Ajatusjohtajat
Tekoäly laajentaa nollapäivän etsintäalustaa

Vuosiin, nollapäivän haavoittuvuudet ovat olleet vaarallisia, mutta ne olivat aikaisemmin harvinaisia ja vaikeasti hyödynnettävissä laajassa mittakaavassa. Yhden löytäminen vaati kärsivällisyyttä, erikoistunutta taitoa ja syvää ymmärrystä ohjelmistokäyttäytymisestä. Kuten Nicole Perlroth ja muut journalistit ovat raportoineet, nollapäivien kauppa on ollut olemassa, ja valtiot ovat kohdelleet niitä erittäin arvokkaina kyberaseina.
Tänään nollapäivät ovat laajasti saatavilla. Melkein kuka tahansa voi löytää uusia itse, avoimen lähdekoodin tekoälymallien avulla tai omistetuilla tekoälyjärjestelmillä, kuten Claude ja OpenAI.
Sama kehitys, joka tekee tekoälystä hyödyllistä koodin kirjoittamiseen, lokien yhteenvetoon ja turvallisuustoimintojen nopeuttamiseen, voidaan myös käyttää haavoittuvuuksien etsimiseen, haavoittuvuuksien ketjuttamiseen ja hyökkäysreittien testaamiseen koneen nopeudella. Hyökkääjien ei enää tarvitse manuaalisesti tarkastella jokaista riippuvuutta, kääntää sovelluksia tai viettää viikkoja etsimässä heikkoutta. Tekoälyagentit voivat automatisoida suurimman osan siitä työstä, tutkimalla koodipohjaa, skannaamalla alttiita järjestelmiä, luomalla hypoteeseja ja toistamalla niitä, kunnes ne löytävät jotain hyödyllistä.
Tämä muuttaa nollapäivän hyödyntämisen taloutta. Ihmishyökkääjä voi vain seurata lupaavimpia kohteita. Tekoälyavusteinen hyökkääjä voi tarkastella paljon enemmän ohjelmistoa, paljon nopeammin, vähemmän väsymystä. Vaikka useimmat yritykset epäonnistuvat, suuri määrä yrityksiä tekee onnistumisen todennäköisemmäksi. KyberTurvallisuudessa mittakaava usein muuttaa harvinaiset tapahtumat rutiinitapahtumiksi.
Tekoäly laajentaa nollapäivän etsintäalustaa
Tämä on syynä, miksi nollapäivät muuttuvat kiireellisemmäksi yritysrisiksi. Moderni ohjelmisto on liian suuri, liian monimutkainen ja liian riippuvainen kolmannen osapuolen komponenteista, jotta mikään organisaatio voisi täysin ymmärtää jokaisen heikkouden ennen hyökkääjää. Useimmat yritykset luottavat laajaan sekoitukseen kaupallisia alustoja, avoimen lähdekoodin kirjastoja, pilvipalveluja, SaaS-sovelluksia, API:ja, identiteettijärjestelmiä, reuna-laitteita ja sisäisiä työkaluja. Jokainen kerros esittää potentiaalisia haavoittuvuuksia. Jokainen integraatio luo uusia hyökkäysreittejä. Jokainen päivitys voi hiljaisesti muuttaa riskiprofiilia.
Epämukava totuus on, että on valtava määrä löytämättömiä haavoittuvuuksia ohjelmistojen kaikissa muodoissa. Osa niistä on vanhassa koodissa. Osa niistä on uudessa koodissa, jota kirjoitetaan paineen alaisena. Osa tulee riippuvuuksista, joita harva organisaatio seuraa tarpeeksi tarkasti. Osa ilmenee järjestelmien vuorovaikutuksesta, vaikka jokainen yksittäinen komponentti näyttää turvalliselta. Tekoälyagentit ovat hyvin soveltuva tutkimaan monimutkaisuutta, koska ne voivat etsiä laajasti, pysyvästi ja sopeutuvasti.
Puolustajat kohtaavat mahdottoman korjausongelman. Et voi korjata haavoittuvuutta, jota et tiedä olevan olemassa. Et voi priorisoida jokaista teoreettista heikkoutta yhtä paljon. Et voi täysin testata jokaista ohjelmiston, konfiguraation ja käyttäjän käyttäytymisen yhdistelmää ennen käyttöönottoa. Jopa kokeneet haavoittuvuuden hallintaojelmat ovat usein rakennettu tunnettujen CVE:iden, valmistajan ohjeiden ja uhka-integrointitietojen ympärille. Nämä ovat välttämättömiä, mutta ne saapuvat löytämisen jälkeen. Maailmassa, jossa tekoälynopeutettu nollapäivän metsästys on olemassa, löytäminen saattaa tapahtua ensin hyökkääjän käsissä.
Tämä luo kasvavan “paskahytti”-pelin. Haavoittuvuus löytyy. Korjaus kiirehditään. Hyökkäys siirtyy naapurijärjestelmään, toiseen riippuvuuteen tai uuden alttiin rajapintaan. Turvallisuustiimit reagoivat, mutta takaiskuja kasvaa jatkuvasti. Tekoäly lisää molemmilla puolilla vasaran nopeutta, mutta hyökkääjät usein hyötyvät ensin, koska heidän tarvitsee vain löytää yksi toimiva reitti. Puolustajien on suojattava kaikkia.
Pitkän aikavälin vastaus saattaa tulla tekoälystä itsestään. Kun tekoälyjärjestelmät paranevat koodin luomisessa, tarkastamisessa ja testaamisessa, ne pitäisi auttaa eliminoimaan koko haavoittuvuusluokkia ennen kuin ohjelmisto saavuttaa tuotantovaiheen. Turvallinen kehitys voi tulla paljon käytännöllisemmäksi, kun tekoäly voi jatkuvasti tarkastaa koodia, tunnistaa epäturvallisia malleja, mallintaa hyökkäysten todennäköisyyttä ja suositella korjauksia reaaliajassa. Lopulta saattaa tulla pisteen, jossa yleiset muistivirheet, injektiovirheet, todennusvirheet ja epäturvalliset konfiguraatiot ovat dramaattisesti vähentyneitä, koska tekoälyavusteinen insinööritö löytää ne aikaisin. Meidän työssämme DeepTempossa näemme jo enemmän muistin turvallisia kieliä, kuten Rustia, ohjelmistossamme; vaikka Rust on vaikeampi joissakin suhteissa, se on turvallisempi, ja koodaaminen on tullut helpommaksi tekoälyn ansiosta.
Puolustajien on siirryttävä korjausnopeudesta hyökkäyksen kestävyyteen
Vaikka tulevaisuus, jossa kaikki ohjelmisto on korjattu tai uudelleenkirjoitettu turvallisemmassa muodossa, on arvokas, se on epäselvä, kuinka teoreettisesti mahdollista se on. Joka tapauksessa tiedämme, ettei se ole vielä saavutettu ja ettei se tule saavutettua useaan vuoteen. Tänään tekoälykoodi voi edelleen esittää haavoittuvuuksia. Ja tekoälyturvallisuustyökalut voivat edelleen olla kontekstista. Nykyiset yritysympäristöt sisältävät edelleen kymmeniä vuosia kertynyttä teknistä velkaa. Hyökkääjät käyttävät jo automaatiota liikkua nopeammin, kun taas puolustajat ovat edelleen integroimassa tekoälyä olemassa oleviin työvirtoihin, hyväksymismenettelyihin ja riskimalleihin ja löytävät, että LLM:t eivät ole hyödyllisiä hyökkäysten havaitsemisessa.Lisätietoja siitä, miten LLM:t pärjäävät havainnoissa, voidaan löytää viimeaikaisista avoimen lähdekoodin vertailuista, kuten SOC Bench. Esimerkiksi SOC Benchin insinöörit löysivät, että parhaat LLM:t ovat virheellisten positiivisten havaintojen 20 prosentin rajassa ja maksaisivat satoja miljoonia dollareita päivässä tyypillisen suuren turvallisuusympäristön mittakaavassa.Näiden kaikkien tekijöiden vuoksi tekoälyn nousu suosii tällä hetkellä hyökkääjiä.
Valitettavasti organisaatioiden on oletettava, että jotkut tuntemattomat haavoittuvuudet voidaan löytää vihollisilla ennen niiden julkistamista. Mitä enemmän, kiitos parannettua phishaus- ja laajan identiteettien kaappaamisen, hyökkääjät voivat yksinkertaisesti kirjautua sisään.Lyhykäisyyteen, turvallisuusstrategia ei voi riippua ainoastaan ehkäisystä. Ehkäisy on edelleen kriittinen, mutta se on yhdistettävä nopeampaan havaintoon, vahvempiin käyttäytymisanalytiikoihin ja tiukempaan rajoittamiseen.
Kuten useat organisaatiot ovat viime aikoina ehdottaneet, mukaan lukien NIST, Five Eyes ja National Academy of Sciences, tekoälyhyökkääjien nousun vuoksi turvallisuustiimien on tarkasteltava lähestymistapoja ymmärtääkseen, miltä normaali näyttää käyttäjien, koneiden, identiteettien, sovellusten ja tietovirtojen ympärillä. Nollapäivän hyökkäykset usein onnistuvat, koska ne ohittavat tunnetut signatuurit, mutta ne jättävät jäljet, joita nykyisten voimakkaimpien luokittelumallien voidaan nähdä ja erottaa. Esimerkiksi hyökkäykset voivat näyttää epätavallisia pääsyjä, poikkeuksellista etuoikeuksien käyttöä, odottamattomia prosessitoimintoja, outoja todennusvirtoja tai tietoliikennettä, joka yhdistettynä ei vastaa ympäristön perusviivaa. Tekoäly voidaan avustaa puolustajia löytämään nämä signaalit aikaisemmin, erityisesti kun itse hyökkäys on uusi.
Lisäksi yritysten on vähennettävä rikkomisen vaikutusalue. Segmentointi, vähimmäisyleiskäyttö, vahvat identiteettikontrollit, jatkuva seuranta ja nopea eristäminen ovat tärkeämpiä, kun tuntemattomia haavoittuvuuksia hyödynnetään. Jos hyökkääjä käyttää nollapäivää pääsyyn, seuraava kysymys on, kuinka pitkälle he voivat edetä ennen havaitsemista. Mitä pienempi ikkuna, sitä vähemmän arvokas hyökkäys on.
Tähän hetkeen ei ole puhdistavaa pysäytysnappia. Tekoälyagentit jatkavat parantumista. Hyökkäävien kokeilujen nopeutuminen jatkuu. Järjestelmien määrä, joita on arvo tutkia, jatkuu kasvamista. Turvallisuusyhteisön tehtävä on varmistaa, että puolustavan tekoälyn kehitys tapahtuu yhtä nopeasti.
Nollapäivät ovat aina palkinneet nopeutta, luovuutta ja epäsymmetriaa. Tekoälyagentit vahvistavat kaikkia näitä. Organisaatiot, jotka sopeutuvat, käsittelevät tekoälyä enemmän kuin vain tuottavuuden kerroksena turvallisuustiimille. He myös käyttävät tarkoitukseen suunniteltua tekoälyä tunnistamaan tuntemattomat uhkat, priorisoida näennäisesti heikkoja signaaleja, jotka yhdistettynä viittaavat rikkomiseen, ja reagoida ennen kuin hyödynnetty haavoittuvuus muuttuu liiketoiminnan laajuisksi kriisiksi.












