An ninh mạng

Các Đội An Ninh Thông Tin Đang Sửa Lỗi Nhầm Threat. Đây Là Cách Để Điều Chỉnh Hướng Tiếp Cận Trong Thời Đại Tấn Công AI

mm
Published
Updated

Các cuộc tấn công mạng không còn là các hoạt động thủ công, tuyến tính. Với AI hiện được tích hợp vào các chiến lược tấn công, các kẻ tấn công đang phát triển malware đa hình, tự động hóa việc thu thập thông tin và vượt qua các biện pháp bảo vệ nhanh hơn nhiều so với các đội an ninh thông tin có thể phản ứng. Đây không phải là một kịch bản trong tương lai, mà đang xảy ra ngay bây giờ.

Đồng thời, hầu hết các biện pháp bảo vệ an ninh thông tin vẫn còn phản ứng. Chúng dựa vào việc xác định các chỉ số xâm phạm đã biết, áp dụng các mẫu tấn công lịch sử và đánh dấu rủi ro dựa trên các điểm số mức độ nghiêm trọng có thể không phản ánh chính xác cảnh quan mối đe dọa thực sự. Các đội bị choáng ngợp bởi khối lượng, không phải bởi thông tin, tạo ra một môi trường hoàn hảo cho các kẻ tấn công thành công.

Quan điểm truyền thống của ngành về các danh sách kiểm tra tuân thủ, đánh giá định kỳ và công cụ phân mảnh đã trở thành một trách nhiệm. Các đội an ninh thông tin đang làm việc chăm chỉ hơn bao giờ hết, nhưng thường sửa chữa những thứ không đúng.

Tại Sao Khoảng Cách Này Tồn Tại

Ngành an ninh thông tin đã lâu dựa vào các điểm số rủi ro như CVSS để ưu tiên các điểm yếu. Tuy nhiên, các điểm số CVSS không phản ánh bối cảnh thực tế của cơ sở hạ tầng của một tổ chức, chẳng hạn như liệu một điểm yếu có bị lộ, có thể tiếp cận hoặc có thể khai thác trong một đường tấn công đã biết.

Kết quả là, các đội an ninh thông tin thường dành thời gian quý báu để vá các vấn đề không thể khai thác, trong khi các kẻ tấn công tìm cách kết hợp các điểm yếu bị bỏ qua và vượt qua các biện pháp kiểm soát.

Tình hình còn bị phức tạp bởi bản chất phân mảnh của ngăn xếp an ninh thông tin. Các hệ thống SIEM, EDR, VM và CSPM hoạt động độc lập. Telemetry bị phân mảnh này tạo ra các điểm mù mà các kẻ tấn công được hỗ trợ bởi AI đang ngày càng giỏi khai thác.

Phát Hiện Dựa Trên Chữ Ký Đang Phai Mờ

Một trong những xu hướng đáng lo ngại nhất trong an ninh thông tin hiện đại là giá trị giảm dần của các phương pháp phát hiện truyền thống. Các chữ ký tĩnh và cảnh báo dựa trên quy tắc đã hiệu quả khi các mối đe dọa tuân theo các mẫu dự đoán. Nhưng các cuộc tấn công được tạo ra bởi AI không tuân theo các quy tắc đó. Chúng thay đổi mã, tránh phát hiện và thích nghi với các biện pháp kiểm soát.

Chẳng hạn, malware đa hình thay đổi cấu trúc của nó với mỗi lần triển khai. Hoặc các email lừa đảo được tạo ra bởi AI bắt chước phong cách giao tiếp của các giám đốc điều hành với độ chính xác đáng báo động. Các mối đe dọa này có thể lọt qua các công cụ dựa trên chữ ký hoàn toàn.

Nếu các đội an ninh thông tin tiếp tục dựa vào việc xác định những gì đã được thấy, họ sẽ luôn một bước sau các đối thủ liên tục đổi mới.

Áp Lực Điều Chỉnh Đang Tăng

Vấn đề không chỉ là kỹ thuật, mà còn là điều chỉnh. U.S. Securities and Exchange Commission (SEC) gần đây đã giới thiệu các quy tắc tiết lộ an ninh thông tin mới, yêu cầu các công ty đại chúng báo cáo các sự kiện an ninh thông tin quan trọng và mô tả các chiến lược quản lý rủi ro của họ trong thời gian thực. Tương tự, Đạo Luật Về Sự Đáp Ứng Hoạt Động Số (DORA) của Liên minh Châu Âu đòi hỏi một sự thay đổi từ các đánh giá định kỳ sang quản lý rủi ro an ninh thông tin liên tục và được xác thực.

Hầu hết các tổ chức không chuẩn bị cho sự thay đổi này. Họ thiếu khả năng cung cấp các đánh giá thời gian thực về việc liệu các biện pháp bảo vệ an ninh thông tin hiện tại của họ có hiệu quả chống lại các mối đe dọa hiện tại hay không, đặc biệt là khi AI tiếp tục phát triển các mối đe dọa với tốc độ máy.

Ưu Tiên Mối Đe Dọa Đang Bị Hỏng

Thử thách cốt lõi nằm ở cách các tổ chức ưu tiên công việc. Hầu hết vẫn dựa vào các hệ thống đánh giá rủi ro tĩnh để xác định những gì sẽ được sửa chữa và khi nào. Các hệ thống này hiếm khi tính đến môi trường mà một điểm yếu tồn tại, hay liệu nó có bị lộ, có thể tiếp cận hoặc có thể khai thác.

Điều này đã dẫn đến các đội an ninh thông tin dành thời gian và tài nguyên đáng kể để sửa chữa các điểm yếu không thể khai thác, trong khi các kẻ tấn công tìm cách kết hợp các vấn đề bị bỏ qua để đạt được quyền truy cập. Mô hình “tìm và sửa” truyền thống đã trở thành một cách không hiệu quả và thường không hiệu quả để quản lý rủi ro an ninh thông tin.

An ninh thông tin phải phát triển từ phản ứng với các cảnh báo đến việc hiểu hành vi của đối thủ – cách một kẻ tấn công sẽ di chuyển qua hệ thống, những biện pháp kiểm soát nào họ có thể vượt qua và đâu là điểm yếu thực sự.

Một Con Đường Tiến Bộ Hướng Đến Phòng Thủ Được Lập Trình Trước: Phòng Thủ Dựa Trên Đường Tấn Công

Nếu thay vì phản ứng với các cảnh báo, các đội an ninh thông tin có thể liên tục mô phỏng cách các kẻ tấn công thực sự sẽ cố gắng xâm phạm môi trường của họ và chỉ sửa chữa những gì quan trọng nhất?

Cách tiếp cận này, thường được gọi là xác thực bảo mật liên tục hoặc mô phỏng đường tấn công, đang được coi là một sự thay đổi chiến lược. Thay vì đối xử với các điểm yếu một cách cô lập, nó lập bản đồ cách các kẻ tấn công có thể kết hợp các điểm yếu cấu hình, điểm yếu nhận dạng và tài sản dễ bị tổn thương để đạt đến các hệ thống quan trọng.

Bằng cách mô phỏng hành vi của đối thủ và xác thực các biện pháp kiểm soát trong thời gian thực, các đội có thể tập trung vào các rủi ro có thể khai thác thực sự phơi bày doanh nghiệp, không chỉ những rủi ro được đánh dấu bởi các công cụ tuân thủ.

Khuyến Nghị Cho Các CISO và Lãnh Đạo An Ninh Thông Tin

Dưới đây là những gì các đội an ninh thông tin nên ưu tiên ngày hôm nay để ở trước các cuộc tấn công được tạo ra bởi AI:

  • Triển Khai Mô Phỏng Tấn Công Liên Tục Áp dụng các công cụ mô phỏng đối thủ tự động, AI-driven để kiểm tra các biện pháp kiểm soát của bạn theo cách các kẻ tấn công thực sự sẽ làm. Các mô phỏng này nên được thực hiện liên tục, không chỉ được dành cho các bài tập đỏ hàng năm.
  • Ưu Tiên Khả Năng Khai Thác Trên Mức Độ Nghiêm Trọng Đi vượt qua các điểm số CVSS. Tích hợp phân tích đường tấn công và xác thực ngữ cảnh vào các mô hình rủi ro của bạn. Hãy hỏi: Liệu điểm yếu này có thể tiếp cận được không? Nó có thể khai thác được không?
  • Tích Hợp Telemetry An Ninh Thông Tin Của Bạn Kết hợp dữ liệu từ các nền tảng SIEM, CSPM, EDR và VM vào một cái nhìn tập trung, tương quan. Điều này cho phép phân tích đường tấn công và cải thiện khả năng phát hiện xâm nhập phức tạp, nhiều bước.
  • Tự Động Hóa Xác Thực Phòng Thủ Chuyển từ kỹ thuật phát hiện thủ công sang xác thực được hỗ trợ bởi AI. Sử dụng học máy để đảm bảo các chiến lược phát hiện và phản ứng của bạn phát triển cùng với các mối đe dọa mà chúng旨在 ngăn chặn.
  • Hiện Đại Hóa Báo Cáo Rủi Ro An Ninh Thông Tin Thay thế các bảng điều khiển rủi ro tĩnh bằng các đánh giá phơi bày thời gian thực. Đồng bộ hóa với các khuôn khổ như MITRE ATT&CK để chứng minh cách các biện pháp kiểm soát của bạn ánh xạ đến các hành vi đe dọa thực tế.

Các tổ chức chuyển sang xác thực liên tục và ưu tiên dựa trên khả năng khai thác có thể mong đợi cải thiện đáng kể trên nhiều chiều của hoạt động an ninh thông tin. Bằng cách tập trung chỉ vào các mối đe dọa có tác động cao, có thể hành động, các đội an ninh thông tin có thể giảm mệt mỏi do cảnh báo, loại bỏ các phân tâm do các cảnh báo sai hoặc các điểm yếu không thể khai thác gây ra. Sự tập trung này cho phép phản ứng nhanh hơn, hiệu quả hơn với các cuộc tấn công thực sự, giảm đáng kể thời gian lưu trú và cải thiện việc chứa đựng sự cố.

Hơn nữa, cách tiếp cận này tăng cường sự tuân thủ quy định. Xác thực liên tục đáp ứng nhu cầu ngày càng tăng từ các khuôn khổ như quy tắc tiết lộ an ninh thông tin của SEC và quy định DORA của EU, cả hai đều yêu cầu khả năng hiển thị thời gian thực vào rủi ro an ninh thông tin. Có lẽ quan trọng nhất, chiến lược này đảm bảo phân bổ tài nguyên hiệu quả hơn và cho phép các đội đầu tư thời gian và sự chú ý của họ vào nơi quan trọng nhất, chứ không phải phân tán trên một bề mặt rộng lớn của rủi ro lý thuyết.

Thời Điểm Để Điều Chỉnh Là Bây Giờ

Kỷ nguyên của tội phạm mạng được hỗ trợ bởi AI không còn là một dự đoán, mà là hiện tại. Các kẻ tấn công đang sử dụng AI để tìm ra các con đường mới. Các đội an ninh thông tin phải sử dụng AI để đóng chúng.

Điều này không chỉ là thêm nhiều cảnh báo hơn hoặc vá nhanh hơn. Điều này là về việc biết những mối đe dọa nào quan trọng, xác thực các biện pháp bảo vệ của bạn liên tục và căn chỉnh chiến lược với hành vi của kẻ tấn công trong thế giới thực. Chỉ khi đó, các đội phòng thủ mới có thể giành lại lợi thế trong một thế giới mà AI đang viết lại các quy tắc của trò chơi.

mm

Om Moolchandani là đồng sáng lập, Giám đốc An ninh Thông tin (CISO) và Giám đốc Sản phẩm (CPO) của Tuskira. Với bằng Cử nhân và Thạc sĩ về Khoa học Máy tính, Om mang đến chuyên môn sâu về bảo mật đám mây, tuân thủ và phần mềm doanh nghiệp. Ông trước đây đã giữ các vị trí an ninh và sản phẩm cấp cao tại các công ty hàng đầu bao gồm CrowdStrike, Tenable, GE và AutoGrid. Trước Tuskira, ông cũng đồng sáng lập Accurics, một công ty CNAPP tiên phong được Tenable mua lại. Om được biết đến với việc xây dựng các giải pháp bảo mật, có thể mở rộng để giải quyết các thách thức an ninh mạng hiện đại.