Ажиотаж вокруг ИИ затмевает человеческие решения, которые приводят к утечкам

ИИ изменил то, как организации думают о угрозах, с вниманием, часто сосредоточенным на крупномасштабных операциях, автоматической разведке и все более убедительной имитации. Эти разработки заслуживают внимания, но они также исказили понимание отрасли о том, где начинается наиболее распространенная уязвимость.

Даже когда организации фокусируются на более продвинутых, обусловленных ИИ угрозах, атакующие все еще попадают в дверь, манипулируя человеческим инстинктом. Атаки ClickFix, сложная форма социальной инженерии, составили 47% от первоначальных инцидентов доступа, наблюдаемых в прошлом году. Это показывает, как часто утечка начинается с того, что человек принимает быстрое решение под давлением, а не из-за пробела в технологии.

Провал человеческой реакции

Атаки ClickFix эффективны, потому что они имитируют сигналы, на которые технические команды обучены реагировать. Они не зависят от уязвимостей программного обеспечения или ошибок конфигурации. Вместо этого они эксплуатируют простое ожидание: когда что-то кажется не так, кто-то попытается исправить это сразу.

Этот инстинкт усиливается внутри технических сред, где время безотказной работы, отзывчивость и быстрое действие являются основными ожиданиями. Администраторы и персонал поддержки обучены быстро реагировать на предупреждения, системные запросы или запросы доступа. Атакующие понимают это давление и проектируют кампании, которые напоминают точные сигналы, на которые профессионалы обучены реагировать.

ИИ сделал этот расчет более опасным. Генеративные инструменты позволяют атакующим создавать приманки с почти идеальной грамматикой, контекстно точной терминологией системы и подделанными интерфейсами, которые близко напоминают реальное программное обеспечение предприятия. Там, где неуклюжая подсказка когда-то выдавала попытку социальной инженерии, сегодняшние атаки могут быть неотличимы от законного предупреждения ИТ, расширяя разрыв между тем, что пользователи обучены обнаруживать, и тем, что они фактически встречают в поле.

Момент, когда все идет не так

Ключевым вызовом с инцидентами ClickFix является то, что решающий момент выглядит нормальным. Пользователь утверждает подсказку, сбрасывает доступ или авторизует изменение. Само действие сливается с повседневной деятельностью, что создает вызов для традиционных инструментов безопасности. Эти системы обнаруживают технические аномалии, но не могут легко интерпретировать контекст, стоящий за поспешным решением.

Типичная последовательность может выглядеть так: пользователь встречает предупреждение браузера, что его сессия истекла или требуется обновление плагина. Он кликает через подсказку, которая запускает команду PowerShell в фоновом режиме — ту, которую он никогда не видит, — пока видимый интерфейс просто говорит ему, что проблема решена. Всё взаимодействие занимает менее 30 секунд. Ничто в системном журнале не помечает его как необычное, потому что, технически, ничего необычного не произошло. Законный пользователь запустил команду на законной машине.

Это приводит к нескольким последствиям. Сегодня 74% утечек включали человеческий фактор, включая атаки социальной инженерии, ошибки и злоупотребления. Риски, связанные с человеческим поведением, редко появляются внутри панелей управления. Контроли не являются проблемой. Отсутствующим слоем является видимость того, какие решения наиболее вероятно будут поспешными и как эти решения создают возможности для атакующих.

Переоценка человеческой ошибки

Человеческое поведение не должно рассматриваться как изолированная проблема обучения; оно должно рассматриваться как основной компонент архитектуры безопасности.

Вместо того, чтобы рассматривать его как непредсказуемый результат, организации должны рассматривать его как измеримый фактор риска. Руководители безопасности могут добиться этого, включая человеческие прозрения в свою оборонительную позицию. Системы должны быть разработаны с учетом реалистичных ожиданий того, как люди ведут себя, а не с предположением, что они всегда будут вести себя в идеальных условиях.

Измерение здесь является конкретным, а не абстрактным. Организации могут отслеживать скорость принятия решений, как быстро пользователи утверждают высокоэффективные подсказки во время пиковых операционных часов, и использовать мониторинг шаблонов утверждения, чтобы выявить аномалии, такие как утверждения после рабочих часов или повторные обходы стандартных предупреждений. Базелирование поведения, применяемое на уровне отдельного человека или роли, дает командам безопасности точку отсчета для того, что “нормально” выглядит, так что отклонения регистрируются как сигнал, а не шум.

Устранение коренной причины

Улучшение защиты от атак ClickFix начинается с понимания условий, которые приводят к поспешным решениям. Руководители могут изучать закономерности, такие как быстрые утверждения, повторяющиеся почти промахи или несоответствующие реакции на системные подсказки. Эти наблюдения раскрывают, где инстинкт может преодолеть осторожность.

Потоки работы также должны быть оценены на наличие точек давления, которые приглашают ошибки. Действия с высоким влиянием выигрывают от небольших шагов верификации, которые позволяют пользователям паузу и оценить то, что они утверждают. В то же время рутинные задачи должны быть оптимизированы, чтобы уменьшить усталость, которая побуждает людей кликать через подсказки без тщательного рассмотрения.

Организации могут получить дальнейшие прозрения, используя симуляции, которые отражают реалистичное давление. Традиционные тесты на фишинг полезны для повышения осведомленности, но они не оценивают, как кто-то реагирует, когда обрабатывает несколько задач или управляет срочной операционной проблемой. Сценарии, построенные вокруг временного давления или прерывания системы, раскрывают закономерности поведения, которые в противном случае трудно обнаружить.

Эффективные симуляции вводят переменные, которые традиционные тесты игнорируют, одновременную нагрузку задач, окна усталости в конце дня и прерывания в середине рабочего процесса, которые заставляют переключить контекст прямо перед высокорисковым запросом. Пользователь, который обнаруживает фишинговое письмо в изоляции, может утверждать вредоносную подсказку без колебаний, когда он jongлирует активным инцидентом в 16:45. Создание тестов, которые реплицируют эти условия, генерирует поведенческие данные, которые организации могут фактически использовать, а не метрики осведомленности, которые не переводятся в улучшенную реакцию под давлением.

Это также помогает планировать инциденты, которые начинаются с законных действий. Многие команды фокусируются на обнаружении неавторизованного поведения. На практике первый значимый знак атаки может быть утвержденной подсказкой, которая никогда не должна была быть утверждена. Включение этого ожидания в планирование реагирования на инциденты делает его проще обнаружить ранние индикаторы, которые в противном случае были бы упущены из виду.

Укрепление точки отказа

Угрозы, обусловленные ИИ, будут продолжать эволюционировать, но многие утечки все еще отслеживаются до человеческого решения, принятого в момент. Устранение этой реальности не требует замедления операций или отказа от автоматизации. Это требует проектирования систем и потоков работы, которые отражают, как люди естественно работают, и создания защитных мер вокруг точек, где инстинкт склонен преодолеть осторожность.

Организации, которые включают человеческое принятие решений в свое понимание поверхности атаки, получают более точное представление о операционном риске. Это приводит к более сильным защитам, поддерживаемым как техническими контролями, так и более реалистичным пониманием того, как пользователи взаимодействуют с системами во время повседневной работы.