Connect with us

Tankeledare

AI-hysterin överskuggar de mänskliga besluten som leder till säkerhetsincidenter

mm
Published
A photorealistic, wide-angle shot of a middle-aged IT professional in a bright, modern office, staring intensely at a computer monitor with a look of stressed urgency as he hovers his finger over a mouse to click a system pop-up.

AI har förändrat hur organisationer tänker om hot, med fokus ofta på storskaliga operationer, automatiserad rekognosering och alltmer övertygande imitation. Dessa utvecklingar förtjänar uppmärksamhet, men de har också förvanskat branschens förståelse för var den vanligaste exponeringen börjar.

Även om organisationer fokuserar på mer avancerade, AI-drivna hot, får angripare fortfarande tillträde genom att manipulera mänskliga instinkter. ClickFix-attacker, en sofistikerad form av social ingenjörskonst, utgjorde 47% av de initiala tillträdesincidenterna som observerades förra året. Det visar hur ofta en säkerhetsincident börjar med att en person fattar ett snabbt beslut under press, inte ett tekniskt gap.

Mänsklig svarsGap

ClickFix-attacker är effektiva eftersom de imiterar signalerna som tekniska team är utbildade att hantera. De är inte beroende av mjukvarubruggheter eller konfigurationsöversikter. Istället utnyttjar de en enkel förväntan: när något ser konstigt ut, kommer någon att försöka fixa det omedelbart.

Denna instinkt förstärks inom tekniska miljöer där uptime, svarstid och snabb handling är kärnförväntningar. Administratörer och supportpersonal är villiga att svara snabbt på varningar, systemprompter eller åtkomstbegäranden. Angripare förstår denna press och utformar kampanjer som liknar exakt de signaler som proffs är utbildade att hantera.

AI har gjort denna kalkyl farligare. Generativa verktyg tillåter angripare att skapa lur med nästan perfekt grammatik, kontextuellt korrekt systemterminologi och spoofade gränssnitt som nära speglar riktiga företagsprogram. Där en klumpig prompt en gång gav bort ett socialt ingenjörskapsförsök, kan dagens attacker vara omöjliga att skilja från en legitim IT-varning, vilket ökar gapet mellan vad användare är utbildade att upptäcka och vad de faktiskt möter i fältet.

Ögonblicket då saker går fel

En nyckelutmaning med ClickFix-incidenter är att det kritiska ögonblicket ser normalt ut. En användare godkänner en prompt, återställer åtkomst eller auktoriserar en ändring. Åtgärden i sig blandar sig med vardaglig aktivitet, vilket skapar en utmaning för traditionella säkerhetsverktyg. Dessa system upptäcker tekniska avvikelser men kan inte lätt tolka sammanhanget bakom ett överilat beslut.

En typisk sekvens kan se ut så här: en användare möter en webbläsarvarning som anger att deras session har upphört eller att en obligatorisk plugin behöver uppdateras. De klickar genom en prompt som kör en PowerShell-kommando i bakgrunden – en som de aldrig ser – medan det synliga gränssnittet bara berättar för dem att problemet är löst. Hela interaktionen tar under 30 sekunder. Ingenting i systemloggen flaggar det som ovanligt eftersom, tekniskt sett, ingenting ovanligt hände. En legitim användare körde ett kommando på en legitim maskin.

Detta leder till flera konsekvenser. Idag involverade 74% av säkerhetsincidenterna den mänskliga faktorn, inklusive social ingenjörskonst, fel och missbruk. Mänskliga beteendemässiga risker visas sällan inom instrumentpaneler. Kontrollerna är inte problemet. Den saknade skiktet är synlighet i vilka beslut som är mest benägna att skyndas och hur dessa beslut skapar öppningar för angripare.

Omdefiniera mänskligt fel

Mänskligt beteende bör inte behandlas som en isolerad utbildningsfråga; det bör ses som en kärnkomponent i säkerhetsarkitekturen.

Istället för att behandla det som en oförutsägbar utgång, bör organisationer behandla det som en mätbar riskfaktor. Säkerhetsledare kan uppnå detta genom att införliva mänskliga insikter i sin defensiva attityd. System bör utformas med realistiska förväntningar på hur människor beter sig, inte med antagandet att de alltid kommer att bete sig under ideala förhållanden.

Mätning här är konkret, inte abstrakt. Organisationer kan spåra beslutsfart, hur snabbt användare godkänner högprioriterade prompter under toppdrifttimmar, och använda godkännandemönsterövervakning för att identifiera avvikelser som eftertimmesgodkännanden eller upprepade åsidosättanden av standardvarningar. Beteendebaslinje, tillämpad på individ- eller rollnivå, ger säkerhetsteam en referenspunkt för vad “normalt” ser ut så att avvikelser registreras som en signal snarare än brus.

Att hantera roten till problemet

Förbättring av försvar mot ClickFix-liknande attacker börjar med att förstå de förhållanden som leder till skyndade beslut. Ledare kan studera mönster som snabba godkännanden, återkommande nära missar eller inkonsekventa svar på systemprompter. Dessa observationer avslöjar var instinkt kan övervinna försiktighet.

Arbetsflöden bör också utvärderas för tryckpunkter som inbjuder till misstag. Högprioriterade åtgärder har nytta av små verifieringssteg som tillåter användare att pausa och utvärdera vad de godkänner. Samtidigt bör rutinuppgifter strömlinjeformas för att minska trötthet som uppmuntrar människor att klicka genom prompter utan noggrann övervägelse.

Organisationer kan få ytterligare insikt genom att använda simuleringar som speglar realistisk press. Traditionella phishing-tester är användbara för medvetenhet men utvärderar inte hur någon svarar när de hanterar flera uppgifter eller hanterar ett brådskande operativt problem. Scenarier byggda kring tidspress eller systemavbrott avslöjar beteendemönster som annars är svåra att upptäcka.

Effektiva simuleringar introducerar variabler som traditionella tester ignorerar, samtidig uppgiftsbelastning, sena dagars trötthetsfönster och mitt-i-arbetsflödesavbrott som tvingar en kontextväxling precis innan en högprioriterad prompt visas. En användare som upptäcker en phishing-e-post i isolering kan godkänna en skadlig prompt utan tvekan när de hanterar en aktiv incident klockan 16:45. Att bygga tester som replikerar dessa förhållanden genererar beteendedata som organisationer faktiskt kan använda, snarare än godkännande-/underkännandemetriker som inte översätts till förbättrad respons under press.

Det hjälper också att planera för incidenter som börjar med legitima åtgärder. Många team fokuserar på att upptäcka oauktoriserat beteende. I praktiken kan den första meningsfulla signalen för ett angrepp vara ett godkänt prompt som aldrig borde ha godkänts. Att bygga denna förväntan in i incidenthanteringsplaneringen gör det lättare att upptäcka de tidiga indikatorerna som annars skulle ha förbisetts.

Att stärka felpunkten

AI-aktiverade hot kommer att fortsätta att utvecklas, men många säkerhetsincidenter spårar fortfarande tillbaka till ett mänskligt beslut fattat i ögonblicket. Att hantera denna verklighet kräver inte att man saktar ner verksamheten eller överger automatisering. Det kräver utformning av system och arbetsflöden som speglar hur människor naturligt arbetar och bygga skydd runt de punkter där instinkt tenderar att övervinna försiktighet.

Organisationer som införlivar mänskligt beslutsfattande i sin förståelse av angreppssyuet får en mer exakt vy av operativ risk. Detta leder till starkare försvar som stöds av både tekniska kontroller och en mer realistisk förståelse för hur användare interagerar med system under vardagligt arbete.

Related Topics:
mm

Ross Filipek har mer än 20 års erfarenhet inom branschen för hanterade cybersäkerhetstjänster som både ingenjör och konsult. Utöver att leda Corsicas insatser för att hantera cyberrisker erbjuder han vCISO-konsulttjänster till många av Corsicas kunder. Ross har uppnått erkännande som Cisco Certified Internetwork Expert (CCIE #18994; Security track) och ISC2 Certified Information Systems Security Professional (CISSP). Han har också avlagt en MBA-examen från University of Notre Dame.