Connect with us

思想领袖

人工智能热潮掩盖了导致安全漏洞的人为决策

mm
Published
A photorealistic, wide-angle shot of a middle-aged IT professional in a bright, modern office, staring intensely at a computer monitor with a look of stressed urgency as he hovers his finger over a mouse to click a system pop-up.

人工智能已经改变了组织思考威胁的方式,人们的注意力经常集中在大规模的作业、自动化的侦察和越来越令人信服的模拟上。这些发展值得关注,但它们也扭曲了该行业对最常见的漏洞起源的理解。

即使组织专注于更先进、由人工智能驱动的威胁,攻击者仍然通过操纵人类的直觉来获得进入系统的机会。ClickFix攻击是一种复杂的社会工程学形式,占去年观察到的初始访问事件的47%。这表明漏洞往往始于一个人在压力下做出的快速决定,而不是技术上的漏洞。

人类反应缺口

ClickFix攻击之所以有效,是因为它们模仿了技术团队被训练来解决的信号。它们不依赖于软件漏洞或配置疏忽。相反,它们利用了一个简单的期望:当某事看起来不对劲时,某人会尝试立即解决它。

这种直觉在技术环境中被放大,在那里,正常运行、响应速度和快速行动是核心期望。管理员和支持人员被训练为快速响应警告、系统提示或访问请求。攻击者了解这种压力,并设计出类似于专业人员被训练来解决的信号的活动。

人工智能使这种计算更加危险。生成工具允许攻击者制作具有几乎完美的语法、上下文准确的系统术语和模拟真实企业软件的界面的诱饵。曾经,一个笨拙的提示会暴露社会工程学的尝试,但如今的攻击可能与合法的IT警报无法区分,扩大了用户被训练识别的东西与他们实际遇到的东西之间的差距。

事情出错的时刻

ClickFix事件的关键挑战是,关键时刻看起来很正常。用户批准一个提示,重置访问或授权更改。该操作本身与日常活动融合在一起,这为传统的安全工具创造了挑战。这些系统检测技术异常,但无法轻松解释一个仓促决策背后的上下文。

一个典型的序列可能如下所示:用户遇到一个浏览器警告,会话已过期或需要更新的插件。他们点击一个提示,后台运行一个PowerShell命令——他们从未见过——而可见的界面只是告诉他们问题已解决。整个交互过程不到30秒。系统日志中没有标记它为异常,因为,技术上,什么异常的事情都没有发生。一个合法用户在一台合法的机器上运行了一个命令。

这导致了几个后果。今天,74%的漏洞涉及人类因素,包括社会工程学攻击、错误和滥用。人类行为风险很少出现在仪表板中。问题不在于控制。缺失的层是对哪些决策最有可能被仓促做出以及如何为攻击者创造机会的可见性。

重新思考人为错误

人类行为不应被视为一个孤立的培训问题;它应该被视为安全架构的核心组成部分。

与其将其视为不可预测的结果,不如将其视为一种可以衡量的风险因素。安全领导者可以通过将以人为中心的洞察力纳入他们的防御态势来实现这一点。系统应该被设计为具有对人们行为的现实期望,而不是假设他们总是会在理想条件下表现。

这里的衡量是具体的,而不是抽象的。组织可以跟踪决策速度、用户在高峰运营时间内批准高影响提示的速度,并使用批准模式监控来发现异常,例如非工作时间的授权或标准警告的重复覆盖。应用于个人或角色级别的行为基准为安全团队提供了一个参考点,以便他们了解“正常”是什么样的,以便偏差可以注册为信号而不是噪音。

解决根本原因

改进对ClickFix式攻击的防御从了解导致仓促决策的条件开始。领导者可以研究诸如快速批准、反复出现的险些发生的事件或对系统提示的不一致响应等模式。这些观察揭示了直觉可能会覆盖谨慎的地方。

工作流程也应被评估为邀请错误的压力点。高影响的操作可以从小的验证步骤中受益,这些步骤允许用户暂停并评估他们正在批准的内容。同时,例行任务应被简化以减少鼓励人们在没有仔细考虑的情况下点击提示的疲劳。

组织可以通过使用反映现实压力的模拟来获得进一步的见解。传统的钓鱼测试对于意识到这一点很有用,但它们并不能评估有人在处理多个任务或管理紧急运营问题时如何响应。围绕时间压力或系统中断构建的场景,迫使在高风险提示出现之前进行上下文切换,揭示了传统测试难以检测的行为模式。

有效的模拟引入了传统测试忽略的变量,例如并发任务负载、疲劳窗口和中断工作流程的中间过程,迫使用户在高风险提示出现之前切换上下文。一个在隔离状态下发现钓鱼邮件的用户可能会在处理活跃事件时在4:45下午毫不犹豫地批准恶意提示。构建能够复制这些条件的测试可以生成组织可以使用的行为数据,而不是无法转化为提高对压力响应的传统的通过/失败的意识指标。

它还有助于为以合法行为开始的事件做计划。许多团队专注于检测未经授权的行为。在实践中,攻击的第一个有意义的迹象可能是永远不应该被批准的批准提示。将这种期望纳入事件响应计划中,使得原本会被忽略的早期指标更容易被发现。

加强故障点

人工智能威胁将继续演变,但许多漏洞仍然可以追溯到人类在那一刻做出的决定。解决这一现实并不需要减慢运营或放弃自动化。它需要设计出反映人们自然工作方式的系统和工作流程,并在直觉倾向于覆盖谨慎的点周围构建防护措施。

将人类决策纳入对攻击面的理解中,组织可以获得对运营风险的更准确的视图。这将带来更强的防御,既有技术控制,也有对用户在日常工作中与系统交互方式的更现实的理解。

Related Topics:
mm

罗斯·菲利佩克在托管网络安全服务行业拥有超过20年的经验,既是工程师也是顾问。除了领导Corsica管理网络风险的努力外,他还为许多Corsica客户提供vCISO咨询服务。罗斯获得了思科认证的网络专家(CCIE #18994;安全轨道)和ISC2认证的信息系统安全专业人员(CISSP)的认可。他还从诺特丹大学获得了MBA学位。