Povežite se s nama

Cybersecurity

Prijetnje umjetne inteligencije odvlače pažnju. Vaš pravi problem je bliže domu.

mm
Objavljeno

Budimo iskreni: kibernetički napadi pokretani umjetnom inteligencijom zastrašujuća su perspektiva. Ali oni nisu najveća prijetnja vašem poslovanju.

Najveća prijetnja je distrakcija oni stvaraju.

Već više od 15 godina gledam istu priču. Vodstvo se plaši najnovije „superprijetnje umjetne inteligencije“, dok se sigurnosni tim i dalje bori s odgovorima na osnovna pitanja poput: „Gdje su naši najosjetljiviji podaci o kupcima?“ ili „Tko je vlasnik zakrpa za taj kritični sustav?“ Jurimo za novim alatima dok se inženjeri uvlače u vježbe usklađenosti u zadnji čas, a kritične ranjivosti se deprioriziraju.

Ovo je klasika "otmjena brava na vratima s mrežom" problem. Organizacije žure s implementacijom obrane temeljene na umjetnoj inteligenciji, ali napadači koriste umjetnu inteligenciju s manje pravila i većom agilnošću kako bi zaobišli temeljne praznine u procesima, vlasništvu i kulturi. Posebno za tvrtke srednjeg tržišta, ignoriranje osnova poziv je da postanu sljedeća opomena.

Zašto statička obrana ne uspijeva u dinamičnom svijetu

Kad sam započeo karijeru, sigurnost je bila kontrolna lista: antivirus, zakrpe i jaki vatrozidovi. Taj svijet je odavno nestao. Danas se polimorfni zlonamjerni softver prepisuje kako bi izbjegao potpise, a botnetovi pokreću napade brže nego što bilo koji čovjek može odgovoriti.

Kriptirani promet postao je omiljeno skrovište protivnika. Izvješće Zscalera ThreatLabz iz 2024. godine otkrilo je da gotovo 90% zlonamjernog softvera sada se isporučuje putem šifriranih kanalaTo znači da je devet od deset prijetnji nevidljivo za starije alate koji ne mogu pregledati taj promet.

Međutim, pravo usko grlo nije samo tehnologija; to je organizacijska trvenjaGledao sam sjajne sigurnosne timove kako tjednima pokušavaju dobiti podršku za popunu poznate praznine. U vremenu potrebnom za zakazivanje sastanaka, automatizirani napadač može se stalno pojavljivati ​​i odlaziti. Statičnost više nije opcija. Sigurnosni programi moraju biti svjesni konteksta i usmjereni na brzo mijenjajuće dijelove poslovanja.

Industrijalizacija kibernetičkog kriminala

To ne bi trebalo nikoga iznenaditi. Napadači su poduzetnici koji vode posao. Oni jednostavno usvajaju novu tehnologiju kako bi poboljšali svoj povrat ulaganja - baš kao i mi. Umjetna inteligencija im pomaže industrijalizirati svoje poslovanje.

  • Phishing kao usluga, supernapredno: Phishing je i dalje glavni način ulaska. FBI i IBM ga godinama zaredom prijavljuju kao glavni početni vektor pristupa. Sada, s generativnim alatima umjetne inteligencije poput „FraudGPT-a“, kriminalci mogu stvoriti savršeno prilagođene phishing kampanje bez gramatike u razmjerima kakve nikada nismo vidjeli.
  • Glas je laž: Glasovni phishing („vishing“) je u eksplodirajućem porastu. CrowdStrike je uočio 442% povećanje jer napadači koriste glasove klonirane umjetnom inteligencijom kako bi se predstavljali kao rukovoditelji i prevarili zaposlenike da prebace sredstva. Britanska energetska tvrtka izgubila je... $243,000 ovako iz jednog poziva.
  • Uspon automatiziranog protivnika: CrowdStrikeovi lovci na prijetnje sada vide automatizirane kampanje od početka do kraja - od životopisa generiranih umjetnom inteligencijom s lažnim video intervjuima do upada bez zlonamjernog softvera koji se u potpunosti nalaze u oblaku.

Branitelji se suočavaju s prijetnjama koje se prilagođavaju i traju uz minimalan ljudski nadzor. Napadači godinama automatiziraju; umjetna inteligencija je jednostavno ubrzala njihov tijek rada.

Kako bismo održali korak, krajnje je vrijeme da se oslobodimo zastarjelih pristupa usklađenosti i kibernetičkoj sigurnosti temeljenih na kontrolnim listama. Traženje čarobnog metka s najnovijim alatom na tržištu također nije rješenje. Uz to, ovo je jedinstvena prilika za povratak osnovama.

Prestanite se pitati „Jesmo li usklađeni?“ Počnite se pitati „Jesmo li otporni?“

Čak i dok umjetna inteligencija mijenja krajolik, većina propusta i dalje se događa zbog zanemarenih osnova. Naravno, glas tog izvršnog direktora je kloniran, ali pravi neuspjeh vjerojatno je bio poremećen proces financijskog odobravanja. Umjetna inteligencija bila je samo posljednji korak u lancu propuštenih osnova.

Umjetna inteligencija ne mora pronaći iskorištavanje nula dana kada može pronaći pet godina star nezakrpan server ili programera s administratorskim pravima za sve. Kupnja još jednog sigurnosnog alata pokretanog umjetnom inteligencijom neće popraviti narušenu kulturu. Umjetna inteligencija trebala bi ojačati snažne procese, a ne zamijeniti ih.

Ovdje vodstvo često griješi. Bio sam u upravnim odborima gdje je pitanje bilo: "Jesmo li u skladu s propisima?" Bolje pitanje je, „Ojačava li naš sigurnosni program naše poslovanje?“

Usklađenost postaje vježba s potvrdom. Proizvodni timovi jure naprijed, inženjerima se dodjeljuju sigurnosne dužnosti bez resursa, a čelnici pretpostavljaju da čista revizija znači da je poslovanje sigurno. To nije tako. Rješenje nije više alata; to je jača skela od vrha prema dolje. Sigurnost mora biti izravno povezana s rastom poslovanja i integritetom proizvoda.

Pragmatičan priručnik za eru umjetne inteligencije

Kompanije s popisa Fortune 500 mogu uložiti novac u rješavanje ovog problema. Srednje velike tvrtke moraju biti pametnije. Dakle, što zapravo radite? do?

  1. Prvo popravite temelje. Prije nego što kupite još jedan alat, provjerite imate li čvrst popis svojih podataka, neprobojne kontrole pristupa i proces zakrpa koji stvarno funkcionira.
  2. Stavite umjetnu inteligenciju na dnevni red. Provodite vježbe na simulaciji temeljene na napadima potaknutim umjetnom inteligencijom. Učinite to redovitim dijelom izvještavanja uprave kako bi se tretiralo kao poslovni rizik, a ne kao IT problem.
  3. Usredotočite se na ponašanje, ne samo na statične signale. Dajte prednost alatima koji uočavaju čudne aktivnosti - poput korisničkog računa koji iznenada pristupa bazi podataka kojoj se nikada ne dotiče - u odnosu na alate koji samo traže poznati zlonamjerni softver.

Umjetna inteligencija nije neprijatelj - samozadovoljstvo jest

Umjetna inteligencija nije mač s dvije oštrice; to je povećalo. Dobre procese čini učinkovitijima, a loše katastrofalnima.

Napadači će uvijek imati nove alate. Pravo je pitanje je li vaša sigurnosna strategija izgrađena na čvrstim temeljima otpornosti ili samo jurite za sljedećim sjajnim objektom. Era sigurnosti po principu "postavi i zaboravi" je završena. Organizacije koje izgrade kulturu sigurnosti i savršeno poštuju osnove pobijedit će, čak i u doba autonomnih prijetnji.

Srodne teme:
mm

Nicholas Muy je CISO u Scrut automatizacija, vodeći inicijative za kibernetičku sigurnost u području usklađenosti i upravljanja rizicima umjetne inteligencije. S više od 15 godina iskustva u modeliranju prijetnji pokretanih umjetnom inteligencijom i strategiji sigurnosti poduzeća, zaštitio je okruženja Fortune 500 i doprinio nacionalnoj kibernetičkoj politici u američkom Ministarstvu domovinske sigurnosti.