικαιώματα διαχειριστή σε όλα. Η αγορά ενός ακόμη AI-κίνητου εργαλείου ασφαλείας δεν θα sửaσει μια σπασμένη κουλτούρα. Το AI πρέπει να ενισχύσει ισχυρές διαδικασίες, όχι να τις αντικαταστήσει.

Αυτός είναι ο τόπος όπου η ηγεσία συχνά κάνει λάθος. Έχω παραβρεθεί σε δωμάτια του διοικητικού συμβουλίου όπου το ερώτημα ήταν, “Είμαστε συμμορφωμένοι;” Το καλύτερο ερώτημα είναι, “Κάνει το πρόγραμμα ασφαλείας μας την επιχείρησή μας ισχυρότερη;”

Η συμμόρφωση γίνεται ένα ερώτημα ελέγχου. Οι ομάδες προϊόντων τρέχουν μπροστά, οι μηχανικοί λαμβάνουν καθήκοντα ασφαλείας χωρίς πόρους και οι ηγέτες υποθέτουν ότι μια καθαρή ενημέρωση σημαίνει ότι η επιχείρηση είναι ασφαλής. Δεν είναι. Η λύση δεν είναι περισσότερα εργαλεία, αλλά ισχυρότερη σκαλωσιά από πάνω προς τα κάτω. Η ασφάλεια πρέπει να συνδεθεί απευθείας με την ανάπτυξη της επιχείρησης και την ακεραιότητα του προϊόντος.

Ένας Πραγματικός Οδηγός για την Εποχή του AI

Οι εταιρείες Fortune 500 μπορούν να ρίξουν χρήματα σε αυτό το πρόβλημα. Οι μεσαίες εταιρείες πρέπει να είναι πιο έξυπνες. Vậy, τι κάνετε στην πραγματικότητα;

  1. Διορθώστε την βάση σας πρώτα. Πριν αγοράσετε ένα ακόμη εργαλείο, βεβαιωθείτε ότι έχετε μια ροκ-στεady απογραφή των δεδομένων σας, ασφαλή έλεγχοι πρόσβασης και μια διαδικασία ενημέρωσης που λειτουργεί πραγματικά.
  2. Βάλτε το AI στην ατζέντα. Εκτελέστε επιτραπέζιες ασκήσεις που βασίζονται σε επιθέσεις που κινήθηκαν από το AI. Κάντε το μια τακτική αναφορά του διοικητικού συμβουλίου, ώστε να αντιμετωπίζεται ως ένα επιχειρηματικό ρίσκο, όχι ως πρόβλημα IT.
  3. Επικεντρωθείτε στη συμπεριφορά, όχι μόνο στα στατικά σήματα. Προτεραιότητα στα εργαλεία που εντοπίζουν περίεργη δραστηριότητα – όπως ένα λογαριασμό χρήστη που πρόσφατα πρόσβασε μια βάση δεδομένων που δεν την είχε ξανααγγίξει – πάνω από εργαλεία που κυνηγούν μόνο γνωστό malware.

Το AI Δεν Είναι ο Εχθρός—Η Αυταπάτη είναι

Το AI δεν είναι ένα δίκοπο μαχαίρι, είναι ένα μεγεθυντικό γυαλί. Κάνει τις καλές διαδικασίες πιο αποτελεσματικές και τις κακές διαδικασίες καταστροφικές.

Οι επιτιθέμενοι θα έχουν πάντα νέα εργαλεία. Το πραγματικό ερώτημα είναι αν η στρατηγική ασφαλείας σας είναι χτισμένη σε μια στερεή βάση ανθεκτικότητας ή απλώς καταδιώκει το επόμενο λαμπερό αντικείμενο. Η εποχή της ασφαλείας “βάζω και ξεχνάω” έχει περάσει. Οι οργανισμοί που χτίζουν μια κουλτούρα ασφαλείας και νικάνε τις βασικές αρχές θα κερδίσουν, ακόμη και στην εποχή των αυτόνομων απειλών.

mm

Ο Nicholas Muy είναι ο CISO στη Scrut Automation, dẫnοντας τις κυβερνοασφαλιστικές πρωτοβουλίες σε συμμόρφωση και διαχείριση ризίκων AI. Με περισσότερη από 15 χρόνια εμπειρίας σε μοντέλα απειλών που βασίζονται στο AI και στρατηγική ασφάλειας επιχειρήσεων, έχει προστατεύσει περιβάλλοντα Fortune 500 και έχει συμβάλλει στην εθνική κυβερνοπολιτική στο Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ.