อันตรายของ AI เป็นเพียงการเบี่ยงเบนความสนใจ ปัญหาแท้จริงของคุณอยู่ใกล้บ้านมากกว่า

มาเป็นจริงกัน: การโจมตีทางไซเบอร์ที่ใช้ AI เป็นเรื่องที่น่ากลัว แต่ไม่ใช่ภัยคุกคามที่ใหญ่ที่สุดต่อธุรกิจของคุณ

ภัยคุกคามที่ใหญ่ที่สุดคือ การเบี่ยงเบนความสนใจ ที่พวกมันสร้างขึ้น

กว่า 15 ปีที่ผ่านมา ผมได้เห็นเรื่องราวเดียวกันเกิดขึ้นซ้ำๆ การนำทีมได้รับผลกระทบจาก “AI ซูเปอร์ภัยคุกคาม” ล่าสุด ในขณะที่ทีมความปลอดภัยยังคงต้องต่อสู้เพื่อตอบคำถามพื้นฐาน เช่น “ข้อมูลลูกค้าที่สำคัญที่สุดของเราคืออะไร?” หรือ “ใครเป็นเจ้าของการอัปเดตสำหรับระบบสำคัญนั้น?” เราไล่ตามเครื่องมือใหม่ๆ ที่มีลักษณะดึงดูด ในขณะที่วิศวกรถูกดึงเข้าไปในกิจกรรมที่ต้องทำเพื่อความสอดคล้อง และช่องโหว่สำคัญถูกจัดลำดับความสำคัญต่ำ

นี่คือปัญหา “ล็อคหรูบนประตูหน้าจอ” แบบคลาสสิก องค์กรกำลังรีบติดตั้งการป้องกันที่ขับเคลื่อนด้วย AI แต่ผู้โจมตีกำลังใช้ AI ที่มีกฎเกณฑ์น้อยลงและคล่องตัวกว่าในการเดินผ่านช่องโหว่พื้นฐานในกระบวนการ การเป็นเจ้าของ และวัฒนธรรม สำหรับบริษัทขนาดกลางโดยเฉพาะ การเพิกเฉยต่อพื้นฐานเหล่านี้คือการเชิญชวนให้กลายเป็นเรื่องราวเตือนใจถัดไป

ทำไมการป้องกันที่เป็นแบบคงที่จึงล้มเหลวในโลกที่มีการเปลี่ยนแปลง

เมื่อผมเริ่มอาชีพของตัวเอง ความปลอดภัยเป็นเพียงการตรวจสอบรายการ: ไวรัสสแกนเนอร์, การอัปเดต, และไฟร์วอลล์ที่แข็งแกร่ง โลกนั้นหายไปแล้ว วันนี้ มัลแวร์ที่เปลี่ยนแปลงรูปทรงสามารถเขียนตัวเองใหม่เพื่อหลบเลี่ยงการตรวจสอบ และบอทเน็ตสามารถเปิดตัวการโจมตีได้เร็วกว่าที่มนุษย์สามารถตอบสนองได้

การรับส่งข้อมูลที่เข้ารหัสได้กลายเป็นที่หลบภัยที่ชื่นชอบของศัตรู ตามรายงาน ThreatLabz ของ Zscaler ในปี 2024 พบว่า เกือบ 90% ของมัลแวร์ถูกส่งผ่านช่องทางที่เข้ารหัส ซึ่งหมายความว่าเก้าใน十分ของภัยคุกคามนั้นไม่สามารถตรวจจับได้ด้วยเครื่องมือเก่าๆ ที่ไม่สามารถตรวจสอบการรับส่งข้อมูลนั้นได้

ปัญหาจริงๆ อย่างไรก็ตาม ไม่ใช่แค่เทคโนโลยี แต่เป็น การเสียดสีขององค์กร ผมได้เห็นทีมความปลอดภัยที่ดีๆ ใช้เวลาหลายสัปดาห์ในการพยายามได้รับการอนุมัติในการปิดช่องโหว่ที่ทราบ ในเวลาที่ใช้ในการจัดประชุม ผู้โจมตีแบบอัตโนมัติสามารถเข้าและออกได้ การเป็นแบบคงที่ไม่ใช่ตัวเลือกอีกต่อไป โปรแกรมความปลอดภัยต้องตระหนักถึงบริบทและเน้นไปที่ส่วนที่เคลื่อนไหวอย่างรวดเร็วของธุรกิจ

การอุตสาหกรรมของอาชญากรรมทางไซเบอร์

สิ่งนี้ไม่ควรทำให้ใครตกใจ ผู้โจมตีเป็นผู้ประกอบการที่ดำเนินธุรกิจ พวกเขากำลังใช้เทคโนโลยีใหม่ๆ เพื่อปรับปรุงผลตอบแทนจากการลงทุน—เช่นเดียวกับที่เราทำ AI ช่วยให้พวกเขา工业化การดำเนินงาน

• การฟิชชิงแบบบริการ ซูเปอร์ชาร์จ: การฟิชชิงยังคงเป็นวิธีที่ดีที่สุดในการเข้าถึงระบบ ตามรายงานของ FBI และ IBM เป็นเวกเตอร์การเข้าถึงเริ่มต้นอันดับหนึ่งมาหลายปีแล้ว ตอนนี้ด้วยเครื่องมือ AI ที่สร้างข้อความ เช่น “FraudGPT” ผู้กระทำความผิดสามารถสร้างการรณรงค์ฟิชชิงที่ปรับแต่งได้สมบูรณ์แบบและไม่มีข้อผิดพลาดทางไวยกรณ์ ในระดับที่เราไม่เคยเห็นมาก่อน
• เสียงเป็นเท็จ: การฟิชชิงแบบเสียง (วิชชิง) กำลังระเบิดขึ้น CrowdStrike เห็นการเพิ่มขึ้น 442% เมื่อผู้โจมตีใช้เสียงที่ถูกโคลนด้วย AI เพื่อปลอมตัวเป็นผู้บริหารและหลอกลวงพนักงานให้ส่งเงิน บริษัทพลังงานของสหราชอาณาจักรสูญเสียเงินมากกว่า 243,000 ดอลลาร์ จากการโทรเพียงครั้งเดียว
• การเพิ่มขึ้นของศัตรูที่อัตโนมัติ: นักล่าภัยคุกคามของ CrowdStrike เห็นการรณรงค์อัตโนมัติที่สมบูรณ์—ตั้งแต่างานนำเสนอที่สร้างโดย AI ที่มีวิดีโอสัมภาษณ์แบบดี๊ด๊าไปจนถึงการบุกรุกที่ไม่มีมัลแวร์และอาศัยอยู่ทั้งหมดในคลาวด์

ผู้ป้องกันกำลังเผชิญกับภัยคุกคามที่ปรับตัวและคงอยู่ด้วยการดูแลน้อยที่สุด ผู้โจมตีได้ทำการอัตโนมัติมาหลายปีแล้ว AI เพียงแค่นำการทำงานของพวกเขาไปสู่ระดับที่เร็วกว่า

เพื่อให้ทัน ผมคิดว่าถึงเวลาที่เราต้องปล่อยมือจากแนวทางที่ล้าสมัยในการปฏิบัติตามกฎระเบียบและความปลอดภัย การค้นหาวิธีแก้ปัญหาแบบเงินล้านด้วยเครื่องมือล่าสุดในตลาดไม่ใช่คำตอบเช่นกัน

หยุดถาม “เราสอดคล้องกับกฎระเบียบหรือไม่?” เริ่มถาม “เรามีความยืดหยุ่นหรือไม่?”

แม้ว่า AI จะเปลี่ยนแปลงภูมิทัศน์ แต่การละเมิดส่วนใหญ่ยังคงเกิดขึ้นเพราะพื้นฐานที่ถูกละเลย แน่นอนว่าเสียงของ CEO ถูกโคลน แต่ความล้มเหลวที่แท้จริงอาจเป็นกระบวนการอนุมัติทางการเงินที่เสียหาย AI เป็นเพียงขั้นตอนสุดท้ายในห่วงโซ่ของพื้นฐานที่พลาดไป

AI ไม่จำเป็นต้องค้นหา ช่องโหว่แบบซีโร่เดย์ เมื่อสามารถค้นหาสерเวอร์ที่ไม่ได้รับการอัปเดตมานาน 5 ปี หรือนักพัฒนาที่มีสิทธิ์ผู้ดูแลระบบทุกอย่าง การซื้อเครื่องมือรักษาความปลอดภัยที่มี AI อีกตัวจะไม่แก้ไขวัฒนธรรมที่เสียหาย AI ควรเสริมสร้างกระบวนการที่แข็งแกร่ง ไม่ใช่แทนที่มัน

นี่คือที่ที่ผู้นำมักจะทำผิด ผมเคยอยู่ในห้องประชุมที่คำถามคือ “เราสอดคล้องกับกฎระเบียบหรือไม่?” คำถามที่ดีกว่าคือ “โปรแกรมความปลอดภัยของเราช่วยให้ธุรกิจของเร้มีความแข็งแกร่งหรือไม่?”

การปฏิบัติตามกฎระเบียบกลายเป็นการออกกำลังกายแบบเช็คบ็อกซ์ ทีมผลิตภัณฑ์เร่งไปข้างหน้า วิศวกรได้รับมอบหมายให้ดูแลความปลอดภัยโดยไม่มีทรัพยากร และผู้นำคิดว่าการตรวจสอบที่สะอาดหมายความว่าธุรกิจนั้นปลอดภัย มันไม่คือเช่นนั้น วิธีแก้ปัญหาไม่ใช่เครื่องมือมากขึ้น แต่เป็นโครงสร้างพื้นฐานที่แข็งแกร่งกว่าจากบนลงล่าง ความปลอดภัยต้องเชื่อมโยงโดยตรงกับการเติบโตของธุรกิจและความสมบูรณ์ของผลิตภัณฑ์

คู่มือเชิงปฏิบัติสำหรับยุค AI

Fortune 500 สามารถโยนเงินเข้าไปแก้ปัญหานี้ได้ บริษัทขนาดกลางต้องฉลาดกว่านั้น ดังนั้น คุณจะ ทำ อะไร?

1. แก้ไขรากฐานของคุณก่อน ก่อนที่คุณจะซื้อเครื่องมืออื่น ให้แน่ใจว่าคุณมีรายการทรัพย์สินที่มั่นคง ข้อมูลการเข้าถึงที่มั่นคง และกระบวนการอัปเดตที่ทำงานจริง
2. ใส่ AI ลงในวาระการประชุม จัดการซ้อมแบบตารางตามการโจมตีที่ขับเคลื่อนด้วย AI ทำให้เป็นส่วนหนึ่งของการรายงานของคณะกรรมการดังนั้นจึงถือเป็นความเสี่ยงทางธุรกิจ ไม่ใช่ปัญหาของ IT
3. มุ่งเน้นไปที่พฤติกรรม ไม่ใช่แค่สัญญาณคงที่ ให้ความสำคัญกับเครื่องมือที่ตรวจจับกิจกรรมที่น่าสงสัย—เช่น บัญชีผู้ใช้ที่เข้าถึงฐานข้อมูลที่ไม่เคยสัมผัสมาก่อน—มากกว่าเครื่องมือที่แค่ล่าตามมัลแวร์ที่ทราบ

AI ไม่ใช่ศัตรู—ความประมาทเป็น

AI ไม่ใช่ดาบสองคม มันเป็นเครื่องขยายภาพ มันทำให้กระบวนการที่ดีทำงานได้อย่างมีประสิทธิภาพและกระบวนการที่ไม่ดีกลายเป็นภัยพิบัติ

ผู้โจมตีจะมีเครื่องมือใหม่ๆ เสมอ คำถามที่แท้จริงคือว่ากลยุทธ์ความปลอดภัยของคุณสร้างขึ้นจากพื้นฐานที่มั่นคงของความยืดหยุ่นหรือไม่ หรือแค่ไล่ตามวัตถุใหม่ที่ดึงดูดความสนใจ ยุคของความปลอดภัยแบบตั้งและลืมสิ้นไปแล้ว องค์กรที่สร้างวัฒนธรรมความปลอดภัยและทำพื้นฐานให้ได้จะชนะ แม้ในช่วงยุคของภัยคุกคามอัตโนมัติก็ตาม