כאשר התקפות מתפתחות עוקפות הגנות ישנות: מדוע הגיע הזמן לאבטחת בינה מלאכותית פרואקטיבית

אם אתם עובדים כרגע באזור אבטחה, אתם כנראה מרגישים שאתם כל הזמן מדביקים פערים. יש פרצה חדשה בחדשות, סיפור חדש על תוכנות כופר, ועוד טריק חכם שהמגנים לא צפו. יחד עם זאת, הרבה מההגנה עדיין נשענת על רעיונות מאינטרנט ישן יותר שבו לרשתות היו גבולות ברורים והתוקפים פעלו לאט יותר.

המספרים אומרים לכם שזו לא סתם תחושה. העדכון האחרון דוח עלות של IBM בנוגע לדליפת נתונים מציב את ממוצע הפריצה העולמי על 4.88 מיליון דולר בשנת 2024, לעומת 4.45 מיליון דולר בשנה הקודמת. עלייה זו של 10% היא העלייה הגדולה ביותר מאז שנות המגפה, והיא מגיעה למרות שצוותי אבטחה משקיעים יותר בכלים ובכוח אדם.

השמיים דוח חקירות הפרת נתונים של Verizon לשנת 2024, הדו"ח בוחן יותר מ-30,000 אירועים ומעל 10,000 פרצות מאומתות. הוא מדגיש כיצד תוקפים מסתמכים על אישורים גנובים, ניצול לרעה של יישומי אינטרנט ופעולות חברתיות כמו תירוצים, ומציין כי לארגונים לוקח בממוצע כ-55 ימים לתקן רק מחצית מהפגיעויות הקריטיות שלהם לאחר שחרור התיקונים. 55 ימים אלה הם חלון נוח מאוד עבור תוקף שסורק באופן רציף.

באירופה נוף האיומים של ENISA הדו"ח לשנת 2023 מצביע גם על שילוב רב של תוכנות כופר, מניעת שירות, מתקפות שרשרת אספקה ​​והנדסה חברתית. מחקר נוסף של ENISA שהתמקד באירועי שרשרת אספקה ​​העריך כי היו ככל הנראה פי ארבעה יותר מתקפות כאלה בשנת 2021 מאשר בשנת 2020, וכי מגמה זו נמשכה כלפי מעלה. 

אז התמונה פשוטה אך לא נוחה. פרצות הופכות נפוצות יותר, יקרות יותר ומורכבות יותר, אפילו ככל שהכלים משתפרים. משהו מבני לא בסדר באופן שבו ארגונים רבים עדיין מגנים על עצמם.

מדוע מודל האבטחה הקלאסי מפגר מאחור

במשך זמן רב, התמונה המנטלית של הגנת סייבר הייתה פשוטה. היה לך פנים וחוץ ברורים. היית בונה היקף חזק עם חומות אש ומסננים. היית פורס אנטי-וירוס בנקודות קצה ומחפש חתימות שגויות ידועות. היית מכוונן כללים, מחפש התראות ומגיב כאשר משהו ברור מופעל.

למודל הזה יש שלוש בעיות גדולות בעולם הנוכחי.

ראשית, ההיקף נעלם ברובו. אנשים עובדים מכל מקום על שילוב של מכשירים מנוהלים ולא מנוהלים. הנתונים נמצאים בפלטפורמות ענן ציבורי ובכלי תוכנה כשירות. שותפים וספקים מתחברים ישירות למערכות פנימיות. דוחות כמו מחקר שרשרת האספקה ​​של ENISA מראים באיזו תדירות פריצות מתחילות כיום באמצעות שותף מהימן או עדכון תוכנה במקום מתקפה חזיתית ישירה על שרת מרכזי.

שנית, ההתמקדות בחתימות ידועות משאירה נקודה עיוורת ענקית. תוקפים מודרניים מערבבים תוכנות זדוניות מותאמות אישית עם מה שהמגנים מכנים "חיים מהשטח". הם נשענים על כלי סקריפטים מובנים, סוכני ניהול מרחוק ופעולות ניהוליות יומיומיות. כל שלב בפני עצמו עשוי להיראות לא מזיק. גישה פשוטה המבוססת על חתימות אינה רואה את הדפוס הגדול יותר, במיוחד כאשר תוקפים משנים פרטים קטנים בכל קמפיין.

שלישית, בני אדם נמצאים תחת עומס יתר. הדו"ח של ורייזון מראה כי ניצול פגיעויות הוא כיום דרך מרכזית להיכנס לרשתות וכי ארגונים רבים מתקשים ליישם תיקונים במהירות מספקת. המחקר של יבמ מוסיף כי זמני זיהוי ובלימה ארוכים הם סיבה עיקרית לכך שעלויות הפריצה ממשיכות לעלות. אנליסטים יושבים תחת הר של התראות, יומני רישום ומיון ידני, בעוד שתוקפים מבצעים אוטומציה ככל האפשר.

אז יש תוקפים שהם מהירים ואוטומטיים יותר, ומגינים שעדיין נשענים במידה רבה על חקירה ידנית ודפוסים ישנים. אל תוך הפער הזה נכנסת בינה מלאכותית.

תוקפים כבר מתייחסים לבינה מלאכותית כאל חבר צוות

כשאנשים מדברים על בינה מלאכותית בתחום האבטחה, הם מדמיינים לעתים קרובות כלי הגנה שעוזרים לתפוס גורמים פושעים. המציאות היא שתוקפים להוטים באותה מידה להשתמש בבינה מלאכותית כדי להקל על עבודתם.

השמיים דוח הגנה דיגיטלית של מיקרוסופט שנת 2025 מתארת ​​כיצד קבוצות הנתמכות על ידי המדינה משתמשות בבינה מלאכותית כדי ליצור מדיה סינתטית, להפוך חלקים מקמפיינים של חדירה לאוטומטיים ולהגדיל פעולות השפעה. מחקר נפרד סיכום של מודיעין האיומים של מיקרוסופט על ידי Associated Press מדווח כי מאמצע 2024 עד אמצע 2025, מספר המקרים הקשורים לתוכן מזויף שנוצר על ידי בינה מלאכותית עלה ליותר מ-200, יותר מפי שניים בהשוואה לשנה הקודמת וכ-10 פעמים מהמספר שנראה בשנת 2023.

בפועל, זה נראה כמו הודעות פישינג שנקראות כאילו דובר שפת אם כתב אותן, בכל שפה שתרצו. זה נראה כמו אודיו ווידאו מזויפים עמוקים שעוזרים לתוקפים להתחזות למנהיגים בכירים או לשותפים מהימנים. נראה שמערכות בינה מלאכותית ממיינות כמויות עצומות של נתונים גנובים כדי למצוא את הפרטים החשובים ביותר של הסביבה שלכם, הצוות שלכם וצדדים שלישיים.

אחרון מאמר בפייננשל טיימס על בינה מלאכותית סוכנתית במתקפות סייבר אפילו מתאר מבצע ריגול אוטונומי ברובה שבו סוכן קידוד מבוסס בינה מלאכותית טיפל ברוב השלבים, החל מסיור ועד לחילוץ נתונים, עם תרומה אנושית מוגבלת. לא משנה איך חושבים על המקרה הספציפי הזה, כיוון התנועה ברור. תוקפים די שמחים לתת לבינה מלאכותית לטפל בחלקים המשעממים של העבודה.

אם תוקפים משתמשים בבינה מלאכותית כדי לנוע מהר יותר, להשתלב טוב יותר ולפגוע ביותר מטרות, אזי המגנים לא יכולים לצפות שכלים מסורתיים של היקפים ומיון התראות ידני יספיקו. או שאתם מביאים מודיעין דומה להגנה שלכם, או שהפער ממשיך להתרחב.

מהגנה ריאקטיבית לחשיבה ביטחונית פרואקטיבית

השינוי האמיתי הראשון אינו טכני; הוא מנטלי.

גישה תגובתית בנויה סביב הרעיון שניתן להמתין לסימנים ברורים של בעיה, ואז להגיב. מזוהה קובץ בינארי חדש. התראה מופעלת מכיוון שתעבורה תואמת דפוס ידוע. חשבון מראה סימן בוטה לפגיעה. הצוות נכנס לפעולה, חוקר, מנקה ואולי מעדכן כלל כדי למנוע בדיוק דפוס זה לעבוד שוב.

בעולם עם התקפות איטיות ונדירות, זה אולי בסדר. בעולם עם חקירות מתמידות, ניצול מהיר וקמפיינים הנתמכים על ידי בינה מלאכותית, זה מאוחר מדי. עד שכלל פשוט מופעל, התוקפים לרוב כבר חוקרים את הרשת שלכם, נגעו בנתונים רגישים והכינו נתיבי גיבוי.

עמדה פרואקטיבית מתחילה ממקום אחר. היא מניחה שאתה תמיד נפגע מתנועה עוינת. היא מניחה שחלק מהבקרות ייכשלו. היא מתעניינת במהירות שבה אתה מזהה התנהגות חריגה, כמה מהר אתה יכול להכיל אותה, וכמה באופן עקבי אתה לומד ממנה. במסגרת זו, שאלות הליבה הופכות למעשיות מאוד.

• האם יש לכם נראות רציפה על המערכות, הזהויות ומאגרי הנתונים המרכזיים שלכם?

• האם אתה יכול להבחין בסטיות קטנות מהתנהגות רגילה, לא רק בחתימות שליליות ידועות?

• האם תוכל לקשר את התובנה הזו לפעולה מהירה וחוזרת על עצמה, מבלי לשרוף את הצוות שלך?

בינה מלאכותית אינה הפתרון בפני עצמה, אך היא דרך רבת עוצמה לענות על שאלות אלו בקנה מידה שסביבות מודרניות דורשות.

כיצד נראית תנוחת אבטחת סייבר המונעת על ידי בינה מלאכותית

בינה מלאכותית עוזרת לך לעבור מנקודת מבט פשוטה של ​​כן או לא על איומים לתמונה עשירה יותר ומבוססת התנהגות. בצד הגילוי, מודלים יכולים לצפות בפעילות זהות, טלמטריה של נקודות קצה וזרימות רשת וללמוד מה נראה נורמלי בסביבה שלך. במקום לחסום רק קובץ זדוני ידוע, הם יכולים להציב דגל כאשר חשבון מתחבר ממיקום יוצא דופן בזמן יוצא דופן, עובר למערכת שמעולם לא נגע בה קודם לכן, ואז מתחיל להעביר כמויות גדולות של נתונים. כל אירוע בודד עשוי להיות קל להתעלם ממנו. הדפוס המשולב מעניין.

בצד החשיפה, כלים הנתמכים על ידי בינה מלאכותית יכולים למפות את משטח ההתקפה האמיתי שלך. הם יכולים לסרוק חשבונות ענן ציבורי, שירותים הפונים לאינטרנט ורשתות פנימיות כדי למצוא מערכות בדיקה נשכחות, אחסון שגוי ופאנלים חשופים של ניהול. הם יכולים לקבץ את הממצאים הללו לסיפורי סיכון מעשיים במקום רשימות גולמיות. זה חשוב במיוחד ככל שבינה מלאכותית בצל צומחת בתוך ארגונים, כאשר צוותים מפתחים מודלים וכלים משלהם ללא פיקוח מרכזי, מגמה ש-IBM מצביעה עליה במחקר האחרון שלה. עלות הפרת נתונים עבודה כאזור סיכון חמור. 

בצד התגובה, בינה מלאכותית יכולה לעזור לך לפעול מהר יותר ועקבי יותר. חלק ממרכזי הפעילות הביטחוניים כבר משתמשים במערכות הנתמכות על ידי בינה מלאכותית כדי להמליץ ​​על צעדי בלימה בזמן אמת ולסכם לוחות זמנים ארוכים של חקירה עבור אנליסטים אנושיים. הסוכנות לביטחון סייבר ותשתיות של ארצות הברית מתארת ​​מספר שימושים כאלה בדו"ח שלה. משאבי בינה מלאכותית, המראה כיצד בינה מלאכותית יכולה לסייע בזיהוי פעילות רשת חריגה ובניתוח זרמים גדולים של נתוני איומים במערכות פדרליות.

שום דבר מכל זה לא מסיר את הצורך בשיקול דעת אנושי. במקום זאת, בינה מלאכותית הופכת למכפיל כוח. היא משתלטת על המעקב המתמיד, זיהוי התבניות וחלק מהמיון המוקדם, כך שמגינים אנושיים יכולים להקדיש יותר זמן לחקירה מעמיקה ולשאלות עיצוב קשות, כגון אסטרטגיית זהות ופילוח.

איך להתחיל להתקדם בכיוון הזה

אם אתם אחראים על אבטחה, כל זה יכול להישמע גדול ומופשט. החדשות הטובות הן שהמעבר מפעילות ריאקטיבית לפעילות פרואקטיבית מתחיל בדרך כלל בכמה צעדים מבוססים ולא בטרנספורמציה ענקית.

הצעד הראשון הוא לסדר את זרמי הנתונים שלכם. בינה מלאכותית שימושית רק כמו האותות שהיא יכולה לראות. אם ספק הזהויות שלכם, כלי נקודות הקצה, בקרות הרשת ופלטפורמות הענן שולחים יומני רישום למילואים נפרדים, לכל מודל יהיו נקודות מתות ולתוקפים יהיו מקומות מסתור. השקעה בתצוגה מרכזית של הטלמטריה החשובה ביותר שלכם היא לעתים רחוקות זוהרת, אך זהו הבסיס שמאפשר תמיכה משמעותית בבינה מלאכותית.

הצעד השני הוא לבחור מקרי שימוש ספציפיים במקום לנסות לפזר בינה מלאכותית בכל מקום. צוותים רבים מתחילים בניתוח התנהגות עבור חשבונות משתמשים, זיהוי אנומליות בסביבות ענן, או זיהוי חכם יותר של דוא"ל ופישינג. המטרה היא לבחור תחומים שבהם אתם כבר יודעים שיש סיכון ובהם זיהוי תבניות על פני מערכי נתונים גדולים יכול לסייע בבירור.

הצעד השלישי הוא לשלב כל כלי חדש הנתמך על ידי בינה מלאכותית עם סט מפורש של מעקות בטיחות. זה כולל הגדרה של מה המודל רשאי לעשות בעצמו, מה חייב תמיד לכלול אדם, וכיצד תמדדו האם המערכת כנה ושימושית לאורך זמן. כאן, החשיבה ב... מסגרת NIST AI וההנחיות מסוכנויות כמו CISA יכולות לחסוך לכם את הצורך להמציא הכל מחדש בעצמכם.

מדוע אבטחת בינה מלאכותית פרואקטיבית לא יכולה לחכות

מתקפות סייבר הופכות למשהו שקרוב יותר למצב רקע קבוע מאשר מצב חירום נדיר, ותוקפים שמחים מאוד לתת לבינה מלאכותית לעשות עבורם הרבה מהעבודה הקשה. העלות עולה, נקודות הכניסה מתרבות, והכלים בצד התוקף הופכים לחכמים יותר משנה לשנה. מודל ריאקטיבי שמחכה להתראות רמות ואז נוקט בפעולה מהירה פשוט לא בנוי לעולם הזה.

עמדה פרואקטיבית המונעת על ידי בינה מלאכותית עוסקת פחות במרדף אחר טרנדים נוצצים ויותר בעבודה שקטה וחסרת זוהרות של סידור הנתונים, הוספת תובנות מבוססות התנהגות והצבת מעקות בטיחות ברורים סביב מערכות בינה מלאכותית חדשות, כך שיעזרו למגינים שלכם במקום להפתיע אותם. הפער בין תוקפים למגינים הוא אמיתי, אך הוא אינו קבוע, והבחירות שתעשו כעת לגבי אופן השימוש שלכם בבינה מלאכותית במחסנית האבטחה שלכם יקבעו איזה צד יתקדם מהר יותר בשנים הקרובות.