Connect with us

Liderzy opinii

Hype AI przesłania ludzkie decyzje, które prowadzą do naruszeń

mm
Published
A photorealistic, wide-angle shot of a middle-aged IT professional in a bright, modern office, staring intensely at a computer monitor with a look of stressed urgency as he hovers his finger over a mouse to click a system pop-up.

AI zmienił sposób, w jaki organizacje myślą o zagrożeniach, z uwagą często skupioną na dużych operacjach, zautomatyzowanym rozpoznaniu i coraz bardziej przekonywującym naśladownictwie. Te rozwoje zasługują na uwagę, ale również zniekształciły understanding branży co do tego, gdzie zaczyna się najczęstsze narażenie.

Nawet gdy organizacje koncentrują się na bardziej zaawansowanych, napędzanych przez AI zagrożeniach, atakujący wciąż dostają się do drzwi, manipulując ludzkimi instynktami. Ataki ClickFix, złożona forma inżynierii społecznej, stanowiły 47% incydentów wstępnego dostępu obserwowanych w zeszłym roku. Pokazuje to, jak często naruszenie zaczyna się od osoby, która podejmuje szybką decyzję pod presją, a nie od luki w technologii.

Luka w odpowiedzi ludzkiej

Ataki ClickFix są skuteczne, ponieważ imitują sygnały, których techniczne zespoły są szkolone, aby rozwiązać. Nie zależą one od luk w oprogramowaniu lub błędów konfiguracyjnych. Zamiast tego wykorzystują prostą oczekiwanie: gdy coś wygląda nie tak, ktoś spróbuje to naprawić natychmiast.

Ten instynkt jest nasilony w środowiskach technicznych, gdzie czas pracy, responsywność i szybkie działanie są podstawowymi oczekiwaniami. Administratorzy i personel wsparcia są warunkowani, aby reagować szybko na ostrzeżenia, monity systemowe lub żądania dostępu. Atakujący rozumieją ten nacisk i projektują kampanie, które przypominają dokładnie sygnały, których profesjonaliści są szkoleni, aby rozwiązać.

AI uczynił tę kalkulację jeszcze bardziej niebezpieczną. Narzędzia generatywne pozwalają atakującym na tworzenie pułapek z prawie idealną gramatyką, terminologią systemową kontekstowo dokładną i sfałszowanymi interfejsami, które ściśle przypominają prawdziłe oprogramowanie przedsiębiorstw. Gdzie niezręczna pułapka kiedyś zdradzała próbę inżynierii społecznej, dzisiejsze ataki mogą być nie do odróżnienia od prawdziwego alertu IT, powiększając lukę między tym, co użytkownicy są szkoleni do rozpoznania, a tym, z czym naprawdę spotykają się w terenie.

Chwila, gdy wszystko idzie nie tak

Kluczowym wyzwaniem w przypadku incydentów ClickFix jest to, że kluczowy moment wygląda normalnie. Użytkownik akceptuje monit, resetuje dostęp lub autoryzuje zmianę. Działanie samo w sobie łączy się z codzienną aktywnością, co tworzy wyzwanie dla tradycyjnych narzędzi bezpieczeństwa. Te systemy wykrywają anomalie techniczne, ale nie mogą łatwo interpretować kontekstu za szybką decyzją.

Typowa sekwencja może wyglądać tak: użytkownik napotyka ostrzeżenie przeglądarki, że jego sesja wygasła lub wymagany wtyczka potrzebuje aktualizacji. Klikają przez monit, który uruchamia polecenie PowerShell w tle — którego nigdy nie widzą — podczas gdy widoczny interfejs mówi im tylko, że problem został rozwiązany. Cała interakcja trwa mniej niż 30 sekund. Nic w systemie log nie flaguje go jako niezwykłego, ponieważ technicznie nic niezwykłego nie nastąpiło. Prawdziwy użytkownik uruchomił polecenie na prawdziwej maszynie.

To prowadzi do kilku konsekwencji. Dziś 74% naruszeń obejmowało element ludzki, w tym ataki socjotechniczne, błędy i nadużycia. Ryzyko zachowania ludzkiego rzadko pojawia się w pulpita. Kontrole nie są problemem. Brakująca warstwa to widoczność, które decyzje są najbardziej prawdopodobne, aby być pospieszne i jak te decyzje tworzą otwarcia dla atakujących.

Ponowne rozważenie błędu ludzkiego

Zachowanie ludzkie nie powinno być traktowane jako izolowana troska szkoleniowa; powinno być traktowane jako podstawowy komponent architektury bezpieczeństwa.

Zamiast traktować je jako nieprzewidywalny wynik, organizacje powinny traktować je jako mierzalny czynnik ryzyka. Liderzy bezpieczeństwa mogą to osiągnąć, włączając spostrzeżenia dotyczące ludzi do ich postawy obronnej. Systemy powinny być zaprojektowane z realistycznymi oczekiwaniami dotyczącymi tego, jak ludzie się zachowują, a nie z założeniem, że zawsze będą się zachowywać w idealnych warunkach.

Pomiar tutaj jest konkretny, a nie abstrakcyjny. Organizacje mogą śledzić prędkość decyzji, jak szybko użytkownicy akceptują monity o wysokim wpływie podczas szczytowych godzin operacyjnych, i używać monitorowania wzorców akceptacji, aby ujawnić anomalie, takie jak autoryzacje po godzinach lub powtarzające się ominięcia standardowych ostrzeżeń. Bazowanie zachowania, stosowane na poziomie indywidualnym lub roli, daje zespołom bezpieczeństwa punkt odniesienia dla tego, co “normalne” wygląda, tak aby odchylenia rejestrowały się jako sygnał, a nie szum.

Rozwiązywanie przyczyny pierwotnej

Poprawa obrony przed atakami w stylu ClickFix zaczyna się od zrozumienia warunków, które prowadzą do pospiesznych decyzji. Liderzy mogą studiować wzorce, takie jak szybkie akceptacje, powtarzające się przypadki lub niespójne odpowiedzi na monity systemowe. Te obserwacje ujawniają, gdzie instynkt może przejąć czujność.

Przepływy pracy powinny być również oceniane pod kątem punktów nacisku, które zapraszają na błędy. Działania o wysokim wpływie korzystają z małych kroków weryfikacji, które pozwalają użytkownikom zatrzymać się i ocenić, co akceptują. Równocześnie zadania rutynowe powinny być uproszczone, aby zmniejszyć zmęczenie, które zachęca ludzi do klikania przez monity bez starannej uwagi.

Organizacje mogą uzyskać więcej spostrzeżeń, używając symulacji, które odzwierciedlają realistyczny nacisk. Tradycyjne testy phishingu są przydatne do świadomości, ale nie oceniają, jak ktoś reaguje, gdy obsługuje wiele zadań lub zarządza pilnym problemem operacyjnym. Scenariusze zbudowane wokół nacisku czasowego lub przerwania systemu ujawniają wzorce zachowania, które są trudne do wykrycia.

Wzmacnianie punktu awaryjnego

Zagrożenia napędzane przez AI będą nadal ewoluować, ale wiele naruszeń nadal śledzi się do ludzkiej decyzji podjętej w chwili. Rozwiązanie tej rzeczywistości nie wymaga spowolnienia operacji ani porzucenia automatyzacji. Wymaga projektowania systemów i przepływów pracy, które odzwierciedlają, jak ludzie naturalnie pracują, i budowania zabezpieczeń wokół punktów, w których instynkt ma tendencję do przejęcia czujności.

Organizacje, które włączają podejmowanie decyzji przez ludzi do swojego zrozumienia powierzchni ataku, uzyskują bardziej precyzyjny widok ryzyka operacyjnego. Prowadzi to do silniejszych obron wspieranych przez zarówno techniczne kontrole, jak i bardziej realistyczne zrozumienie, jak użytkownicy wchodzą w interakcje z systemami w trakcie codziennej pracy.

Related Topics:
mm

Ross Filipek ma ponad 20-letnie doświadczenie w branży usług zabezpieczeń cybernetycznych jako inżynier i konsultant. Oprócz kierowania działaniami Corsica w zakresie zarządzania ryzykiem cybernetycznym, świadczy usługi konsultacyjne vCISO dla wielu klientów Corsica. Ross uzyskał uznanie jako Cisco Certified Internetwork Expert (CCIE #18994; ścieżka bezpieczeństwa) oraz ISC2 Certified Information Systems Security Professional (CISSP). Uzyskał również tytuł MBA na Uniwersytecie Notre Dame.