Cyberbezpieczeństwo

Zespoły bezpieczeństwa naprawiają niewłaściwe zagrożenia. Oto jak skorygować kurs w erze ataków opartych na sztucznej inteligencji

mm
Published
Updated

Ataki cybernetyczne nie są już ręcznymi, liniowymi operacjami. Z sztuczną inteligencją teraz wbudowaną w strategie ofensywne, atakujący rozwijają polimorficzne oprogramowanie szkodliwe, automatyzują rozpoznanie i omijają obrony szybciej niż wiele zespołów bezpieczeństwa może zareagować. To nie jest przyszły scenariusz, to się dzieje teraz.

W tym samym czasie, większość obron bezpieczeństwa wciąż jest reaktywna. Opierają się one na identyfikowaniu znanych wskaźników kompromitacji, stosowaniu historycznych wzorców ataków i oznaczaniu ryzyka na podstawie wyników, które mogą nie odzwierciedlać prawdziwego krajobrazu zagrożeń. Zespoły są przytłoczone ilością, a nie wglądem, tworząc idealne środowisko dla atakujących, aby odnieść sukces.

Przemysłowa mentalność oparta na checklistach zgodności, okresowych ocenach i fragmentaryzacji narzędzi stała się odpowiedzialnością. Zespoły bezpieczeństwa pracują ciężej niż kiedykolwiek, a jednak często naprawiają niewłaściwe rzeczy.

Dlaczego istnieje ta luka

Przemysł cyberbezpieczeństwa długo opierał się na ocenach ryzyka, takich jak CVSS, aby priorytetizować podatności. Jednak oceny CVSS nie odzwierciedlają rzeczywistego kontekstu infrastruktury organizacji, takiego jak czy podatność jest narażona, osiągalna lub wykorzystywana w ramach znanego łańcucha ataku.

W wyniku tego zespoły bezpieczeństwa często spędzają cenny czas na łataniu niepodatnych problemów, podczas gdy atakujący znajdują kreatywne sposoby, aby połączyć pominięte słabości i ominąć kontrolę.

Sytuacja jest dodatkowo skomplikowana przez fragmentaryzowany charakter stosu bezpieczeństwa. Systemy SIEM, EDR, narzędzia zarządzania podatnościami i platformy zarządzania postawą bezpieczeństwa w chmurze działają niezależnie. To rozproszone telemetryczne tworzy punkty ślepe, które atakujący z coraz większym powodzeniem wykorzystują.

Wykrywanie oparte na sygnaturach zanika

Jednym z najbardziej niepokojących trendów w nowoczesnym cyberbezpieczeństwie jest malejąca wartość tradycyjnych metod wykrywania. Statyczne sygnatury i alertowanie oparte na regułach były skuteczne, gdy zagrożenia podążały przewidywalnymi wzorcami. Ale ataki generowane przez sztuczną inteligencję nie grają według tych reguł. Zmieniają kod, unikają wykrycia i dostosowują się do kontroli.

Weźmy pod uwagę polimorficzne oprogramowanie szkodliwe, które zmienia swoją strukturę przy każdym wdrożeniu. Lub AI-generowane e-maile phishingowe, które naśladują style komunikacji executives z zaskakującą dokładnością. Te zagrożenia mogą przesłonić narzędzia oparte na sygnaturach.

Jeśli zespoły bezpieczeństwa będą nadal polegać na identyfikowaniu tego, co już widziano, pozostaną o krok za przeciwnikami, którzy ciągle innowują.

Ciśnienie regulacyjne rośnie

Problem nie jest tylko techniczny, jest również regulacyjny. U.S. Securities and Exchange Commission (SEC) niedawno wprowadziła nowe przepisy dotyczące ujawniania informacji o cyberbezpieczeństwie, wymagające od publicznych firm raportowania istotnych incydentów związanych z cyberbezpieczeństwem i opisywania strategii zarządzania ryzykiem w czasie rzeczywistym. Podobnie, Europejska Unia’s Digital Operational Resilience Act (DORA) wymaga przejścia od okresowych ocen do ciągłego, zwalidowanego zarządzania ryzykiem cybernetycznym.

Większość organizacji nie jest przygotowana do tego przejścia. Brakuje im zdolności do zapewnienia ocen w czasie rzeczywistym, czy ich bieżące kontrole bezpieczeństwa są skuteczne przeciwko dzisiejszym zagrożeniom, zwłaszcza jak sztuczna inteligencja nadal ewoluuje te zagrożenia z prędkością maszyny.

Priorytetyzacja zagrożeń jest złamana

Podstawowym wyzwaniem leży w tym, jak organizacje priorytetizują pracę. Większość nadal opiera się na statycznych systemach oceny ryzyka, aby określić, co zostanie naprawione i kiedy. Te systemy rzadko uwzględniają środowisko, w którym występuje podatność, ani czy jest ona narażona, osiągalna lub wykorzystywana.

To doprowadziło do sytuacji, w której zespoły bezpieczeństwa spędzają znaczny czas i zasoby na naprawianie podatności, które nie są atakowalne, podczas gdy atakujący znajdują sposoby, aby połączyć pominięte słabości i uzyskać dostęp. Tradycyjny model “znajdź i napraw” stał się niewydajnym i często nieskutecznym sposobem zarządzania ryzykiem cybernetycznym.

Bezpieczeństwo musi ewoluować z reagowania na alerty w kierunku zrozumienia zachowania przeciwnika – jak atakujący porusza się przez system, które kontrolki mogą ominąć i gdzie leżą prawdziwe słabości.

Lepsza droga do przodu: proaktywna, oparta na łańcuchu ataku obrona

Co gdyby zespoły bezpieczeństwa mogły ciągle symulować, jak prawdziwi atakujący próbowaliby naruszyć ich środowisko, i naprawiać tylko to, co jest najważniejsze?

Ten podejście, często nazywany ciągłą walidacją bezpieczeństwa lub symulacją łańcucha ataku, zyskuje na popularności jako strategiczna zmiana. Zamiast traktować podatności w izolacji, mapuje, jak atakujący mogliby łączyć słabości konfiguracji, słabości tożsamości i podatne aktywa, aby dotrzeć do krytycznych systemów.

Dzięki symulowaniu zachowania przeciwnika i walidacji kontroli w czasie rzeczywistym, zespoły mogą skoncentrować się na ryzykach, które są naprawdę narażone, a nie tylko na te, które są oznaczone przez narzędzia zgodności.

Zalecenia dla CISO i liderów bezpieczeństwa

Oto, co zespoły bezpieczeństwa powinny priorytetizować dzisiaj, aby pozostać przed atakami generowanymi przez sztuczną inteligencję:

  • Wdrożenie ciągłych symulacji ataków Przyjmij zautomatyzowane, napędzane przez sztuczną inteligencję narzędzia emulacji przeciwnika, które testują twoje kontrole w sposób, w jaki robią to prawdziwi atakujący. Te symulacje powinny być ciągłe, a nie tylko zastrzeżone do corocznych ćwiczeń czerwonego zespołu.
  • Priorytetizacja wykorzystywalności nad ciężkością Przejdź poza oceny CVSS. Włącz analizę łańcucha ataku i kontekstową walidację do twoich modeli ryzyka. Zapytaj: Czy ta podatność jest osiągalna? Czy może być wykorzystana dzisiaj?
  • Ujednolicenie telemetryczne bezpieczeństwa Skonsoliduj dane z platform SIEM, CSPM, EDR i VM do scentralizowanego, skorelowanego widoku. To umożliwia analizę łańcucha ataku i poprawia twoją zdolność do wykrywania złożonych, wieloetapowych infiltracji.
  • Automatyzacja walidacji obrony Przejdź od inżynierii wykrywania ręcznego do walidacji napędzanej przez sztuczną inteligencję. Użyj uczenia maszynowego, aby upewnić się, że twoje strategie wykrywania i reagowania ewoluują wraz z zagrożeniami, które mają powstrzymać.
  • Nowoczesne raportowanie ryzyka cybernetycznego Zamień statyczne pulpity ryzyka na oceny narażenia w czasie rzeczywistym. Wyrównaj się z ramami, takimi jak MITRE ATT&CK, aby pokazać, jak twoje kontrole mapują się na rzeczywiste zachowania zagrożeń.

Organizacje, które przechodzą na ciągłą walidację i priorytetizację opartą na wykorzystywalności, mogą oczekiwać wymiernych poprawek w wielu wymiarach operacji bezpieczeństwa. Skoncentrowując się tylko na działaniach o wysokim wpływie, zespoły bezpieczeństwa mogą zmniejszyć zmęczenie alertami i wyeliminować rozpraszające czynniki spowodowane fałszywymi pozytywami lub niewykorzystywalnymi podatnościami. To ukierunkowane podejście umożliwia szybsze i bardziej skuteczne reakcje na prawdziwe ataki, znacznie redukując czas przebywania i poprawiając zawartość incydentu.

Ponadto, to podejście poprawia wyrównanie regulacyjne. Ciągła walidacja zaspokaja rosnące wymagania ram, takich jak przepisy ujawniania cyberbezpieczeństwa SEC i rozporządzenie DORA Unii Europejskiej, które wymagają widoczności w czasie rzeczywistym ryzyka cybernetycznego. Być może najważniejsze, ta strategia zapewnia bardziej efektywną alokację zasobów i pozwala zespołom inwestować swój czas i uwagę tam, gdzie jest to najważniejsze, zamiast rozpraszać się na ogromnej powierzchni teoretycznego ryzyka.

Czas na adaptację jest teraz

Era zbrodni cybernetycznej napędzanej przez sztuczną inteligencję nie jest już przewidywaniem, jest teraźniejszością. Atakujący używają sztucznej inteligencji, aby znaleźć nowe ścieżki. Zespoły bezpieczeństwa muszą używać sztucznej inteligencji, aby zamknąć je.

To nie jest kwestia dodawania więcej alertów lub łatania szybciej. To jest kwestia wiedzy, które zagrożenia mają znaczenie, ciągłej walidacji obron i wyrównania strategii z rzeczywistym zachowaniem atakującego. Dopiero wtedy obrońcy mogą odzyskać przewagę w świecie, w którym sztuczna inteligencja zmienia zasady angażowania.

mm

Om Moolchandani jest współzałożycielem, Chief Information Security Officer (CISO) oraz Chief Product Officer (CPO) w Tuskira. Z tytułem licencjata i magistra w dziedzinie informatyki, Om posiada głęboką wiedzę w zakresie bezpieczeństwa chmury, zgodności oraz oprogramowania przedsiębiorstw. Poprzednio pełnił seniorskie role związane z bezpieczeństwem i produktami w wiodących firmach, w tym CrowdStrike, Tenable, GE oraz AutoGrid. Przed dołączeniem do Tuskira, współzałożył również Accurics, pionierską firmę CNAPP, która została przejęta przez Tenable. Om jest znany z tworzenia bezpiecznych, skalowalnych rozwiązań, które odpowiadają na współczesne wyzwania związane z cyberbezpieczeństwem.