Кибербезопасность

Триллион-долларовые гонки вооружений: Как ИИ меняет асимметричное поле кибербезопасности

mm
Опубликовано
Обновлено

Масштаб современной кибербезопасности

Кибербезопасность эволюционировала в триллион-долларовую отрасль — цифру, сопоставимую с ВВП целых стран. Чтобы понять это, глобальный рынок кибербезопасности соперничает с экономическим выводом стран, таких как Индонезия (1,4 триллиона долларов) или Нидерланды (1,0 триллиона долларов). Это массовые инвестиции отражают не только ценность того, что мы защищаем, но и беспощадную природу угроз, которые возникли за последний четверть века.

Фундаментальная асимметрия

Эта отрасль всегда процветала на том, что можно охарактеризовать как асимметричную инновацию. Отношения между атакующими и защитниками представляют собой один из наиболее fascинiruyuschih примеров конкурентной динамики в современной экономике. Математика жестока и беспощадна: темной стороне нужно преуспеть только один раз, в то время как решения по защите должны поймать как можно больше атак — идеально все.
Эта асимметрия создает уникальную среду для инноваций. Атакующие могут позволить себе неудачи повторно, учась на каждой попытке и совершенствуя свои методы. Защитники, с другой стороны, должны поддерживать почти идеальную бдительность на расширяющейся поверхности атак. Наблюдая за этой эволюцией почти 25 лет, появление атак, основанных на ИИ, представляет собой как предсказуемую эволюцию, так и фундаментальный сдвиг в природе этой асимметричной войны.

Исторические парадигмальные сдвиги: уроки из прошлого

Инновации со стороны атакующих последовательно приводили к парадигмальным сдвигам в принятии технологий рынка на протяжении всей отрасли кибербезопасности. Ярким примером этой асимметричной инновации является ситуация в начале 2000-х годов, когда черви, нацеленные на операционные системы Microsoft, привели к экспоненциальному росту систем предотвращения вторжений в сеть (NIPS).

Дебаты внутри организаций были интенсивными — должны ли они развернуть дополнительную инлайн-технологию, которая потенциально может вызвать задержку или сбои в сети? Эти философские дискуссии были разрешены в течение минут, когда черви полностью разрушили корпоративные среды. Риск воздействия на производительность сети был незначительным по сравнению с разрушением, которое эти атаки могли вызвать. Этот парадигмальный сдвиг произошел几乎 за одну ночь, создав совершенно новый рыночный сегмент стоимостью миллиардов долларов.

Мы собираемся стать свидетелями подобной трансформации в мире ИИ — асимметрии в действии снова.

Текущая парадигма безопасности электронной почты под угрозой

На протяжении долгого времени отрасль кибербезопасности фокусировалась на обеспечении того, чтобы все электронные письма были тщательно проверены на наличие вредоносных ссылок и вложений. Целая экосистема компаний выросла вокруг этих фундаментальных принципов, создавая сложные двигатели обнаружения, технологии sandboxing и платформы анализа URL. Этот подход был основой безопасности электронной почты более двух десятилетий.

Однако последние техники, основанные на ИИ, представляют новые проблемы для традиционных подходов к безопасности электронной почты. Киберпреступники разработали то, что представляет собой, пожалуй, наиболее элегантное решение традиционной гонки вооружений: атаки, которые полностью устраняют вредоносные индикаторы, одновременно используя искусственный интеллект для создания идеальных социальных инженерных кампаний.

Эти новые атаки похищения разговоров демонстрируют силу ИИ в руках злоумышленников. Вместо того, чтобы полагаться на вредоносные ссылки или вложения, которые системы безопасности могут обнаружить, атакующие теперь используют большие языковые модели для создания полностью фабрикованных разговоров электронной почты, которые идеально имитируют внутренние коммуникации компании. Сложность впечатляет — эти системы ИИ могут адаптироваться к стилю коммуникации компании, реплицировать организационный жаргон и создавать реалистичные метки времени, которые следуют типичным рабочим закономерностям.

Преимущество интеллекта

Что делает это развитие особенно тревожным, так это то, как атакующие используют публично доступную информацию. Профессиональные платформы, такие как LinkedIn, предоставляют подробные организационные иерархии, раскрывая цепочки утверждения платежей и закономерности коммуникации. Когда это сочетается со способностью ИИ обрабатывать и синтезировать эту информацию в масштабе, атакующие теперь могут создавать высоко персонализированные, контекстно точные атаки с минимальными усилиями.
Психологическая манипуляция также эволюционировала. Эти атаки, сгенерированные ИИ, используют предвзятость власти, предвзятость подтверждения и социальное доказательство одновременно. Когда сотрудники получают то, что кажется внутренней нитью электронной почты, показывающей четкие цепочки утверждения, они обрабатывают ее как обычную деловую переписку, а не внешнее обман.

Грядущий парадигмальный сдвиг: уроки из истории

Точно так же, как черви в начале 2000-х годов заставили организации быстро принять технологию NIPS, несмотря на опасения по поводу производительности сети, атаки похищения разговоров, основанные на ИИ, готовы создать следующий крупный парадигмальный сдвиг в кибербезопасности. Основное предположение, лежащее в основе десятилетий инвестиций в безопасность электронной почты — что угрозы можно обнаружить с помощью технического анализа вредоносного контента — систематически разрушается.

С экономической точки зрения это представляет собой сейсмический сдвиг в уравнении затрат и выгод. Для атакующих ИИ значительно снижает маржинальную стоимость высоко совершенных, индивидуализированных атак. То, что ранее требовало обширных ручных исследований и создания, теперь может быть автоматизировано и масштабировано на тысячи целей одновременно. Для защитников традиционные технологии обнаружения на основе сигнатур, фильтрации URL и sandboxing требуют дополнительных подходов, когда нет технических индикаторов для анализа.

Экосистема компаний, построенная вокруг сканирования вредоносных ссылок и вложений, должна адаптировать свои подходы и расширить свои возможности, чтобы решить угрозы, которые работают без традиционных технических индикаторов.

Императив стратегии данных: переопределение внешней атакующей поверхности

Эта эволюция ставит стратегию данных на передний план планирования безопасности организаций способами, ранее невообразимыми. На протяжении десятилетий команды безопасности фокусировались на традиционной внешней атакующей поверхности — открытых портах,暴露 служб и уязвимых приложений. Эта поверхность теперь расширилась, чтобы включить фундаментально другой элемент: интеллектуальную информацию, которую организации непреднамеренно делятся, что позволяет атакующим учиться и имитировать внутренние закономерности.

Вопрос больше не только в том, какие технические уязвимости существуют, но и в какой поведенческой и коммуникационной информации раскрывается потенциальным противникам. Организации должны критически оценить, сколько они делятся тем, что необходимо, а что потенциально может создать возможности для атакующих, чтобы узнать организационные закономерности, стили коммуникации и рабочие потоки. Каждый профиль LinkedIn, пресс-релиз, транскрипт заработка и публичное интервью становится потенциальным материалом для разведки для атак, основанных на ИИ.

Это представляет собой парадигмальный сдвиг в том, как организации должны думать об обмене информацией. Традиционный анализ риска и выгод публичных коммуникаций теперь должен учитывать возможность того, что эта информация будет использована для обучения моделей ИИ, предназначенных для имитации внутренних коммуникаций с почти идеальной точностью.

Эволюция нулевого доверия: от устройств к коммуникациям

Отрасль кибербезопасности уже приняла модель нулевого доверия для входов в систему и устройств, фундаментально изменив, как организации подходят к аутентификации и контролю доступа. Принцип “никогда не доверяйте, всегда проверяйте” стал стандартной практикой для сетевого доступа, требуя непрерывной проверки идентификации пользователя и целостности устройства, независимо от местоположения или предыдущей аутентификации.

Теперь, сталкиваясь с атаками похищения разговоров, основанными на ИИ, организации должны столкнуться с ошеломляющим вопросом: нужно ли расширить принципы нулевого доверия на коммуникации электронной почты сами по себе? Хотя концепция рассмотрения каждого электронного письма как потенциально скомпрометированного может показаться экстремальной, сложность атак, сгенерированных ИИ, заставляет эту неудобную беседу.

Параллели с эволюцией нулевого доверия поразительны. Десять лет назад многие организации сопротивлялись реализации архитектур нулевого доверия, рассматривая их как чрезмерно сложные и потенциально разрушительные для бизнес-операций. Сегодня нулевое доверие считается необходимой гигиеной кибербезопасности. Вопрос в том, приближаемся ли мы к подобной точке бифуркации с коммуникациями электронной почты.

Переоценка доверия к электронной почте

Фундаментальная проблема заключается в том, что электронная почта долгое время рассматривалась как доверенный канал коммуникации внутри организаций. Внутренние электронные письма, особенно те, которые кажутся исходящими от известных коллег и следуют установленным нитям разговора, несут в себе неявное доверие, которое получатели редко ставят под сомнение. Атаки похищения разговоров, основанные на ИИ, используют это доверие с разрушительной эффективностью.
Подход нулевого доверия к электронной почте потребует от организаций рассматривать каждое электронное письмо как потенциально скомпрометированное, независимо от предполагаемого отправителя, домена или истории разговора. Это потребует протоколов проверки для любых действий, запрошенных по электронной почте, особенно тех, которые связаны с финансовыми транзакциями, доступом к конфиденциальным данным или операционными изменениями.

Создание бизнес-процессов, защищенных от похищения

С точки зрения бизнеса эта угроза потребует создания дополнительных защитных барьеров вокруг любых процессов, которые связаны с финансовыми транзакциями и конфиденциальными данными. Организации должны реализовать многослойные протоколы проверки, которые выходят за рамки традиционных электронных одобрений.

Самые успешные предприятия будут теми, которые проектируют свои критические бизнес-процессы с учетом того, что любое электронное письмо может быть скомпрометировано или сфабриковано. Этот подход нулевого доверия к коммуникациям электронной почты означает создание механизмов проверки, которые работают вне каналов электронной почты — безопасные платформы обмена сообщениями, протоколы проверки голоса и личные подтверждения для высокоценных транзакций.

Хотя реализация нулевого доверия для коммуникаций электронной почты может показаться столь же разрушительной, как и нулевое доверие для сетей, альтернатива — сохранение предположений о доверии, которые ИИ может систематически использовать, — представляет гораздо больший риск. Организации, которые активно принимают принципы нулевого доверия для электронной почты, вероятно, обнаружат, что они лучше подготовлены, когда эти атаки станут более распространенными.

Дилемма защитника: обнаружение неуловимого

С точки зрения защитника это представляет собой еще одну значительную проблему в уже сложном ландшафте угроз. Фундаментальный вопрос заключается в том, как команды безопасности могут легко обнаружить эту волну атак и заблокировать их, когда они не содержат традиционных индикаторов компрометации?
Традиционные инструменты безопасности, которые составили основу безопасности электронной почты — фильтры спама, обнаружение вредоносных ссылок и сканирование вложений — становятся в значительной степени неактуальными. Вектор атаки смещается от технической эксплуатации к чистой социальной инженерии, доставляемой через коммуникации, которые технически законны, но контекстно мошеннически.

Строительство устойчивости в ландшафте угроз, управляемом ИИ

Самые успешные организации будут теми, которые признают это как более чем технологическую проблему. Это проблема бизнес-процессов и культуры, которая требует рассмотрения целостности коммуникации как основного операционного риска наряду с защитой данных и бизнес-непрерывностью.
Обучение безопасности должно эволюционировать за пределы общих упражнений по фишингу, чтобы включать в себя воздействие атак, сгенерированных ИИ, фабрикованных нитей разговора, которые выглядят и чувствуются как подлинные внутренние коммуникации. Организации должны создавать среды, в которых оспаривание власти во имя безопасности не только допускается, но и ожидается.

Путь вперед

По мере того, как ИИ продолжает развиваться, так же будет развиваться и способность создавать все более совершенные подделки. Распространение инструментов помощи в написании создает более унифицированные закономерности коммуникации, что делает более трудным различие между подлинными личными стилями и сложными атаками, сгенерированными ИИ.

Триллион-долларовая отрасль кибербезопасности находится на точке бифуркации. Фундаментальная асимметрия, которая всегда определяла это пространство, усиливается ИИ, но также усиливаются и возможности для инновационной защиты. Организации, которые понимают эти двойные тенденции — эволюцию угроз и инновацию в области защиты, — будут лучше всего подготовлены к навигации в этом новом ландшафте.

Гонка вооружений продолжается, но оружие фундаментально изменилось. В этой новой эре угроз, управляемых ИИ, успех будет принадлежать тем, кто сможет сочетать технологическую изощренность с инновациями в процессах и культурной адаптацией. Асимметрия остается, но поле битвы эволюционировало — и с ним, стратегии, необходимые для победы.

mm

Рохит является вице-президентом по стратегии продукта в Fortra. Рохит имеет более 20 лет опыта в области безопасности, включая стратегию продукта, исследование угроз, управление и разработку продукта, а также решения для клиентов. Дхаманкер имеет степень магистра электротехники в Университете Техаса в Остине и степень магистра физики в ИИТ в Канпуре, Индия.