Hype-ul legat de IA umbrește deciziile umane care duc la încălcări

IA a reschimbat modul în care organizațiile gândesc despre amenințări, cu atenția adesea concentrată pe operațiuni la scară largă, recunoaștere automată și impersonare din ce în ce mai convingătoare. Aceste evoluții merită atenție, dar au distorsionat și înțelegerea industriei cu privire la locul în care începe cea mai comună expunere.

Chiar și în timp ce organizațiile se concentrează pe amenințări mai avansate, conduse de IA, atacatorii încă reușesc să pătrundă prin manipularea instinctului uman. Atacurile ClickFix, o formă sofisticată de inginerie socială, au reprezentat 47% din incidentele de acces inițial observate anul trecut. Acest lucru arată cât de des o încălcare începe cu o persoană care ia o decizie rapidă sub presiune, nu cu o lacună în tehnologie.

Gap-ul de răspuns uman

Atacurile ClickFix sunt eficiente pentru că imită semnalele pe care echipele tehnice sunt instruite să le abordeze. Ele nu depind de vulnerabilități de software sau de erori de configurare. În schimb, ele exploatează o așteptare simplă: atunci când ceva pare în neregulă, cineva va încerca să o repare imediat.

Acest instinct este intensificat în medii tehnice în care timpul de funcționare, răspunsul și acțiunea rapidă sunt așteptări de bază. Administratorii și personalul de suport sunt condiționați să răspundă rapid la avertizări, prompturi de sistem sau solicitări de acces. Atacatorii înțeleg această presiune și proiectează campanii care semănă cu semnalele exacte pe care profesioniștii sunt instruiți să le abordeze.

IA a făcut această ecuație și mai periculoasă. Uneltele generative permit atacatorilor să creeze capcane cu gramatică aproape perfectă, terminologie de sistem contextualmente precisă și interfețe falsificate care semănă izbitor cu software-ul real al întreprinderii. În timp ce o promptă nesigură dădea de obicei drumul unei încercări de inginerie socială, atacurile de astăzi pot fi de neînțeles de la o alertă IT legitimă, lărgind decalajul dintre ceea ce utilizatorii sunt instruiți să observe și ceea ce întâlnesc de fapt în teren.

Momentul în care lucrurile merg prost

O provocare cheie cu incidentele ClickFix este că momentul critic arată normal. Un utilizator aprobă un prompt, resetează accesul sau autorizează o schimbare. Acțiunea în sine se amestecă în activitatea de zi cu zi, ceea ce creează o provocare pentru instrumentele de securitate tradiționale. Aceste sisteme detectează anomalii tehnice, dar nu pot interpreta ușor contextul din spatele unei decizii grăbite.

O secvență tipică ar putea arăta astfel: un utilizator întâmpină o avertizare a browser-ului că sesiunea sa a expirat sau că un plugin necesar trebuie actualizat. Ei fac clic pe un prompt care rulează o comandă PowerShell în fundal — pe care nu o văd niciodată — în timp ce interfața vizibilă le spune doar că problema este rezolvată. Întreaga interacțiune durează sub 30 de secunde. Nimic în jurnalul sistemului nu semnalează acest lucru ca fiind neobișnuit, deoarece, tehnic, nu s-a întâmplat nimic neobișnuit. Un utilizator legitim a rulat o comandă pe o mașină legitimă.

Acest lucru duce la mai multe consecințe. Astăzi, 74% din încălcări au implicat elementul uman, inclusiv atacuri de inginerie socială, erori și abuzuri. Riscurile comportamentale umane rareori apar în interiorul tablourilor de bord. Controalele nu sunt problema. Stratul lipsă este vizibilitatea în ceea ce privește care decizii sunt cel mai probabil să fie grăbite și cum aceste decizii creează deschideri pentru atacatori.

Reevaluarea erorii umane

Comportamentul uman nu ar trebui tratat ca o preocupare izolată de instruire; ar trebui să fie privit ca o componentă de bază a arhitecturii de securitate.

În loc de a-l trata ca pe un rezultat imprevizibil, organizațiile ar trebui să-l trateze ca pe un factor de risc măsurabil. Liderii de securitate pot realiza acest lucru prin integrarea insight-urilor centrate pe om în postura lor defensivă. Sistemele ar trebui să fie proiectate cu așteptări realiste cu privire la modul în care oamenii se comportă, nu cu presupunerea că vor avea întotdeauna un comportament ideal.

Măsurarea aici este concretă, nu abstractă. Organizațiile pot urmări viteza deciziei, cât de repede utilizatorii aprobă prompturi cu impact ridicat în timpul orelor de operare de vârf, și pot utiliza monitorizarea modelului de aprobare pentru a aduce la suprafață anomalii, cum ar fi autorizările după orele de program sau suprascrierile repetate ale avertizărilor standard. Bazarea comportamentală, aplicată la nivel individual sau de rol, oferă echipelor de securitate un punct de referință pentru ceea ce “normal” înseamnă, astfel încât deviațiile să fie înregistrate ca semnal și nu ca zgomot.

Abordarea cauzei radicale

Îmbunătățirea apărării împotriva atacurilor de tip ClickFix începe cu înțelegerea condițiilor care duc la decizii grăbite. Liderii pot studia modele, cum ar fi aprobări rapide, aproape de rată sau răspunsuri inconsistente la prompturi de sistem. Aceste observații arată unde instinctul poate anula prudența.

Fluxurile de lucru ar trebui, de asemenea, să fie evaluate pentru punctele de presiune care invită la greșeli. Acțiunile cu impact ridicat beneficiază de mici pași de verificare care permit utilizatorilor să se oprească și să evalueze ce aprobă. În același timp, sarcinile de rutină ar trebui să fie simplificate pentru a reduce oboseala care încurajează oamenii să facă clic pe prompturi fără o considerare atentă.

Organizațiile pot obține o perspectivă mai bună prin utilizarea simulărilor care reflectă presiunea realistă. Testele tradiționale de phishing sunt utile pentru conștientizare, dar nu evaluează cum răspunde cineva atunci când gestionează mai multe sarcini sau gestionează o preocupare operațională urgentă. Scenariile construite în jurul presiunii timpului sau a întreruperii sistemului dezvăluie modele comportamentale care altfel sunt greu de detectat.

Simulările eficiente introduc variabile pe care testele tradiționale le ignoră, încărcătura de sarcină concurentă, ferestrele de oboseală de la sfârșitul zilei și întreruperile din fluxul de lucru care forțează o comutare de context exact înainte de a apărea un prompt cu risc ridicat. Un utilizator care identifică un e-mail de phishing în izolare poate aproba un prompt malign fără ezitare atunci când gestionează o problemă activă la ora 16:45. Construirea unor teste care replică aceste condiții generează date comportamentale pe care organizațiile le pot folosi cu adevărat, și nu doar metrici de conștientizare trecut/nu trecut care nu se traduc într-o reacție îmbunătățită sub presiune.

De asemenea, ajută la planificarea incidentelor care încep cu acțiuni legitime. Multe echipe se concentrează pe detectarea comportamentului neautorizat. În practică, primul semn semnificativ al unui atac poate fi un prompt aprobat care nu ar fi trebuit să fie aprobat. Integrarea acestei așteptări în planificarea răspunsului la incidente face mai ușor să se detecteze indicatorii timpurii care altfel ar fi trecuți cu vederea.

Întărirea punctului de eșec

Amenințările activate de IA vor continua să evolueze, dar multe încălcări se datorează încă unei decizii umane luate în momentul oportun. Abordarea acestei realități nu necesită încetinirea operațiunilor sau abandonarea automatizării. Necessită proiectarea sistemelor și a fluxurilor de lucru care reflectă modul în care oamenii lucrează în mod natural și construirea de garduri în jurul punctelor în care instinctul tinde să anuleze prudența.

Organizațiile care incorporează decizia umană în înțelegerea suprafeței de atac obțin o perspectivă mai precisă asupra riscului operațional. Acest lucru duce la apărări mai puternice, susținute atât de controale tehnice, cât și de o înțelegere mai realistă a modului în care utilizatorii interacționează cu sistemele în timpul activității de zi cu zi.