Connect with us

Загрози штучного інтелекту – це відволікання. Вашою справжньою проблемою є те, що ближче до дому

Кібербезпека

Загрози штучного інтелекту – це відволікання. Вашою справжньою проблемою є те, що ближче до дому

mm
Published
Updated

Давайте бути чесними: кібератаки, які використовують штучний інтелект, – це страшна перспектива. Але вони не є найбільшою загрозою для вашого бізнесу.

Найбільша загроза – це відволікання, яке вони створюють.

Більше 15 років я бачу, як розгортається одна й та ж історія. Лідерство лякається останньої “надзагрози штучного інтелекту”, тоді як команда безпеки все ще бореться з відповідями на базові питання, такі як “Де знаходиться наша найбільш чутлива клієнтська дані?” або “Хто відповідає за патчування критичної системи?” Ми гонимося за новими інструментами, тоді як інженери залучаються до останніх тренінгів з питань дотримання законодавства, а критичні уразливості відкладаються.

Це класична проблема “фанкового замка на екранній двері”. Організації поспішно розгортають захист, керований штучним інтелектом, але нападники використовують штучний інтелект з меншою кількістю правил і більшою гнучкістю, щоб пройти через фундаментальні пробіли в процесах, власності та культурі. Для компаній середнього ринку, особливо, ігнорування базових питань – це запрошення стати наступною застережливою історією.

Чому статичні захисти не працюють у динамічному світі

Коли я почав свою кар’єру, безпека була списком: антивірус, патчі та сильні брандмауери. Той світ давно минув. Сьогодні поліморфний шкідливий код переписується, щоб уникнути підписів, а ботнет запускає атаки швидше, ніж будь-яка людина може реагувати.

Шифрований трафік став улюбленим місцем для приховування нападників. Звіт ThreatLabz 2024 року компанії Zscaler показав, що близько 90% шкідливого коду зараз передається через шифровані канали. Це означає, що дев’ять із десяти загроз невидимі для старих інструментів, які не можуть інспектувати цей трафік.

Фактичний瓶aggable, однак, не тільки технологія; це організаційна тертя. Я бачив, як великі команди безпеки витрачають тижні лише на те, щоб отримати згоду на закриття відомого пробілу. За час, необхідний для організації зустрічей, автоматизований нападник може бути всередині та зовні. Бути статичним вже не є варіантом. Програми безпеки повинні бути контекстно-чутливими та зосередженими на швидкозмінних частинах бізнесу.

Індустріалізація кіберзлочинності

Це не повинно нікого здивувати. Нападники – це підприємці, які ведуть бізнес. Вони просто приймають нову технологію, щоб поліпшити свій ROI – так само, як ми.

  • Фішинг як послуга, суперзаряджена: Фішинг все ще є номером один способом входу. ФБР та IBM повідомляють про нього як про найвищий вектор первинного доступу протягом років. Тепер, з допомогою генеративних інструментів штучного інтелекту, таких як “FraudGPT”, злочинці можуть створювати ідеально підігнані, безграматичні кампанії фішингу у масштабах, яких ми ніколи не бачили.
  • Голос – брехня: Голосовий фішинг (“вішинг”) вибухає. CrowdStrike бачить 442% зростання, оскільки нападники використовують клоновані голоси штучного інтелекту, щоб видавати себе за виконавців та обманювати працівників, щоб вони переводили гроші. Британська енергетична компанія втратила понад $243 000 таким чином з одного дзвінка.
  • Поява автоматизованого противника: CrowdStrike тепер бачить повністю автоматизовані кампанії – від штучно створених резюме з відеоінтерв’ю до безмальвових інtruзій, які живуть цілком у хмарі.

Захисники стикаються з загрозами, які адаптуються та тривають з мінімальним людським наглядом. Нападники автоматизують вже роки; штучний інтелект просто поставив їх робочий процес на гіпердрайв.

Щоб не відставати, вже час відмовитися від застарілих, заснованих на чек-листі підходів до дотримання законодавства та кібербезпеки. Шукати срібну кулю з останнім інструментом на ринку не є відповіддю. Однак це унікальна можливість повернутися до основ.

Перестаньте питати “Чи ми відповідаємо вимогам законодавства?” Почніть питати “Чи ми стійкі?”

Навіть якщо штучний інтелект змінює ландшафт, більшість порушень все одно відбувається через зanedбані основи. Так, голос генерального директора був клонований, але справжня невдача, ймовірно, була зламаною фінансовою процедурою затвердження. Штучний інтелект був просто останнім кроком у ланцюзі пропущених основ.

Штучний інтелект не потребує знаходження zero-day експлойту, коли він може знайти п’ятирічний не патчований сервер або розробника з правами адміністратора на все. Покупка ще одного інструменту безпеки, керованого штучним інтелектом, не виправить зламану культуру. Штучний інтелект повинен зміцнювати сильні процеси, а не замінювати їх.

Це місце, де лідерство часто помиляється. Я був у раді кімнатах, де питання було: “Чи ми відповідаємо вимогам законодавства?” Краще питання – “Чи робить наша програма безпеки наш бізнес сильнішим?”

Дотримання законодавства стає вправою з чек-листом. Команди продуктів спринтують вперед, інженерам передаються обов’язки з безпеки без ресурсів, а лідери припускають, що чиста аудит означає, що бізнес у безпеці. Це не так. Рішенням не є більше інструментів; це сильніше скелетування з верху вниз. Безпека повинна бути пов’язана безпосередньо з ростом бізнесу та цілісністю продукту.

Прагматичний посібник для епохи штучного інтелекту

Компанії Fortune 500 можуть кинути гроші на цю проблему. Компанії середнього ринку повинні бути розумнішими. Тому, що ви фактично робите?

  1. Виправте свою основу спочатку. Перед тим, як ви купите ще один інструмент, переконайтеся, що у вас є скелястий інвентар ваших даних, безпечний контроль доступу та процес патчування, який фактично працює.
  2. Помістіть штучний інтелект в порядок денний. Проведіть столові вправи на основі атак, керованих штучним інтелектом. Зробіть це регулярною частиною звітності ради директорів, щоб воно розглядалося як ризик бізнесу, а не проблема інформаційних технологій.
  3. Зосередьтеся на поведінці, а не тільки на статичних сигналах. Приоритізуйте інструменти, які помічають дивну діяльність – наприклад, обліковий запис користувача, який раптом звертається до бази даних, яку він ніколи не торкався – над інструментами, які просто полюють на відомий шкідливий код.

Штучний інтелект не є ворогом – зловживанням є самозадоволеність

Штучний інтелект не є двосічний меч; це лупа. Він робить хороші процеси більш ефективними та погані процеси катастрофічними.

Нападники завжди матимуть нові інструменти. Фактичне питання полягає в тому, чи побудована ваша стратегія безпеки на солідній основі стійкості чи просто гонитві за наступним блискучим об’єктом. Ера встановлення та забуття безпеки минула. Організації, які будують культуру безпеки та закріплюють основи, виграють, навіть у епоху автономних загроз.

mm

Nicholas Muy є CISO в Scrut Automation, очолює ініціативи з кібербезпеки в сфері дотримання вимог та управління ризиками штучного інтелекту. З більш ніж 15-річним досвідом у галузі моделювання загроз, що використовують штучний інтелект, та стратегії корпоративної безпеки, він захищав середовища Fortune 500 та внесли свій внесок у національну кіберполітику в Міністерстві внутрішньої безпеки США.