Гіпербола ІІ штучного інтелекту затуляє рішення людини, які призводять до порушень

Штучний інтелект змінив те, як організації думають про загрози, приділяючи увагу великомасштабним операціям, автоматичній розвідці та все більш переконливій імітації. Ці розробки заслуговують на увагу, але вони також спотворили розуміння галузі щодо того, де починається найбільш поширена вразливість.

Навіть коли організації зосереджуються на більш просунутих, штучно-інтелектуальних загрозах, нападники все ще потрапляють до дверей, маніпулюючи людським інстинктом. Атаки ClickFix, складна форма соціальної інженерії, становили 47% початкових інцидентів доступу, спостережених за минулий рік. Це показує, як часто порушення починається з того, що людина приймає швидке рішення під тиском, а не з технічної вразливості.

Пропуск у людській реакції

Атаки ClickFix ефективні, оскільки вони імітують сигнали, на які технічні команди навчені реагувати. Вони не залежать від уразливості програмного забезпечення або недоліків конфігурації. Замість цього вони використовують просту очікування: коли щось виглядає неправильно, хтось спробує виправити це одразу.

Цей інстинкт посилюється в технічних середовищах, де безперебійна робота, реакція та швидка дія є основними очікуваннями. Адміністратори та технічний персонал умовлені реагувати швидко на попередження, системні запити або запити доступу. Нападники розуміють цей тиск і проектують кампанії, які нагадують сигнали, на які професіонали навчені реагувати.

Штучний інтелект зробив цей розрахунок ще більш небезпечним. Генеративні інструменти дозволяють нападникам створювати приманки з майже ідеальною граматикою, контекстуально точною термінологією систем та підробленими інтерфейсами, які дуже нагадують справжнє підприємницьке програмне забезпечення. Там, де раніше неуклюжий запит видавав спробу соціальної інженерії, сьогодні атаки можуть бути нерозрізними від законного сигналу ІТ, розширюючи розрив між тим, на що користувачі навчені звертати увагу, та тим, з чим вони фактично стикаються на практиці.

Момент, коли все пішло не так

Ключовим викликом для інцидентів ClickFix є те, що критичний момент виглядає нормально. Користувач затверджує запит, скидає доступ або авторизує зміну. Сама дія зливається з повсякденною діяльністю, що створює виклик для традиційних засобів безпеки. Ці системи виявляють технічні аномалії, але не можуть легко інтерпретувати контекст за поспішним рішенням.

Типова послідовність може виглядати так: користувач зустрічає попередження браузера про те, що його сесія закінчилася або потрібно оновлення необхідного плагіна. Він клікнув через запит, який запускає команду PowerShell на задньому плані – ту, яку він ніколи не бачить, – тоді як видимий інтерфейс просто повідомляє йому, що проблема вирішена. Уся взаємодія займає менше 30 секунд. Ніщо в системному журналі не позначається як незвичайне, оскільки, технічно, нічого незвичайного не відбулося. Законний користувач запустив команду на законній машині.

Це призводить до кількох наслідків. Сьогодні 74% порушень включали людський фактор, включаючи атаки соціальної інженерії, помилки та зловживання. Ризики людської поведінки рідко з’являються всередині панелей управління. Контролі не є проблемою. Відсутня шар – це видимість тих рішень, які найчастіше спішать, та того, як ці рішення створюють відкриті двері для нападників.

Переоцінка людської помилки

Лудська поведінка не повинна розглядатися як ізольована проблема навчання; вона повинна розглядатися як основний компонент архітектури безпеки.

Замість того, щоб розглядати її як непередбачуваний результат, організації повинні розглядати її як вимірюваний фактор ризику. Лідери безпеки можуть досягти цього, включивши людські інсайти в свою оборонну позицію. Системи повинні бути розроблені з реалістичними очікуваннями того, як люди поводяться, а не з припущенням, що вони завжди будуть поводитися в ідеальних умовах.

Вимірювання тут є конкретним, а не абстрактним. Організації можуть відстежувати швидкість прийняття рішень, як швидко користувачі затверджують запити високого рівня під час пікових годин роботи, та використовувати моніторинг моделей затвердження для виявлення аномалій, таких як затвердження після години роботи або повторне перевищення стандартних попереджень. Базелізація поведінки, застосована на рівні окремої особи або ролі, дає командам безпеки орієнтир для того, що виглядає “нормально”, так що відхилення реєструються як сигнал, а не шум.

Вирішення коренної причини

Поліпшення захисту проти атак типу ClickFix починається з розуміння умов, які призводять до поспішних рішень. Лідери можуть вивчити закономірності, такі як швидке затвердження, повторювані майже-промахи або несумісні реакції на системні запити. Ці спостереження показують, де інстинкт може переважити обережність.

Потоки роботи також повинні бути оцінені на предмет тисків, які запрошують помилки. Дії високого рівня виграють від малих кроків верифікації, які дозволяють користувачам зробити паузу та оцінити те, що вони затверджують. Водночас рутині завдання повинні бути оптимізовані для зменшення втоми, яка спонукає людей клікувати через запити без ретельного розгляду.

Організації можуть отримати подальші інсайти, використовуючи симуляції, які відображають реалістичний тиск. Традиційні тести на фішинг корисні для підвищення обізнаності, але не оцінюють, як хтось реагує, коли обробляє кілька завдань або керує терміновими оперативними проблемами. Сценарії, побудовані навколо часу тиску або переривання системи, розкривають поведінкові закономірності, які інакше важко виявити.

Ефективні симуляції вводять змінні, яких традиційні тести ігнорують, конкуруючий навантаження завдань, вікна втоми наприкінці дня та переривання потоку роботи, які змушують зробити контекстний перехід прямо перед появою запиту високого рівня. Користувач, який помічає електронний лист з фішингом в ізоляції, може затверджити шкідливий запит без вагання, коли він обробляє активний інцидент о 16:45. Будування тестів, які реплікують ці умови, генерує поведінкові дані, які організації можуть фактично використовувати, а не метрики проходження/невдачі обізнаності, які не переводяться в покращену реакцію під тиском.

Це також допомагає планувати інциденти, які починаються з законних дій. Багато команд зосереджуються на виявленні незаконної поведінки. На практиці перший істотний знак атаки може бути затвердженим запитом, який ніколи не повинен був бути затверджений. Будування цього очікування в планування реагування на інциденти робить його легшим для виявлення ранніх індикаторів, які інакше були б проігноровані.

Зміцнення точки відмови

Штучно-інтелектуальні загрози продовжуватимуть еволюціонувати, але багато порушень все ще походять від людського рішення, прийнятого в момент. Вирішення цієї реальності не вимагає сповільнення операцій або відмови від автоматизації. Воно вимагає проектування систем та потоків роботи, які відображають, як люди природно працюють, та будівництва охоронних заходів навколо точок, де інстинкт схильний переважити обережність.

Організації, які включають людське прийняття рішень у своє розуміння поверхні атаки, отримують більш точне бачення операційного ризику. Це призводить до сильніших захистів, підтримуваних як технічними контролями, так і більш реалістичним розумінням того, як користувачі взаємодіють з системами під час повсякденної роботи.