Ajatusjohtajat

Tekoälyhype pitkittää ihmisen päätöksiin liittyvää haavoittuvuutta

mm
Julkaistu
Päivitetty
A photorealistic, wide-angle shot of a middle-aged IT professional in a bright, modern office, staring intensely at a computer monitor with a look of stressed urgency as he hovers his finger over a mouse to click a system pop-up.

Tekoäly on muuttanut tapaa, jolla organisaatiot ajattelevat uhkia, ja huomio kohdistuu usein laajamittaisiin operaatioihin, automaattiseen tiedusteluun ja yhä vakuuttavampiin mimiikkimenetelmiin. Nämä kehityssuunnat ansaitsevat huomion, mutta ne ovat myös vääristäneet alan ymmärrystä siitä, mistä yleisin altistus alkaa.

Vaikka organisaatiot keskittyvät edistyneempiin, tekoälyyn perustuviin uhkiin, hyökkääjät pääsevät edelleen ovesta manipuloimalla ihmisen vaistoa. ClickFix-hyökkäykset, joka on kehittynyt muoto sosiaalisen insinöörityön, muodostivat 47% alkuperäisistä pääsytapauksista viime vuonna. Tämä osoittaa, kuinka usein loukkaus alkaa henkilön nopeasta päätöksestä paineen alla, eikä teknisestä aukosta.

Ihmisen Vastauskuilu

ClickFix-hyökkäykset ovat tehokkaita, koska ne jäljittelevät teknisten tiimien koulutuksessa käytettyjä signaaleja. Ne eivät riipu ohjelmistovirheistä tai kokoonpanovirheistä. Sen sijaan ne hyödyntävät yksinkertaista odotusta: kun jotain näyttää epäilyttävältä, joku yrittää korjata sitä välittömästi.

Tämä vaisto on voimistunut teknisissä ympäristöissä, joissa käytettävyys, nopeus ja nopea toiminta ovat olennaisia odotuksia. Järjestelmänvalvojat ja tukihenkilöstö on koulutettu vastaamaan nopeasti varoituksiin, järjestelmän ohjelmiin tai pääsypyynnöksiin. Hyökkääjät ymmärtävät tämän paineen ja suunnittelevat kampanjoita, jotka muistuttavat tarkasti signaaleja, joita ammattilaiset on koulutettu tunnistamaan.

Hetki, Jolloin asiat Menevät Väärin

Yksi ClickFix-tapauksien haasteellinen asia on, että ratkaiseva hetki näyttää normaalilta. Käyttäjä hyväksyy kehotteen, nollaa pääsyn tai valtuuttaa muutoksen. Itse toiminto sulautuu arkipäiväiseen toimintaan, mikä luo haasteen perinteisille turvallisuustyökaluille. Nämä järjestelmät havaitsevat tekniset poikkeamat, mutta eivät voi helposti tulkita nopean päätöksen taustaa.

Tyypillinen järjestys saattaa näyttää tältä: Käyttäjä kohtaa selaimen varoituksen, jonka mukaan istunto on vanhentunut tai vaadittu liite on päivitettävä. Hän klikkaa kehotetta, joka suorittaa PowerShell-komennon taustalla – yhden, jota hän ei näe – kun taas näkyvä liittymä kertoo vain, että ongelma on ratkaistu. Koko vuorovaikutus kestää alle 30 sekuntia. Järjestelmän lokissa ei ole mitään, mikä merkitsee sitä epätavallisena, koska teknisesti mitään epätavallista ei tapahtunut. Laillinen käyttäjä suoritti komennon lailliseksi koneella.

Tämä johtaa useisiin seurauksiin. Tänään 74% loukkauksista liittyi ihmiseen, mukaan lukien sosiaalisen insinöörityön, virheiden ja väärinkäytöksen. Ihmisen käyttäytymiseen liittyvät riskit harvoin näkyvät kojussa. Ohjaimet eivät ole ongelma. Puuttuva kerros on näkyvyys siihen, mitkä päätökset ovat todennäköisesti kiireisiä ja miten nämä päätökset luovat aukkoja hyökkääjille.

Ihmisen Virheen Uudelleenarviointi

Ihmisen käyttäytyminen ei pitäisi käsitellä erillisenä koulutusongelmana; se pitäisi nähdä turvallisuusarkkitehtuurin ydinosaamisena.

Sen sijaan, että sitä kohdellaan ennustamattomana tuloksena, organisaatiot pitäisi kohdella sitä mitattavana riskitekijänä. Turvallisuusjohtajat voivat saavuttaa tämän sisällyttämällä ihmiskeskeisiä oivalluksia puolustusasemiinsa. Järjestelmiä pitäisi suunnitella realististen odotuksien mukaisesti siitä, miten ihmiset toimivat, eikä oleteta, että he aina toimivat ihanteellisissa olosuhteissa.

Mittaaminen tässä on konkreettista, ei abstraktia. Organisaatiot voivat seurata päätöksien nopeutta, kuinka nopeasti käyttäjät hyväksyvät merkittäviä kehoitteita huippuajan aikana, ja käyttää hyväksymismallin seurantaa havaitsemaan poikkeamia, kuten iltapäivän jälkeisiä valtuutuksia tai toistuvia varoituksia. Käyttäytymisen perusviiva, sovellettuna yksilö- tai roolitasolle, antaa turvallisuustiimille vertailukohteen siitä, mitä “normaali” näyttää, jotta poikkeamat rekisteröityvät signaalina eikä meluna.

Haavoittuvuuden Syyt

Puolustusten parantaminen ClickFix-tyyppisissä hyökkäyksissä alkaa ymmärtämällä olosuhteita, jotka johtavat kiireisiin päätöksiin. Johtajat voivat tutkia malleja, kuten nopeita hyväksyntöjä, toistuvia lähes menetyksiä tai epäjohdonmukaisia vastauksia järjestelmän kehoituksiin. Nämä havainnot paljastavat, missä vaisto saattaa ohittaa varovaisuuden.

Työnkulkuja pitäisi myös arvioida virheiden kutsuville paineille. Merkittävät toimet hyötyvät pienistä vahvistusaskelista, jotka antavat käyttäjille mahdollisuuden pysähtyä ja arvioida, mitä he hyväksyvät. Samalla arkisia tehtäviä pitäisi sujuvoittaa vähentääksesi uupumusta, joka rohkaisee ihmisiä klikkaamaan kehoituksia huolellisesti.

Organisaatiot voivat saada lisätietoa käyttämällä simulaatioita, jotka heijastelevat realistista painetta. Perinteiset phishing-testit ovat hyödyllisiä tietoisuuden lisäämisessä, mutta eivät arvioi, miten joku reagoi käsitellessään useita tehtäviä tai hallitsemalla kiireellistä operatiivista huolta. Skenaariot, jotka kokoavat yhteen aikapaineen, myöhäisen päivän uupumusikkunat ja työnkulun keskeytykset, jotka pakottavat asiayhteyden muutoksen hetkeä ennen korkean panoksen kehotusta, paljastavat käyttäytymismalleja, jotka ovat muuten vaikeasti havaittavissa.

Teorian mukaista on myös suunnitella tapahtumia, jotka alkavat lailllisista toimista. Monet tiimit keskittyvät havaitsemaan laittoman käyttäytymisen. Käytännössä hyökkäyksen ensimmäinen merkittävä merkki saattaa olla hyväksytty kehote, jota ei pitäisi koskaan hyväksyä. Tämän odotuksen sisällyttäminen vastatoimiin tekee helpommaksi havaita varhaiset merkit, jotka muuten jäävät huomaamatta.

Haavoittuvuuden Vahvistaminen

Tekoälyyn perustuvat uhkat jatkavat kehittymistä, mutta monet loukkaukset johtavat edelleen ihmisen päätökseen tehdyn hetkellä. Tämän todellisuuden käsittely ei vaadi toimintojen hidastamista tai automaation hylkäämistä. Se vaatii järjestelmien ja työnkulkujen suunnittelua, jotka heijastelevat, miten ihmiset luonnostaan toimivat, ja rakentaa suojauksia kohtiin, joissa vaisto taipuu ohittamaan varovaisuuden.

Organisaatiot, jotka sisällyttävät ihmisen päätöksentekoon ymmärrykseensä hyökkäyspinnasta, saavat tarkemman käsityksen operatiivisesta riskistä. Tämä johtaa vahvemmista puolustuksista, jotka tukeutuvat sekä teknisiin ohjaimiin että realistisempaan ymmärrykseen siitä, miten käyttäjät vuorovaikuttavat järjestelmien kanssa arkipäiväisessä työssä.

mm

Ross Filipekilla on yli 20 vuoden kokemus hallitun kyberTurvallisuuden palvelujen teollisuudesta sekä insinöörinä että konsulttina. Corsican pyrkimyksien johtamisen lisäksi hän tarjoaa vCISO-konsulttipalveluita monille Corsican asiakkaille. Ross on saavuttanut tunnustuksen Cisco Certified Internetwork Expert (CCIE #18994; Security track) ja ISC2 Certified Information Systems Security Professional (CISSP). Hän on myös suorittanut MBA-tutkinnon Notre Damen yliopistosta.