Cơn sốt AI đang che khuất các quyết định của con người dẫn đến vi phạm

AI đã thay đổi cách các tổ chức suy nghĩ về các mối đe dọa, với sự chú ý thường tập trung vào các hoạt động quy mô lớn, trinh sát tự động và giả mạo ngày càng thuyết phục. Những phát triển này xứng đáng được chú ý, nhưng chúng cũng đã làm sai lệch sự hiểu biết của ngành về nơi bắt đầu của sự phơi nhiễm phổ biến nhất.

Ngay cả khi các tổ chức tập trung vào các mối đe dọa tiên tiến, được thúc đẩy bởi AI, các kẻ tấn công vẫn đang xâm nhập vào cửa bằng cách thao túng trực giác của con người. Các cuộc tấn công ClickFix, một hình thức kỹ thuật xã hội tinh vi, chiếm 47% số vụ truy cập ban đầu được quan sát thấy vào năm ngoái. Điều này cho thấy bao nhiêu lần vi phạm bắt đầu với một người đưa ra quyết định nhanh chóng dưới áp lực, không phải là một khoảng trống trong công nghệ.

Khoảng trống Phản ứng của Con người

Các cuộc tấn công ClickFix hiệu quả vì chúng bắt chước các tín hiệu mà các đội kỹ thuật được đào tạo để giải quyết. Chúng không phụ thuộc vào các lỗ hổng phần mềm hoặc những sai sót về cấu hình. Thay vào đó, chúng khai thác một kỳ vọng đơn giản: khi có điều gì đó không ổn, ai đó sẽ cố gắng sửa nó ngay lập tức.

Trực giác này được tăng cường trong các môi trường kỹ thuật nơi thời gian hoạt động, khả năng phản hồi và hành động nhanh là những kỳ vọng cốt lõi. Các quản trị viên và nhân viên hỗ trợ được điều kiện để phản hồi nhanh chóng với các cảnh báo, lời nhắc hệ thống hoặc yêu cầu truy cập. Các kẻ tấn công hiểu áp lực này và thiết kế các chiến dịch giống hệt với các tín hiệu mà các chuyên gia được đào tạo để giải quyết.

AI đã làm cho tính toán này trở nên nguy hiểm hơn. Các công cụ tạo ra cho phép các kẻ tấn công tạo ra các mồi với ngữ pháp gần như hoàn hảo, thuật ngữ hệ thống chính xác về mặt ngữ cảnh và giao diện giả mạo giống hệt với phần mềm doanh nghiệp thực. Ở nơi một lời nhắc cồng kềnh từng tiết lộ một nỗ lực kỹ thuật xã hội, ngày nay các cuộc tấn công có thể không thể phân biệt được với một cảnh báo IT hợp pháp, làm rộng khoảng cách giữa những gì người dùng được đào tạo để phát hiện và những gì họ thực sự gặp phải trong lĩnh vực này.

Khi Mọi thứ Đi Sai

Một thách thức chính với các vụ việc ClickFix là khoảnh khắc quan trọng trông có vẻ bình thường. Một người dùng phê duyệt một lời nhắc, đặt lại truy cập hoặc ủy quyền thay đổi. Hành động itu tự nó hòa lẫn vào hoạt động hàng ngày, điều này tạo ra một thách thức cho các công cụ bảo mật truyền thống. Những hệ thống này phát hiện các bất thường kỹ thuật nhưng không thể dễ dàng giải thích ngữ cảnh đằng sau một quyết định vội vàng.

Một trình tự điển hình có thể trông như thế này: một người dùng gặp phải một cảnh báo trình duyệt rằng phiên của họ đã hết hạn hoặc một plugin cần cập nhật. Họ nhấp qua một lời nhắc chạy một lệnh PowerShell ở chế độ nền — một điều họ không bao giờ thấy — trong khi giao diện hiển thị chỉ cho họ biết vấn đề đã được giải quyết. Toàn bộ tương tác mất dưới 30 giây. Không có gì trong nhật ký hệ thống đánh dấu nó là không bình thường vì, về mặt kỹ thuật, không có gì không bình thường xảy ra. Một người dùng hợp pháp đã chạy một lệnh trên một máy hợp pháp.

Điều này dẫn đến một số hậu quả. Ngày nay, 74% số vi phạm liên quan đến yếu tố con người, bao gồm các cuộc tấn công kỹ thuật xã hội, lỗi và lạm dụng. Rủi ro hành vi của con người hiếm khi xuất hiện trong bảng điều khiển. Các điều khiển không phải là vấn đề. LAYER bị thiếu là khả năng hiển thị vào những quyết định nào có khả năng bị vội vàng nhất và làm thế nào những quyết định đó tạo ra cơ hội cho các kẻ tấn công.

Tái đánh giá Lỗi của Con người

Hành vi của con người không nên được coi là một mối quan tâm về đào tạo bị cô lập; nó nên được coi là một thành phần cốt lõi của kiến trúc bảo mật.

Thay vì coi nó là một kết quả không thể đoán trước, các tổ chức nên coi nó là một yếu tố rủi ro có thể đo lường được. Các nhà lãnh đạo bảo mật có thể đạt được điều này bằng cách kết hợp các thông tin chi tiết về con người vào tư thế phòng thủ của họ. Các hệ thống nên được thiết kế với những kỳ vọng thực tế về cách con người hành động, không với giả định rằng họ sẽ luôn hành động trong điều kiện lý tưởng.

Đo lường ở đây là cụ thể, không trừu tượng. Các tổ chức có thể theo dõi tốc độ quyết định, cách nhanh chóng người dùng phê duyệt các lời nhắc có tác động cao trong giờ hoạt động cao điểm, và sử dụng giám sát mẫu phê duyệt để đưa ra các bất thường như ủy quyền sau giờ hoặc lặp lại việc bỏ qua các cảnh báo tiêu chuẩn. Việc tạo baseline hành vi, áp dụng ở cấp cá nhân hoặc cấp vai trò, cung cấp cho các đội bảo mật một điểm tham chiếu về những gì “bình thường” trông như thế nào để các偏差 đăng ký như một tín hiệu chứ không phải tiếng ồn.

Địa chỉ Gốc rễ

Cải thiện khả năng phòng thủ chống lại các cuộc tấn công kiểu ClickFix bắt đầu bằng cách hiểu các điều kiện dẫn đến các quyết định vội vàng. Các nhà lãnh đạo có thể nghiên cứu các mẫu như phê duyệt nhanh, gần như bỏ lỡ lặp lại hoặc phản hồi không nhất quán với các lời nhắc hệ thống. Những quan sát này tiết lộ nơi trực giác có thể vượt qua sự thận trọng.

Các quy trình làm việc cũng nên được đánh giá về các điểm áp lực mời gọi sai lầm. Các hành động có tác động cao được hưởng lợi từ các bước xác minh nhỏ cho phép người dùng tạm dừng và đánh giá những gì họ đang phê duyệt. Đồng thời, các nhiệm vụ thường xuyên nên được简化 để giảm mệt mỏi mà khuyến khích mọi người nhấp qua các lời nhắc mà không cân nhắc cẩn thận.

Các tổ chức có thể có thêm thông tin bằng cách sử dụng các mô phỏng phản ánh áp lực thực tế. Các bài kiểm tra phishing truyền thống hữu ích cho nhận thức nhưng không đánh giá cách một người phản ứng khi xử lý nhiều nhiệm vụ hoặc quản lý một mối quan tâm hoạt động cấp bách. Các kịch bản được xây dựng xung quanh áp lực thời gian hoặc gián đoạn hệ thống tiết lộ các mẫu hành vi mà nếu không sẽ khó phát hiện.

Các mô phỏng hiệu quả giới thiệu các biến mà các bài kiểm tra truyền thống bỏ qua, tải công việc đồng thời, cửa sổ mệt mỏi cuối ngày và gián đoạn giữa dòng công việc buộc một chuyển đổi ngữ cảnh ngay trước khi một lời nhắc có tầm quan trọng cao xuất hiện. Một người dùng có thể phát hiện email phishing trong cô lập có thể phê duyệt một lời nhắc恶意 mà không do dự khi họ đang xử lý một sự cố hoạt động tại 4:45 chiều. Xây dựng các bài kiểm tra mô phỏng các điều kiện này tạo ra dữ liệu hành vi mà các tổ chức thực sự có thể sử dụng, thay vì các chỉ số nhận thức pass/fail không chuyển thành phản hồi cải thiện dưới áp lực.

Điều này cũng giúp lập kế hoạch cho các sự cố bắt đầu bằng các hành động hợp pháp. Nhiều đội tập trung vào việc phát hiện hành vi không được ủy quyền. Trong thực tế, dấu hiệu đáng kể đầu tiên của một cuộc tấn công có thể là một lời nhắc được phê duyệt mà không nên được phê duyệt. Việc xây dựng kỳ vọng này vào kế hoạch phản ứng sự cố làm cho nó dễ dàng hơn để phát hiện các chỉ số ban đầu mà nếu không sẽ bị bỏ qua.

Làm mạnh Điểm thất bại

Các mối đe dọa được kích hoạt bởi AI sẽ tiếp tục phát triển, nhưng nhiều vi phạm vẫn truy tìm lại quyết định của con người được đưa ra trong khoảnh khắc. Việc giải quyết thực tế này không yêu cầu làm chậm hoạt động hoặc từ bỏ tự động hóa. Nó yêu cầu thiết kế các hệ thống và quy trình làm việc phản ánh cách con người tự nhiên làm việc và xây dựng các hàng rào bảo vệ xung quanh những điểm mà trực giác có xu hướng vượt qua sự thận trọng.

Các tổ chức kết hợp việc ra quyết định của con người vào sự hiểu biết của họ về bề mặt tấn công có được một cái nhìn chính xác hơn về rủi ro hoạt động. Điều này dẫn đến các biện pháp phòng thủ mạnh mẽ được hỗ trợ bởi cả các điều khiển kỹ thuật và một sự hiểu biết thực tế hơn về cách người dùng tương tác với các hệ thống trong công việc hàng ngày.