जब पुरानी रक्षा प्रणाली नए हमलों से पीछे रह जाती है: प्रोएक्टिव एआई सुरक्षा के लिए क्यों समय आ गया है

यदि आप वर्तमान में सुरक्षा के क्षेत्र में काम कर रहे हैं, तो आपको ऐसा महसूस हो सकता है कि आप हमेशा पीछे से पकड़ रहे हैं। समाचार में एक नया उल्लंघन है, एक ताज़ा रैंसमवेयर कहानी है, और एक और चतुर चाल है जिसे रक्षकों ने नहीं देखा था। साथ ही, बहुत सारी सुरक्षा अभी भी पुराने इंटरनेट के विचारों पर निर्भर करती है जहां नेटवर्क में स्पष्ट सीमाएं होती थीं और हमलावर धीमी गति से चलते थे।

अंक आपको बताते हैं कि यह केवल एक भावना नहीं है। आईबीएम की नवीनतम लागत ऑफ ए डेटा ब्रीच रिपोर्ट 2024 में वैश्विक औसत उल्लंघन को $4.88 मिलियन में रखती है, जो पिछले वर्ष के $4.45 मिलियन से अधिक है। यह 10% की वृद्धि महामारी के वर्षों के बाद से सबसे बड़ी छलांग है, और यह तब आती है जब सुरक्षा टीमें उपकरणों और कर्मचारियों में अधिक निवेश कर रही हैं।

वरीज़ोन डेटा ब्रीच इन्वेस्टिगेशन रिपोर्ट 2024 में 30,000 से अधिक घटनाओं और 10,000 से अधिक पुष्टि किए गए उल्लंघनों को देखती है। यह बताती है कि हमलावर चोरी किए गए प्रमाण पत्र, वेब एप्लिकेशन शोषण, और सामाजिक क्रियाएं जैसे प्रीटेक्स्टिंग पर कैसे निर्भर करते हैं, और यह ध्यान देती है कि संगठनों को पैच जारी होने के बाद अपने महत्वपूर्ण दोषों में से आधे को ठीक करने में लगभग 55 दिन लगते हैं। ये 55 दिन एक हमलावर के लिए बहुत आरामदायक खिड़की हैं जो निरंतर स्कैनिंग कर रहा है।

यूरोप में, ईएनआईएसए थ्रेट लैंडस्केप रिपोर्ट 2023 भी रैंसमवेयर, डेनियल ऑफ सर्विस, सप्लाई चेन हमलों, और सामाजिक इंजीनियरिंग के भारी मिश्रण की ओर इशारा करती है। एक और ईएनआईएसए अध्ययन जो सप्लाई चेन घटनाओं पर केंद्रित था, अनुमान लगाता है कि 2021 में ऐसे हमले 2020 की तुलना में चार गुना अधिक थे, और यह रुझान ऊपर की ओर जारी है।

तो तस्वीर सरल लेकिन असहज है। उल्लंघन अधिक आम, अधिक महंगे, और अधिक जटिल हो रहे हैं, भले ही उपकरण बेहतर हो रहे हों। सुरक्षा के क्षेत्र में कुछ संरचनात्मक रूप से गलत है।

क्लासिक सुरक्षा मॉडल क्यों पीछे रह जा रहा है

लंबे समय से, साइबर रक्षा की मानसिक तस्वीर सरल थी। आपके पास एक स्पष्ट अंदर और बाहर था। आप एक मजबूत परिधि बनाते थे जिसमें फायरवॉल और फिल्टर होते थे। आप एंडपॉइंट पर एंटीवायरस तैनात करते थे और जाने जाने वाले बुरे हस्ताक्षर की तलाश करते थे। आप नियमों को ट्यून करते थे, अलर्ट की तलाश करते थे, और जब कुछ स्पष्ट अलर्ट होता था तो प्रतिक्रिया करते थे।

इस मॉडल में तीन बड़ी समस्याएं हैं वर्तमान दुनिया में।

पहले, परिधि अधिकांश भाग के लिए चली गई है। लोग हर जगह से काम करते हैं जो प्रबंधित और अप्रबंधित उपकरणों के मिश्रण पर होता है। डेटा सार्वजनिक क्लाउड प्लेटफ़ॉर्म और सॉफ़्टवेयर के रूप में सेवा टूल में बैठता है। भागीदार और आपूर्तिकर्ता सीधे आंतरिक प्रणालियों में जुड़ते हैं। रिपोर्ट जैसे कि ईएनआईएसए सप्लाई चेन अध्ययन दिखाते हैं कि अक्सर घुसपैठ एक विश्वसनीय भागीदार या सॉफ़्टवेयर अद्यतन के माध्यम से शुरू होती है, न कि एक केंद्रीय सर्वर पर सीधे हमले के माध्यम से।

दूसरा, जाने जाने वाले हस्ताक्षरों पर ध्यान केंद्रित करने से एक बड़ा अंधा धब्बा छोड़ दिया जाता है। आधुनिक हमलावर कस्टम मैलवेयर को जीवित रहने वाले भूमि के साथ मिलाते हैं। वे निर्मित स्क्रिप्टिंग टूल, रिमोट प्रबंधन एजेंट, और प्रशासनिक क्रियाओं जैसे दैनिक कार्यों पर निर्भर करते हैं। प्रत्येक चरण को अलग से देखा जा सकता है जो हानिरहित लगता है। एक सरल हस्ताक्षर-आधारित दृष्टिकोण बड़े पैटर्न को नहीं देखता है, खासकर जब हमलावर प्रत्येक अभियान में छोटी विवरण बदलते हैं।

तीसरा, मानव ओवरलोड हैं। वरीज़ोन रिपोर्ट दिखाती है कि दुर्वलता शोषण अब नेटवर्क में प्रवेश करने का एक प्रमुख तरीका है और कई संगठनों को पैच जल्दी से लागू करने में संघर्ष करते हैं। आईबीएम के शोध में यह भी कहा गया है कि लंबे समय तक पता लगाने और नियंत्रण के समय के कारण उल्लंघन की लागत बढ़ रही है। विश्लेषक अलर्ट, लॉग, और मैनुअल ट्राइएज के पहाड़ के नीचे बैठते हैं, जबकि हमलावर जितना संभव हो उतना स्वचालित करते हैं।

तो आपके पास हमलावर हैं जो तेजी से और अधिक स्वचालित हैं, और रक्षक जो अभी भी मैनुअल जांच और पुराने पैटर्न पर बहुत अधिक निर्भर करते हैं। इस अंतर में कृत्रिम बुद्धिमत्ता आती है।

हमलावर पहले से ही एआई को एक साथी के रूप में मान रहे हैं

जब लोग सुरक्षा में एआई की बात करते हैं, तो वे अक्सर रक्षक उपकरणों की कल्पना करते हैं जो बुरे अभिनेताओं को पकड़ने में मदद करते हैं। वास्तविकता यह है कि हमलावर भी अपने काम को आसान बनाने के लिए एआई का उपयोग करने के लिए उत्सुक हैं।

माइक्रोसॉफ्ट डिजिटल डिफेंस रिपोर्ट 2025 बताती है कि राज्य-प्रायोजित समूह सिंथेटिक मीडिया बनाने, आक्रमण अभियानों के हिस्सों को स्वचालित करने, और प्रभाव अभियानों को बढ़ाने के लिए एआई का उपयोग कैसे कर रहे हैं। एक अलग एसोसिएटेड प्रेस माइक्रोसॉफ्ट खतरे की खुफिया सारांश बताता है कि मध्य 2024 से मध्य 2025 तक, एआई-जनित नकली सामग्री से संबंधित घटनाओं की संख्या 200 से अधिक हो गई, जो पिछले वर्ष की तुलना में दोगुनी से अधिक है और 2023 में देखी गई संख्या से लगभग 10 गुना अधिक है।

व्यवहार में, यह ऐसा दिखता है जैसे फ़िशिंग संदेश जो किसी मूल वक्ता द्वारा लिखे गए लगते हैं, किसी भी भाषा में। यह गहरे नकली ऑडियो और वीडियो जैसा दिखता है जो हमलावरों को वरिष्ठ नेताओं या विश्वसनीय भागीदारों का निर्वाह करने में मदद करता है। यह ऐसा दिखता है जैसे एआई प्रणाली आपके वातावरण, आपके कर्मचारियों, और आपके तीसरे पक्ष के विवरण को खोजने के लिए चोरी किए गए डेटा के विशाल वॉल्यूम को छानती है।

एक हालिया फाइनेंशियल टाइम्स पीस जासूसी हमलों में एजेंटिक एआई पर यहां तक ​​कहता है कि एक बड़े पैमाने पर स्वायत्त जासूसी अभियान था जहां एक एआई कोडिंग एजेंट ने टोही से लेकर डेटा निकासी तक के अधिकांश चरणों को सीमित मानव इनपुट के साथ संभाला। हालांकि आप उस विशिष्ट मामले के बारे में कैसा महसूस करते हैं, यात्रा की दिशा स्पष्ट है। हमलावर एआई को काम के उबाऊ हिस्सों को संभालने के लिए खुश हैं।

यदि हमलावर अपनी गति बढ़ाने, बेहतर ढंग से मिश्रण करने और अधिक लक्ष्यों पर हमला करने के लिए एआई का उपयोग कर रहे हैं, तो रक्षकों को पारंपरिक परिधि उपकरणों और मैनुअल अलर्ट ट्राइएज पर निर्भर रहने की उम्मीद नहीं करनी चाहिए। आप या तो अपनी रक्षा में समान बुद्धिमत्ता लाते हैं, या अंतर बढ़ता रहता है।

प्रतिक्रियात्मक रक्षा से प्रोएक्टिव सुरक्षा सोच तक

पहला वास्तविक परिवर्तन तकनीकी नहीं है; यह मानसिक है।

एक प्रतिक्रियात्मक मुद्रा इस विचार पर बनाया गया है कि आप स्पष्ट परेशानी के संकेतों का इंतजार कर सकते हैं, फिर प्रतिक्रिया कर सकते हैं। एक नया बाइनरी पता चला है। एक अलर्ट आग लग जाता है क्योंकि यातायात एक जाने जाने वाले पैटर्न से मेल खाता है। एक खाता स्पष्ट रूप से समझौता दिखाता है। टीम कूदती है, जांच करती है, साफ करती है, और शायद एक नियम को अपडेट करती है ताकि उसी पैटर्न को फिर से काम करने से रोका जा सके।

एक दुनिया में जहां हमले धीमे और दुर्लभ होते हैं, यह ठीक हो सकता है। एक दुनिया में जहां निरंतर जांच, तेजी से शोषण, और एआई-समर्थित अभियान हैं, यह बहुत देर हो चुकी है। अलर्ट के स्पष्ट होने से पहले ही, हमलावर अक्सर आपके नेटवर्क का अन्वेषण कर चुके होते हैं, संवेदनशील डेटा को छू चुके होते हैं, और फॉलबैक पथ तैयार कर चुके होते हैं।

एक प्रोएक्टिव मुद्रा एक अलग स्थान से शुरू होती है। यह मानती है कि आप हमेशा ही शत्रुतापूर्ण यातायात से छुई जा रही हैं। यह मानती है कि कुछ नियंत्रण विफल हो सकते हैं। यह इस बारे में परवाह करती है कि आप असामान्य व्यवहार को कितनी जल्दी देख सकते हैं, इसे कितनी तेजी से सीमित कर सकते हैं, और इसे कितनी लगातार से सीख सकते हैं। उस फ्रेम में, मुख्य प्रश्न बहुत व्यावहारिक हो जाते हैं।

• क्या आपके पास अपनी प्रमुख प्रणालियों, पहचान और डेटा स्टोर में निरंतर दृश्यता है?

• क्या आप सामान्य व्यवहार से छोटे विचलन को देख सकते हैं, न कि केवल जाने जाने वाले बुरे हस्ताक्षर?

• क्या आप उस अंतर्दृष्टि को तेज़, दोहराने योग्य कार्रवाई से बांध सकते हैं बिना अपनी टीम को जला दिए?

एआई खुद समाधान नहीं है, लेकिन यह उन प्रश्नों का उत्तर देने का एक शक्तिशाली तरीका है जो आधुनिक वातावरण की मांग करते हैं।

एक एआई-संचालित साइबर सुरक्षा मुद्रा क्या दिखती है

एआई आपको एक सरल हां या ना दृष्टिकोण से खतरों की ओर एक समृद्ध, व्यवहार-आधारित तस्वीर की ओर ले जाता है। पता लगाने की ओर, मॉडल पहचान गतिविधि, एंडपॉइंट टेलीमेट्री, और नेटवर्क प्रवाह को देख सकते हैं और सीख सकते हैं कि आपके वातावरण में क्या सामान्य दिखता है। केवल एक जाने जाने वाले दुर्भाग्यपूर्ण फ़ाइल को ब्लॉक करने के बजाय, वे एक अलर्ट उठा सकते हैं जब एक खाता एक असामान्य स्थान से एक असामान्य समय पर लॉग इन करता है, एक प्रणाली में जाता है जिसे यह पहले कभी नहीं छुआ है, और फिर बड़ी मात्रा में डेटा को स्थानांतरित करना शुरू कर देता है। प्रत्येक एकल घटना को अलग से देखने में आसानी हो सकती है। संयुक्त पैटर्न दिलचस्प है।

एक्सपोज़र की ओर, एआई-समर्थित उपकरण आपके वास्तविक हमले की सतह को मैप कर सकते हैं। वे सार्वजनिक क्लाउड खातों, इंटरनेट से जुड़े सेवाओं, और आंतरिक नेटवर्क को स्कैन कर सकते हैं ताकि भूले हुए परीक्षण प्रणाली, गलत तरीके से कॉन्फ़िगर किए गए संग्रहण, और उजागर प्रशासक पैनलों को खोजा जा सके। वे इन खोजों को व्यावहारिक जोखिम की कहानियों में समूहित कर सकते हैं, न कि कच्ची सूचियों में। यह विशेष रूप से महत्वपूर्ण है क्योंकि संगठनों के भीतर छाया एआई बढ़ रही है, जहां टीमें केंद्रीय पर्यवेक्षण के बिना अपने मॉडल और उपकरण स्थापित कर रही हैं, जिसे आईबीएम अपनी हाल की डेटा ब्रीच कार्य में एक गंभीर जोखिम क्षेत्र के रूप में इंगित करता है।

प्रतिक्रिया की ओर, एआई आपको तेजी से और अधिक संगति से कार्रवाई करने में मदद कर सकता है। कुछ सुरक्षा संचालन केंद्र पहले से ही वास्तविक समय में सीमित करने के चरणों की सिफारिश करने और लंबी जांच की समयसीमा को मानव विश्लेषकों के लिए सारांशित करने के लिए एआई-समर्थित प्रणालियों का उपयोग कर रहे हैं। संयुक्त राज्य अमेरिका साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी अपने कृत्रिम बुद्धिमत्ता संसाधन में कई ऐसे उपयोगों का वर्णन करती है, जो दिखाते हैं कि एआई असामान्य नेटवर्क गतिविधि का पता लगाने और संघीय प्रणालियों में बड़े पैमाने पर खतरे के डेटा का विश्लेषण करने में कैसे मदद कर सकता है।

इसमें से कोई भी मानव निर्णय की आवश्यकता को दूर नहीं करता है। इसके बजाय, एआई एक शक्ति गुणक बन जाता है। यह निरंतर देखने, पैटर्न स्पॉटिंग, और शुरुआती ट्राइएज का हिस्सा लेता है, ताकि मानव रक्षक गहरी जांच और कठिन डिज़ाइन प्रश्नों पर अधिक समय बिता सकें, जैसे पहचान रणनीति और खंडीकरण।

इस दिशा में कैसे आगे बढ़ना है

यदि आप सुरक्षा के लिए जिम्मेदार हैं, तो यह सब बड़ा और अमूर्त लग सकता है। अच्छी खबर यह है कि प्रतिक्रियात्मक से प्रोएक्टिव में परिवर्तन आमतौर पर एक बड़े परिवर्तन के बजाय कुछ आधारित चरणों से शुरू होता है।

पहला कदम अपने डेटा प्रवाह को व्यवस्थित करना है। एआई उतना ही उपयोगी है जितना कि संकेत जो यह देख सकता है। यदि आपके पहचान प्रदाता, एंडपॉइंट उपकरण, नेटवर्क नियंत्रण, और क्लाउड प्लेटफ़ॉर्म सभी लॉग को अलग-अलग सिलोस में भेजते हैं, तो प्रत्येक मॉडल में अंधे धब्बे होंगे और हमलावरों के पास छिपने के स्थान होंगे। अपने सबसे महत्वपूर्ण टेलीमेट्री के एक केंद्रीय दृष्टिकोण में निवेश करना अक्सर ग्लैमरस नहीं होता है, लेकिन यह वह आधार है जो अर्थपूर्ण एआई समर्थन को संभव बनाता है।

दूसरा कदम विशिष्ट उपयोग के मामलों को चुनना है जो हर जगह एआई को छिड़कने की कोशिश करने के बजाय। कई टीमें उपयोगकर्ता खातों के लिए व्यवहार विश्लेषण, क्लाउड वातावरण में विचलन का पता लगाने, या स्मार्ट ईमेल और फ़िशिंग का पता लगाने से शुरू करती हैं। उद्देश्य उन क्षेत्रों को चुनना है जहां आप जानते हैं कि जोखिम है और जहां बड़े डेटा सेटों में पैटर्न पहचान स्पष्ट रूप से मदद कर सकती है।

तीसरा कदम हर नए एआई-समर्थित उपकरण को स्पष्ट गार्डरेल के साथ जोड़ना है। इसमें यह परिभाषित करना शामिल है कि मॉडल को स्वयं क्या करने की अनुमति है, क्या हमेशा मानव को शामिल करना होगा, और आप समय के साथ प्रणाली की ईमानदारी और उपयोगिता को कैसे मापेंगे। यहाँ, एनआईएसटी एआई फ्रेमवर्क और सीआईएसए जैसी एजेंसियों से मार्गदर्शन आपको सब कुछ स्वयं से आविष्कार करने से बचा सकता है।

प्रोएक्टिव एआई सुरक्षा का इंतजार क्यों नहीं किया जा सकता

साइबर हमले एक दुर्लभ आपात स्थिति की तुलना में एक निरंतर पृष्ठभूमि की स्थिति में बदल रहे हैं, और हमलावर अपने लिए एआई का उपयोग करने के लिए बहुत खुश हैं। लागत बढ़ रही है, प्रवेश बिंदु बढ़ रहे हैं, और हमलावर पक्ष का टूलिंग हर साल स्मार्ट हो रहा है। एक प्रतिक्रियात्मक मॉडल जो स्पष्ट अलर्ट का इंतजार करता है और फिर जल्दबाजी करता है वह इस दुनिया के लिए नहीं बनाया गया है।

एक प्रोएक्टिव एआई-संचालित मुद्रा एक फैशनेबल रुझान का पीछा करने के बारे में कम है और अपने डेटा को व्यवस्थित करने, व्यवहार-आधारित अंतर्दृष्टि जोड़ने, और नए एआई प्रणालियों के चारों ओर स्पष्ट गार्डरेल रखने के बारे में अधिक है ताकि वे आपके रक्षकों की मदद करें न कि उन्हें आश्चर्यचकित करें। हमलावरों और रक्षकों के बीच का अंतर वास्तविक है, लेकिन यह तय नहीं है, और आप अपने सुरक्षा स्टैक में एआई का उपयोग कैसे करते हैं यह निर्णय लेगा कि कौन सा पक्ष अगले कुछ वर्षों में तेजी से आगे बढ़ रहा है।