AIのハイプは、脆弱性につながる人間の判断を陰に隠している

AIは、組織が脅威について考えるやり方を変えました。注目は、大規模な作戦、自動化された偵察、そしてますます説得力のある擬似化に焦点を当てています。これらの開発は注目に値しますが、業界の理解を歪めてしまっています。最も一般的な脆弱性がどこから始まるのかということを。

組織は、より高度でAI駆動の脅威に焦点を当てている間、攻撃者は人間の本能を操作してまだドアを開けています。ClickFix攻撃は、社会工学の洗練された形態であり、47%の初期アクセスインシデントを占めました。つまり、脆威は技術的なギャップではなく、人間がプレッシャー下で迅速な決定を下すことから始まることが多いことを示しています。

人間の反応ギャップ

ClickFix攻撃は、技術チームが対応するように設計された信号を模倣しているため有効です。ソフトウェアの脆弱性や構成ミスに依存していません。代わりに、単純な期待を利用しています。何かが間違っているように見えたら、誰かがすぐにそれを修正しようとするからです。

この本能は、技術環境の中で強化されます。ここでは、稼働時間、応答性、迅速な行動がコアの期待です。管理者とサポート要員は、警告、システムプロンプト、またはアクセス要求に迅速に応答するように条件付けられています。攻撃者はこのプレッシャーを理解し、専門家が対応するように設計された信号と同じキャンペーンを設計しています。

AIは、この計算をより危険にしました。生成ツールを使用すると、攻撃者は、ほぼ完璧な文法、状況に応じたシステム用語、そして本物の企業ソフトウェアに近いスプーフィングされたインターフェイスで、ルアーを制作できます。以前は、不器用なプロンプトが社会工学の試みを明らかにしていたのに対し、今日の攻撃は、正当なITアラートと区別がつかない可能性があり、ユーザーがフィールドで実際に遭遇するものと、ユーザーがスポットするように訓練されているものの間のギャップを拡大します。

間違いの瞬間

ClickFixインシデントの重要な課題は、重要な瞬間が正常に見えることです。ユーザーはプロンプトを承認したり、アクセスをリセットしたり、変更を承認したりします。アクション自体は日常の活動に混じり、伝統的なセキュリティツールに課題を生じさせます。これらのシステムは技術的な異常を検出できますが、急いで決定した背景を簡単に解釈できません。

典型的なシーケンスは次のようになります。ユーザーは、セッションが期限切れになったか、必要なプラグインの更新が必要であることを示すブラウザーワーニングに遭遇します。ユーザーは、バックグラウンドでPowerShellコマンドを実行するプロンプトをクリックしますが、ユーザーはそれを見ないでしょう。表示されるインターフェイスは、問題が解決されたことを示します。全体のやり取りは30秒以下で完了します。システムログでは何もフラグされません。なぜなら、技術的に何も不通常なことが起こらなかったからです。正当なユーザーが正当なマシンでコマンドを実行したからです。

これにより、複数の結果が生じます。今日、74%の脆弱性は、人間の要素を含み、社会工学攻撃、エラー、または誤用を含みます。人間の行動リスクは、ダッシュボード内にほとんど表示されません。問題はコントロールではありません。欠けているレイヤーは、どの決定が最も急いで行われる可能性があり、そしてどのようにしてそれらの決定が攻撃者にオープニングを作るかへの可視性です。

人間のミスを再考する

人間の行動は、分離されたトレーニングの懸念事項として扱われるべきではありません。セキュリティアーキテクチャの核心的なコンポーネントとして扱われるべきです。

それを予測不可能な結果として扱うのではなく、計測可能なリスク要因として扱うべきです。セキュリティリーダーは、防御的な姿勢に人間中心の洞察を組み込むことでこれを達成できます。システムは、理想的な条件で常に行動するという仮定ではなく、人間が実際にどのように行動するかという現実的な期待で設計されるべきです。

ここでの測定は、抽象的なものではなく、具体的なものです。組織は、決定の速度、ユーザーがピーク時には高影響のプロンプトをどれくらい迅速に承認するか、承認パターンの監視を使用して、標準的な警告の後に時間外の承認や繰り返しのオーバーライドなどの異常を浮き彫りにすることができます。個々のレベルまたは役割レベルで適用される行動のベースライン化により、セキュリティチームは、「正常」に見えるものについての参照点を持ち、偏差がノイズではなく信号として登録されるようになります。

根本原因に対処する

ClickFixスタイルの攻撃に対する防御を改善するには、急いで決定につながる条件を理解する必要があります。リーダーは、迅速な承認、繰り返しのニアミス、またはシステムプロンプトへの一貫性のない応答などのパターンを研究できます。これらの観察により、直感が用心深さを上回る場所が見つかります。

ワークフローも、ミスを誘発するプレッシャーポイントのために評価されるべきです。高影響のアクションは、ユーザーが何を承認しているかを評価するための小さな検証ステップが役立ちます。同時に、ルーチンタスクは、ユーザーがプロンプトを注意深く検討せずにクリックするのを促す疲労を減らすために、ストリームライン化されるべきです。

組織は、現実的なプレッシャーを反映するシミュレーションを使用することで、さらに洞察を得ることができます。伝統的なフィッシングテストは認識に役立ちますが、複数のタスクを処理したり、緊急の運用上の懸念を管理したりしている間に誰がどう対応するかを評価しません。時間のプレッシャーまたはシステムの割り込みを中心に構築されたシナリオは、伝統的なテストでは検出が難しい行動パターンを明らかにします。

有効なシミュレーションは、従来のテストで無視される変数、並行タスクの負荷、遅い時間の疲労ウィンドウ、および重要なプロンプトが出現する直前にコンテキストスイッチを強いるミッドワークフローの割り込みを導入します。ユーザーが分離されたフィッシング電子メールをスポットすることができますが、ユーザーは4:45 PMにアクティブなインシデントを処理しているときに、悪意のあるプロンプトを承認することなく躊躇しません。実際の条件を再現するテストを構築すると、組織が実際に使用できる行動データが生成され、圧力下での改善された対応ではなく、パス/ファイルの認識メトリックが生成されます。

また、正当なアクションから始まるインシデントを計画することも役立ちます。多くのチームは、未承認の動作の検出に焦点を当てています。実践では、攻撃の最初の有意義な兆候は、承認されたプロンプトが承認されるべきではなかったプロンプトである可能性があります。インシデント対応計画にこの期待を組み込むと、別の場合には見過ごされる早期の兆候をより簡単に検出できます。

故障点の強化

AI駆動の脅威は進化し続けるでしょうが、多くの脆弱性はまだ人間の決定に遡ります。現実を認識するには、運用を遅くする必要はありません。システムとワークフローを設計する必要があります。人間が自然に働き、直感が用心深さを上回るポイントにセーフガードを構築します。

組織は、攻撃面の理解に人間の意思決定を組み込むことで、運用上のリスクについてより正確な見方を得ることができます。これにより、技術的なコントロールと、ユーザーが日常の作業中にシステムとどのようにやり取りするかについてのより現実的な理解によってサポートされる、より強力な防御が可能になります。