L’eccesso di entusiasmo per l’AI sta oscurando le decisioni umane che portano alle violazioni

L’AI ha ridisegnato il modo in cui le organizzazioni pensano alle minacce, con l’attenzione spesso focalizzata su operazioni su larga scala, ricognizione automatizzata e impersonificazione sempre più convincente. Questi sviluppi meritano attenzione, ma hanno anche distorto la comprensione dell’industria su dove inizia l’esposizione più comune.

Anche se le organizzazioni si concentrano su minacce più avanzate e guidate dall’AI, gli attaccanti stanno ancora riuscendo a entrare nella porta manipolando l’istinto umano. Gli attacchi ClickFix, una forma sofisticata di ingegneria sociale, hanno rappresentato il 47% degli incidenti di accesso iniziale osservati l’anno scorso. Ciò mostra quanto spesso una violazione inizi con una persona che prende una decisione rapida sotto pressione, non con una lacuna tecnologica.

La lacuna di risposta umana

Gli attacchi ClickFix sono efficaci perché imitano i segnali che i team tecnici sono stati addestrati ad affrontare. Non dipendono da vulnerabilità del software o da errori di configurazione. Invece, sfruttano una semplice aspettativa: quando qualcosa sembra fuori posto, qualcuno cercherà di risolverlo immediatamente.

Questo istinto è intensificato all’interno degli ambienti tecnici in cui il tempo di attività, la risposta e l’azione rapida sono aspettative fondamentali. Gli amministratori e il personale di supporto sono condizionati a rispondere rapidamente agli avvertimenti, ai prompt del sistema o alle richieste di accesso. Gli attaccanti comprendono questa pressione e progettano campagne che assomigliano ai segnali esatti che i professionisti sono stati addestrati ad affrontare.

L’AI ha reso questo calcolo più pericoloso. Gli strumenti generativi consentono agli attaccanti di creare esche con grammatica quasi perfetta, terminologia del sistema contestualmente accurata e interfacce contraffatte che imitano da vicino il software aziendale reale. Dove un prompt goffo un tempo rivelava un tentativo di ingegneria sociale, oggi gli attacchi possono essere indistinguibili da un avviso legittimo di IT, allargando il divario tra ciò che gli utenti sono stati addestrati a rilevare e ciò che incontrano effettivamente sul campo.

Il momento in cui le cose vanno storte

Una sfida chiave con gli incidenti ClickFix è che il momento cruciale sembra normale. Un utente approva un prompt, reimposta l’accesso o autorizza una modifica. L’azione stessa si confonde con l’attività quotidiana, creando una sfida per gli strumenti di sicurezza tradizionali. Questi sistemi rilevano anomalie tecniche, ma non possono facilmente interpretare il contesto dietro una decisione affrettata.

Una sequenza tipica potrebbe sembrare così: un utente incontra un avvertimento del browser che la sua sessione è scaduta o che un plug-in necessario deve essere aggiornato. Fanno clic su un prompt che esegue un comando PowerShell in background – che non vedono mai – mentre l’interfaccia visibile semplicemente dice loro che il problema è risolto. L’intera interazione dura meno di 30 secondi. Nulla nel registro di sistema lo segnala come insolito perché, tecnicamente, non è successo nulla di insolito. Un utente legittimo ha eseguito un comando su una macchina legittima.

Ciò porta a diverse conseguenze. Oggi, il 74% delle violazioni ha coinvolto l’elemento umano, compresi attacchi di ingegneria sociale, errori e abuso. I rischi comportamentali umani raramente appaiono all’interno dei dashboard. I controlli non sono il problema. La layer mancante è la visibilità su quali decisioni sono più probabili essere affrettate e come queste decisioni creano aperture per gli attaccanti.

Ripensare l’errore umano

Il comportamento umano non dovrebbe essere trattato come una preoccupazione di formazione isolata; dovrebbe essere considerato come un componente fondamentale dell’architettura della sicurezza.

Invece di trattarlo come un risultato imprevedibile, le organizzazioni dovrebbero trattarlo come un fattore di rischio misurabile. I leader della sicurezza possono raggiungere questo obiettivo incorporando informazioni umano-centriche nella loro postura difensiva. I sistemi dovrebbero essere progettati con aspettative realistiche di come le persone si comportano, non con l’assunzione che si comporteranno sempre in condizioni ideali.

La misurazione qui è concreta, non astratta. Le organizzazioni possono tracciare la velocità delle decisioni, quanto rapidamente gli utenti approvano prompt ad alto impatto durante le ore operative di picco e utilizzare il monitoraggio dei modelli di approvazione per evidenziare anomalie come autorizzazioni dopo l’orario di lavoro o override ripetuti di avvertimenti standard. La creazione di un modello di comportamento, applicata a livello individuale o di ruolo, fornisce ai team di sicurezza un punto di riferimento per ciò che “normale” sembra in modo che le deviazioni si registrino come un segnale piuttosto che come rumore.

Indirizzare la causa radice

Migliorare le difese contro gli attacchi di tipo ClickFix inizia con la comprensione delle condizioni che portano a decisioni affrettate. I leader possono studiare modelli come approvazioni rapide, quasi errori ricorrenti o risposte incoerenti ai prompt del sistema. Queste osservazioni rivelano dove l’istinto può sovrastare la cautela.

I flussi di lavoro dovrebbero anche essere valutati per i punti di pressione che invitano a errori. Le azioni ad alto impatto beneficiano di piccoli passaggi di verifica che consentono agli utenti di esitare e valutare ciò che stanno approvando. Allo stesso tempo, le attività di routine dovrebbero essere semplificate per ridurre la stanchezza che incoraggia le persone a fare clic sui prompt senza una attenta considerazione.

Le organizzazioni possono ottenere ulteriori informazioni utilizzando simulazioni che riflettono pressioni realistiche. I test di phishing tradizionali sono utili per la consapevolezza, ma non valutano come qualcuno risponde quando gestisce più attività o gestisce una preoccupazione operativa urgente. Scenari costruiti intorno alla pressione del tempo o all’interruzione del sistema rivelano modelli di comportamento che altrimenti sono difficili da rilevare.

Le simulazioni efficaci introducono variabili che i test tradizionali ignorano, come il carico di lavoro concorrente, le finestre di fatica di fine giornata e le interruzioni del flusso di lavoro che forzano un cambio di contesto proprio prima che appaia un prompt ad alto rischio. Un utente che individua un’e-mail di phishing in isolamento potrebbe approvare un prompt malintenzionato senza esitazione quando sta gestendo un incidente attivo alle 16:45. Costruire test che replicano quelle condizioni genera dati comportamentali che le organizzazioni possono effettivamente utilizzare, piuttosto che metriche di consapevolezza di pass/fail che non si traducono in una risposta migliorata sotto pressione.

Aiuta anche pianificare incidenti che iniziano con azioni legittime. Molti team si concentrano sul rilevamento di comportamento non autorizzato. Nella pratica, il primo segno significativo di un attacco può essere un prompt approvato che non avrebbe mai dovuto essere approvato. Incorporare questa aspettativa nella pianificazione della risposta agli incidenti rende più facile rilevare i primi indicatori che altrimenti sarebbero stati trascurati.

Rafforzare il punto di fallimento

Le minacce abilitate dall’AI continueranno a evolversi, ma molte violazioni risalgono ancora a una decisione umana presa nel momento. Affrontare questa realtà non richiede di rallentare le operazioni o abbandonare l’automazione. Richiede la progettazione di sistemi e flussi di lavoro che riflettono come le persone lavorano naturalmente e la costruzione di salvaguardie intorno ai punti in cui l’istinto tende a sovrastare la cautela.

Le organizzazioni che incorporano la presa di decisione umana nella loro comprensione della superficie di attacco ottengono una visione più precisa del rischio operativo. Ciò porta a difese più solide supportate sia da controlli tecnici che da una comprensione più realistica di come gli utenti interagiscono con i sistemi durante il lavoro quotidiano.