Kontakt med oss

Cybersecurity

AI-trusler er en distraksjon. Ditt virkelige problem er nærmere hjemmet.

mm
Publisert

La oss være ærlige: AI-drevne cyberangrep er en skremmende utsikt. Men de er ikke den største trusselen mot bedriften din.

Den største trusselen er distraksjon de lager.

I over 15 år har jeg sett den samme historien utspille seg. Ledelsen blir skremt av den nyeste «AI-supertrusselen», mens sikkerhetsteamet fortsatt sliter med å svare på grunnleggende spørsmål som: «Hvor er våre mest sensitive kundedata?» eller «Hvem eier oppdateringen for det kritiske systemet?» Vi jager skinnende nye verktøy mens ingeniører blir trukket inn i samsvarsøvelser i siste liten, og kritiske sårbarheter blir nedprioritert.

Dette er klassikeren «Flott lås på en skjermdør» problem. Organisasjoner haster med å implementere AI-drevet forsvar, men angripere bruker AI med færre regler og mer smidighet for å gå rett gjennom grunnleggende hull i prosesser, eierskap og kultur. Spesielt for mellomstore bedrifter er det å ignorere det grunnleggende en invitasjon til å bli den neste advarselen.

Hvorfor statiske forsvar mislykkes i en dynamisk verden

Da jeg startet karrieren min, var sikkerhet en sjekkliste: antivirus, oppdateringer og sterke brannmurer. Den verdenen er for lengst forbi. I dag omskriver polymorf skadevare seg selv for å unngå signaturer, og botnett iverksetter angrep raskere enn noe menneske kan reagere.

Kryptert trafikk har blitt motstanderens favorittgjemmested. Zscalers ThreatLabz-rapport fra 2024 fant at Nesten 90 % av skadelig programvare leveres nå via krypterte kanalerDet betyr at ni av ti trusler er usynlige for eldre verktøy som ikke kan inspisere den trafikken.

Den virkelige flaskehalsen er imidlertid ikke bare teknologi; det er organisatorisk friksjonJeg har sett dyktige sikkerhetsteam bruke uker på å få medhold i å lukke et kjent gap. I løpet av tiden det tar å planlegge møtene, kan en automatisert angriper være både inne og ute. Å være statisk er ikke lenger et alternativ. Sikkerhetsprogrammer må være kontekstbevisste og fokusert på de delene av virksomheten som beveger seg raskt.

Industrialiseringen av nettkriminalitet

Dette burde ikke overraske noen. Angripere er gründere som driver en bedrift. De tar rett og slett i bruk ny teknologi for å forbedre avkastningen sin – akkurat som vi gjør. AI hjelper dem med å industrialisere driften sin.

  • Phishing-som-en-tjeneste, Supercharged: Phishing er fortsatt den vanligste innfallsporten. FBI og IBM rapporterer det som den vanligste tilgangsvektoren i årevis på rad. Nå, med generative AI-verktøy som «FraudGPT», kan kriminelle lage perfekt skreddersydde, grammatikkfrie phishing-kampanjer i en skala vi aldri har sett før.
  • Stemmen er en løgn: Talefisking («vishing») eksploderer. CrowdStrike så en 442% økning ettersom angripere bruker AI-klonede stemmer for å utgi seg for å være ledere og lure ansatte til å overføre penger. Et britisk energiselskap tapte over $243,000 denne veien fra én enkelt samtale.
  • Fremveksten av den automatiserte motstanderen: CrowdStrikes trusseljegere ser nå ende-til-ende automatiserte kampanjer – fra AI-genererte CV-er med deepfake-videointervjuer til skadevarefrie inntrengere som ligger utelukkende i skyen.

Forsvarere står overfor trusler som tilpasser seg og vedvarer med minimal menneskelig tilsyn. Angripere har automatisert i årevis; AI har bare satt arbeidsflyten sin på hyperdrive.

For å holde tritt er det på høy tid at vi gir slipp på utdaterte, sjekklistedrevne tilnærminger til samsvar og cybersikkerhet. Å lete etter en mirror bullet med det nyeste verktøyet på markedet er heller ikke svaret. Når det er sagt, er dette en unik mulighet til å gå tilbake til det grunnleggende.

Slutt å spørre «Er vi ettergivende?» Begynn å spørre «Er vi robuste?»

Selv om AI omformer landskapet, skjer de fleste sikkerhetsbrudd fortsatt på grunn av forsømte grunnleggende elementer. Joda, den administrerende direktørens stemme ble klonet, men den virkelige feilen var sannsynligvis en ødelagt økonomisk godkjenningsprosess. AI-en var bare det siste trinnet i en kjede av oversett grunnleggende elementer.

AI trenger ikke å finne en nulldagers utnyttelse når den kan finne en fem år gammel, uoppdatert server eller en utvikler med administratorrettigheter til alt. Å kjøpe et nytt AI-drevet sikkerhetsverktøy vil ikke fikse en ødelagt kultur. AI bør styrke sterke prosesser, ikke erstatte dem.

Det er her ledelsen ofte tar feil. Jeg har vært i styrerom der spørsmålet var: «Er vi i samsvar med regelverket?» Det bedre spørsmålet er, «Gjør sikkerhetsprogrammet vårt virksomheten vår sterkere?»

Samsvar med regler blir en avkrysningsboksøvelse. Produktteamene løper fremover, ingeniører får sikkerhetsoppgaver uten ressurser, og ledere antar at en ren revisjon betyr at virksomheten er trygg. Det gjør den ikke. Løsningen er ikke flere verktøy; det er sterkere stillas ovenfra og ned. Sikkerhet må knyttes direkte til forretningsvekst og produktintegritet.

En pragmatisk strategibok for AI-æraen

Fortune 500-selskaper kan kaste penger på dette problemet. Mellomstore selskaper må være smartere. Så hva gjør du egentlig? do?

  1. Fiks fundamentet ditt først. Før du kjøper et nytt verktøy, sørg for at du har en bunnsolid oversikt over dataene dine, skuddsikre tilgangskontroller og en oppdateringsprosess som faktisk fungerer.
  2. Sett AI på dagsordenen. Kjør bordøvelser basert på AI-drevne angrep. Gjør det til en fast del av styrets rapportering, slik at det behandles som en forretningsrisiko, ikke et IT-problem.
  3. Fokuser på atferd, ikke bare statiske signaler. Prioriter verktøy som oppdager merkelig aktivitet – som en brukerkonto som plutselig åpner en database den aldri berører – fremfor verktøy som bare jakter på kjent skadelig programvare.

AI er ikke fienden – selvtilfredshet er det

AI er ikke et tveegget sverd; det er et forstørrelsesglass. Det gjør gode prosesser mer effektive og dårlige prosesser katastrofale.

Angripere vil alltid ha nye verktøy. Det virkelige spørsmålet er om sikkerhetsstrategien din er bygget på et solid fundament av robusthet, eller om den bare jager det neste skinnende objektet. Æraen med «sett det og glem det»-sikkerhet er over. Organisasjoner som bygger en sikkerhetskultur og treffer det grunnleggende, vil vinne, selv i en tidsalder med autonome trusler.

Relaterte temaer:
mm

Nicholas Muy er CISO hos Scrut Automation, og leder cybersikkerhetsinitiativer på tvers av samsvar og risikostyring innen kunstig intelligens. Med mer enn 15 års erfaring innen kunstig intelligens-drevet trusselmodellering og sikkerhetsstrategi for bedrifter, har han beskyttet Fortune 500-miljøer og bidratt til nasjonal cyberpolitikk ved det amerikanske departementet for innenlandssikkerhet.