AI vs AI: Den nya verkligheten för cybersäkerhet

AI-drivna cyberattacker har anlänt, vilket bekräftar vad som tidigare bara var en teoretisk, men förväntad, risk, och de förkunnar en ny era i hotlandskapet. Med AI-agenter som nu kan lansera komplexa, slut-till-slut-kampanjer på minuter, kan cyberkriminella identifiera och utnyttja företags sårbarheter i maskinens hastighet. Reglerna för engagemang har ändrats: gårdagens cybersäkerhetsförsvar kan inte längre hålla jämna steg med dagens AI-drivna offensiv.

Medan AI laddar upp cyberhoten behöver företagen distribuera sina egna AI-drivna försvarsförmågor för att hålla jämna steg i fråga om hastighet, omfattning och precision. För tillfället följer cybermotståndare fortfarande bekanta taktiker, tekniker och förfaranden (TTP), men AI accelererar och uppgraderar deras spelbok. Dessutom är företags AI-modeller själva också ett nytt mål via modellförgiftning och språkdriven social ingenjörskonst, vilket kräver att cyberteamen ordentligt säkrar sina AI-förmågor. Därför bör säkerhet vara en kärndel av en organisations större AI-strategi.

Vad skiljer AI-drivna cyberattacker?

I en digital värld som redan är mättad med virtuellt konstanta cyberintrångsförsök har tröskeln för en skadlig aktör minskats, vilket inte bara ökar volymen utan också komplexiteten i attackerna. AI-drivna attacker kan nu utnyttja AI eller maskinlärande (ML) för att automatisera, accelerera eller förbättra varje fas i attacklivscykeln, från rekognosering och informationsinsamling till utnyttjande och exfiltrering av känsliga data.

Att förlita sig uteslutande på befintliga säkerhetsprocesser och teknologier utan att distribuera samma avancerade teknologi som motståndarna använder ger motståndaren en fördel som är nästan omöjlig att skala utan defensiv AI. Organisationer är redan överväldigade av att övervaka sitt företag från traditionella hotaktörer. AI-drivna attacker kommer att förvärra varningsutmattningen. Detta kräver en utveckling från mänskligt hanterade processer till en hybrid cyber mänsklig/digital arbetskraft.

Kartlägg varje digital tillgång

I dagens värld är det att förstå de potentiella ingångspunkterna över hela företagsmiljön en grundförutsättning, men fortfarande out of reach för många stora företag. Utöver bara digitala system och tillgångar är det nödvändigt att göra en omfattande kartläggning av alla identiteter och åtkomst inom en organisation. Digital identitet, som binder samman fysiska och beteendemässiga egenskaper till en individ, är väl förstådd med de befintliga kontroller som behövs för att hantera digital åtkomst.

Men att förstå företagsomfattande landskapet av icke-mänskliga identiteter (NHIs) är avgörande för att säkra digitala tillgångar. Att förstå det potentiella värdet av AI inom en organisation innebär att ge AI-agenter åtkomst och tillstånd att autonomt slutföra ett affärsprocess. Liksom molnmiljöer i den tidigare säkerhetserasan spinner dagens agenterbaserade arbetsflöden upp och ner NHIs i skala, vilket kräver en avancerad förmåga att hantera och spåra var i miljön de opererar och hur de uppnår avsedda uppdrag eller roller.

Företagen bör utöka identitetsstyrning över hela agentidentitetslivscykeln och övervaka agentens åtgärder, precis som de övervakar mänsklig användaråtkomst i dag för insider-riskbeteende eller kontoövertagande från hotaktörer. När agenterbaserade funktioner tar på sig mer autonomi och affärskritiskt arbete är det avgörande att förstå vad deras identitetsavtryck och åtkomstmönster ser ut för att implementera de åtkomst- och övervakningskontroller som krävs för att skydda dem och företaget från missbruk.

Lås AI-modeller

AI-förmågor har löftet att låsa upp effektivitet och produktivitet, men också potentialen att vändas mot organisationer. Att införa AI i varje aspekt av affärsverksamheten är inte längre ett “nice to have” – det är ett krav för framgång i dagens konkurrenslandskap. Därför är det en nödvändig komponent att säkert distribuera AI för att säkert förverkliga det fulla affärspotentialen och resultaten.

Övergången till AI-empowered cyberförsvar pågår, medan AI-modellerna själva har blivit mål. Motståndare kan försöka förgifta data som matar dessa modeller och manipulera dem till att vidta oavsedda åtgärder eller till och med avslöja känslig information.

Motståndare mot AI kan komma i olika former, såsom förgiftningattacker, promptinjektionsattacker och andra. För att lämpligt skydda AI från potentiell manipulation bör organisationer utnyttja Cyber Infrastructure and Security Agency (CISA):s filosofi om Secure by Design. Det börjar med data som matar modellens utbildning. Att låsa fast ingångarna tidigt i utvecklingsprocessen skapar grunden för tillförlitliga utdata vid distribution.

Att förstå ingångarna som går in i att utveckla modellerna och förmågorna är möjligt genom avsiktlig datastyrning tillsammans med kontroll av åtkomst till modellerna själva. Kritiska kontroller som tillåter validering av önskade utdata kommer i form av dataförlustförhindrande (DLP); policy- och säkerhetsenforcement; förankring via verifierbara källor; och stränga godkännandekontroller för högimpaktåtgärder, granskning och kontinuerlig testning, inklusive penetrationstestning av modeller för att göra dem stridsvana.

Infoga AI i säkerhetsoperationer

Tills nu har tillämpningen av AI på cyberförsvar varit taktisk, med många organisationer som monterar AI på legacy, mänskligt centrerade processer, snarare än att strategiskt ompröva hur man bygger AI-centrerade processer. Detta är som att försöka sätta en V8-motor på en cykel. Den nästa utvecklingen av AI-aktivering kommer att vara att utforma processer från grunden, med agenterbaserad AI och automation införd i designen. Beprövade säkerhetsoperationsmetoder och processer, såsom hotdetektering, hotjakt och detektionsteknik, är fortfarande de kritiska punkterna som är avgörande för organisatorisk säkerhet i AI-eran. Att omvandla nuvarande säkerhetsprocesser för att möjliggöra AI-förstärkning kan lägga en stark grund för den framtida AI-empowered säkerhetsoperationscentralen (SOC).

Dessutom är automation inte ett nytt koncept unikt för AI:s framväxt; säkerhetsarbetsflöden och processer har automatiserats i åratal, med mogna organisationer som har mycket avancerade orkestrerings- och automationsförmågor. Men AI förbättrar den befintliga regelbaserade automationen och utvecklar den ytterligare, vilket möjliggör dynamiska, anpassningsbara, kontextrika automatiserade arbetsflöden som kan hjälpa till att hantera den hastighet och smidighet som krävs för dessa nya AI-risken.

Vad händer härnäst?

Säkerhet behöver fortsätta att vara i fokus för affärsverksamhet och IT för att hålla sina kritiska tillgångar och användare säkra från skadlig exploatering. Säkerhet med AI som utgångspunkt är en nödvändighet med tanke på den hastighet med vilken AI-modeller kan distribueras och begäras att utföra mer kritiska aktiviteter. Cyberteam bör tänka strategiskt om att omvandla processer från grunden för att lämpligt implementera nya AI-förmågor för att hålla jämna steg i cyberkatt- och muslek.

Säkerhetsledare kan vidta flera konkreta steg på kort sikt: genomföra en omfattande granskning av nuvarande säkerhetsprocesser för att identifiera luckor, moderniseringsmöjligheter och områden som är mogna för omvandling. Håll koll på AI:s framväxande hot, trender och teknologier. Ovan allt annat förbli förankrad i den grundläggande säkerhetsprincipen om försvar i djupet som har visat sig över tiden – skiktad skydd och validering från identitet, till slutpunkt, till nätverk, till data, med robusta övervaknings- och responsförmågor som alltid testas.

Den transformerande potentialen av AI lovar för stor uppåtsida för att avvisa dess antagande, och genen är ute ur flaskan för hotaktörerna. Därför är säkerhetsledarnas roll i denna nästa era densamma som den alltid har varit: att stödja organisationerna i att uppnå sina affärsmål med genomtänkt riskminskning – nu på maskinens hastighet med användning av AI.