Угрозы ИИ – это отвлечение. Ваша реальная проблема гораздо ближе к дому

Давайте будем честными: кибератаки, использующие ИИ, – это страшная перспектива. Но они не являются самой большой угрозой для вашего бизнеса.

Самая большая угроза – это отвлечение, которое они создают.

Более 15 лет я вижу, как разворачивается одна и та же история. Руководство пугается последней “суперугрозой ИИ”, а команда безопасности все еще борется с ответами на基本ные вопросы, такие как “Где наши наиболее чувствительные данные клиентов?” или “Кто отвечает за патчинг критической системы?” Мы гонимся за новыми инструментами, пока инженеры не будут вовлечены в последние процедуры соблюдения требований, и критические уязвимости не будут отложены.

Это классическая проблема “фанкий замок на двери экрана”. Организации спешат развернуть системы защиты, основанные на ИИ, но атакующие используют ИИ с меньшим количеством правил и большей гибкостью, чтобы пройти через фундаментальные пробелы в процессах, владении и культуре. Для компаний среднего рынка, в частности, игнорирование основ – это приглашение стать следующей предостерегающей историей.

Почему статические защиты терпят неудачу в динамичном мире

Когда я начал свою карьеру, безопасность была списком: антивирус, патчи и сильные брандмауэры. Этот мир давно прошел. Сегодня полиморфный вредоносный код переписывает себя, чтобы избежать подписей, и бот-сети запускают атаки быстрее, чем любой человек может отреагировать.

Зашифрованный трафик стал любимым местом укрытия противника. Отчет ThreatLabz 2024 года от Zscaler показал, что почти 90% вредоносного кода теперь доставляется по зашифрованным каналам. Это означает, что девять из десяти угроз невидимы для устаревших инструментов, которые не могут проверять этот трафик.

Однако реальная бутылочная пробка не только в технологии, но и в организационном трении. Я видел, как отличные команды безопасности тратят недели на то, чтобы просто получить согласие на закрытие известной уязвимости. За время, необходимое для планирования встреч, автоматизированный атакующий может уже уйти. Быть статичным больше не является вариантом. Программы безопасности должны быть контекстно-зависимыми и сосредоточенными на динамичных частях бизнеса.

Индустриализация киберпреступности

Это не должно удивлять никого. Атакующие – это предприниматели, которые управляют бизнесом. Они просто принимают новую технологию, чтобы улучшить свою окупаемость инвестиций – как и мы. ИИ помогает им индустриализировать свои операции.

• Фишинг как услуга, суперзаряженный: Фишинг все еще является лучшим способом проникнуть. ФБР и IBM сообщают об этом как о основном векторе первоначального доступа на протяжении многих лет. Теперь, с помощью генеративных инструментов ИИ, таких как “FraudGPT”, преступники могут создавать идеально подобранные, безграмотные фишинговые кампании в масштабе, который мы никогда не видели.
• Голос – это ложь: Голосовой фишинг (“вошинг”) взрывоопасен. CrowdStrike увидел 442% увеличение, когда атакующие используют ИИ-клонированные голоса, чтобы выдать себя за руководителей и обмануть сотрудников, заставив их перевести средства. Британская энергетическая компания потеряла более $243 000 таким образом из одного звонка.
• Рост автоматизированного противника: Охотники за угрозами CrowdStrike теперь видят конечные автоматизированные кампании – от ИИ-генерированных резюме с глубокими видео-интервью до вредоносных программ, которые живут исключительно в облаке.

Защитники сталкиваются с угрозами, которые адаптируются и сохраняются с минимальным человеческим надзором. Атакующие автоматизируют свои действия уже много лет; ИИ просто перевел их рабочий процесс на гипердрайв.

Чтобы идти в ногу, пришло время отказаться от устаревших, основанных на списке подходов к соблюдению требований и кибербезопасности. Поиск серебряной пули с помощью последнего инструмента на рынке не является ответом. Однако это уникальная возможность вернуться к основам.

Перестаньте спрашивать “Соответствуем ли мы требованиям?” Начните спрашивать “Являемся ли мы устойчивыми?”

Даже когда ИИ меняет ландшафт, большинство нарушений все еще происходит из-за пренебрежения основами. Конечно, голос генерального директора был клонирован, но реальная неудача, скорее всего, была связана с нарушением финансового процесса утверждения. ИИ был просто последним шагом в цепи пропущенных основ.

ИИ не нужно находить zero-day эксплойт, когда он может найти пятилетний непатченный сервер или разработчика с правами администратора на все. Покупка еще одного ИИ-инструмента безопасности не исправит сломанную культуру. ИИ должен укреплять сильные процессы, а не заменять их.

Это то место, где руководство часто ошибается. Я был в совещательных комнатах, где вопросом было: “Соответствуем ли мы требованиям?” Лучший вопрос – “Делает ли наша программа безопасности наш бизнес сильнее?”

Соблюдение требований становится упражнением по проверке списка. Продуктовые команды спринт вперед, инженерам передаются обязанности по безопасности без ресурсов, и руководители предполагают, что чистая проверка означает, что бизнес в безопасности. Это не так. Решение не заключается в более инструментах; это более сильная основа сверху.

Прагматичный справочник для эпохи ИИ

Компании Fortune 500 могут бросить деньги на эту проблему. Компании среднего рынка должны быть умнее. Итак, что вы фактически делаете?

1. Исправьте свою основу сначала. Прежде чем покупать еще один инструмент, убедитесь, что у вас есть прочный инвентарь ваших данных, прочные средства контроля доступа и процесс патчинга, который действительно работает.
2. Поместите ИИ в повестку дня. Проведите столовые упражнения на основе атак, использующих ИИ. Сделайте это регулярной частью отчетности совета, чтобы оно было рассмотрено как бизнес-риски, а не проблема ИТ.
3. Сосредоточьтесь на поведении, а не только на статических сигналах. Отдавайте приоритет инструментам, которые обнаруживают странную активность – например, когда учетная запись пользователя внезапно получает доступ к базе данных, которую она никогда не трогала – над инструментами, которые просто охотятся за известным вредоносным кодом.

ИИ не является врагом – самодовольство является

ИИ не является двусторонним мечом; это лупа. Он делает хорошие процессы более эффективными и плохие процессы катастрофическими.

Атакующие всегда будут иметь новые инструменты. Реальный вопрос заключается в том, построена ли ваша стратегия безопасности на прочной основе устойчивости или просто гоняется за следующим блестящим объектом. Эра безопасности “установи и забудь” закончилась. Организации, которые строят культуру безопасности и укрепляют основы, выиграют, даже в эпоху автономных угроз.