思想领袖

人工智能热潮掩盖了导致安全漏洞的决策

mm
发布于
更新于
A photorealistic, wide-angle shot of a middle-aged IT professional in a bright, modern office, staring intensely at a computer monitor with a look of stressed urgency as he hovers his finger over a mouse to click a system pop-up.

人工智能已经改变了组织对威胁的思考方式,人们的注意力经常集中在大规模的自动化侦察和日益令人信服的模仿攻击上。这些发展值得关注,但它们也扭曲了行业对安全漏洞的理解。

即使组织专注于更先进的人工智能驱动的威胁,攻击者仍然通过操纵人类的直觉来获得进入系统的机会。ClickFix攻击是一种复杂的社会工程攻击,去年占据了47%的初始访问事件。它表明安全漏洞往往始于一个人在压力下迅速做出决定,而不是技术上的漏洞。

人类反应差距

ClickFix攻击之所以有效,是因为它们模仿了技术团队被训练来解决的信号。它们不依赖于软件漏洞或配置疏忽。相反,它们利用了一个简单的期望:当某事看起来不对劲时,某人会尝试立即解决它。

这种本能在技术环境中被放大,在那里,正常运行、响应速度和快速行动是核心期望。管理员和支持人员被训练成快速响应警告、系统提示或访问请求。攻击者了解这种压力,并设计出类似于专业人员被训练来解决的信号的活动。

人工智能使得这种计算变得更加危险。生成工具使攻击者能够制作具有几乎完美语法、上下文准确的系统术语和模拟的界面,这些界面与真正的企业软件非常相似。在过去,一个笨拙的提示可能会暴露社会工程攻击的企图,但如今的攻击可能与合法的IT警报无法区分,扩大了用户被训练来识别的东西与他们实际遇到的东西之间的差距。

事情出错的瞬间

ClickFix事件面临的一个关键挑战是,关键时刻看起来很正常。用户批准一个提示,重置访问或授权更改。这个动作本身就融入了日常活动,这为传统的安全工具创造了挑战。这些系统可以检测技术异常,但很难解释一个仓促决定背后的背景。

一个典型的序列可能如下:用户遇到一个浏览器警告,提示他们的会话已过期或需要更新一个必需的插件。他们点击一个提示,该提示在后台运行一个PowerShell命令——他们从未见过该命令——而可见的界面只是告诉他们问题已经解决。整个交互过程不到30秒。系统日志中没有标记它为异常,因为从技术上讲,什么异常的事情都没有发生。一个合法的用户在一台合法的机器上运行了一个命令。

这导致了几个后果。如今,74%的安全漏洞涉及人类因素,包括社会工程攻击、错误和滥用。人类行为风险很少出现在仪表板中。问题不在于控制,而在于缺乏对哪些决策最有可能被仓促做出以及这些决策如何为攻击者创造机会的可见性。

重新思考人类错误

人类行为不应被视为一个孤立的培训问题;它应该被视为安全架构的一个核心组成部分。

组织不应将其视为一个不可预测的结果,而应将其视为一个可衡量的风险因素。安全领导者可以通过将以人为中心的洞察力纳入防御态势来实现这一目标。系统应设计为反映人们的行为方式,而不是假设人们总会在理想条件下行事。

在这里,衡量是具体的,而不是抽象的。组织可以跟踪决策速度,即用户在高峰运营时间内如何快速批准高影响提示,并使用批准模式监控来发现异常,例如非工作时间授权或标准警告的重复覆盖。应用于个人或角色级别的行为基线为安全团队提供了一个参考点,以便他们可以将偏差注册为信号,而不是噪音。

解决根本原因

改进针对ClickFix风格攻击的防御从了解导致仓促决策的条件开始。领导者可以研究诸如快速批准、反复出现的险些发生的事件或对系统提示的不一致响应等模式。这些观察结果揭示了本能可能会覆盖谨慎的地方。

工作流程也应被评估,以确定可能导致错误的压力点。高影响力操作可以从小的验证步骤中受益,这些步骤允许用户暂停并评估他们正在批准的内容。同时,常规任务应被简化,以减少使人们在没有仔细考虑的情况下点击提示的疲劳。

组织可以通过使用反映现实压力的模拟来获得进一步的见解。传统的钓鱼测试对于意识到这一点很有用,但它们并不能评估人们在处理多个任务或管理紧急操作问题时如何响应。围绕时间压力或系统中断构建的场景,迫使人们在高风险提示出现之前切换上下文,揭示了传统测试中难以检测到的行为模式。

有效的模拟引入了传统测试忽略的变量,例如并发任务负载、疲劳窗口和中断,这些中断迫使人们在高风险提示出现之前切换上下文。一个在隔离状态下识别钓鱼电子邮件的人可能会在处理活跃事件时在4:45下午毫不犹豫地批准一个恶意提示。构建能够复制这些条件的测试可以生成组织可以使用的行为数据,而不是无法转化为改进的响应的意识度量标准。

同时,规划以合法操作为起点的事件也有所帮助。许多团队专注于检测未经授权的行为。实际上,攻击的第一个有意义的迹象可能是永远不应该被批准的被批准的提示。在事件响应规划中构建这一期望使得原本会被忽略的早期指标更容易被发现。

加强失败点

人工智能驱动的威胁将继续演变,但许多安全漏洞仍然可以追溯到当时的一个人类决策。解决这一现实并不需要减慢运营速度或放弃自动化。它需要设计能够反映人们自然工作方式的系统和工作流程,并在本能可能覆盖谨慎的点上构建防护措施。

组织通过将人类决策纳入对攻击面的理解中,可以获得对运营风险的更准确的认识。这导致了更强大的防御,既支持技术控制,也支持对用户在日常工作中与系统交互方式的更现实的理解。

mm

罗斯·菲利佩克(Ross Filipek)在托管网络安全服务行业拥有超过20年的经验,既担任工程师,也担任顾问。除了领导科西嘉公司(Corsica)的网络安全风险管理工作外,他还为科西嘉公司的许多客户提供虚拟首席信息安全官(vCISO)咨询服务。罗斯获得了思科认证的网络专家(CCIE #18994;安全跟踪)和ISC2认证的信息系统安全专业人员(CISSP)的认可。他还从诺特丹大学(University of Notre Dame)获得了MBA学位。