Przez Zespoły ds. bezpieczeństwa naprawiają niewłaściwe zagrożenia: Jak skorygować kurs w erze ataków AI?
Ewolucja cyberataków i powody, dla których bezpieczeństwo musi nadążać za zmianami
W stale ewoluującym krajobrazie cyfrowym cyberataki wykroczyły poza podstawowe operacje ręczne z przeszłości. Obecnie podstawą strategii ofensywnych jest sztuczna inteligencja (AI). Sztuczna inteligencja pozwala na generowanie złożonego polimorficznego złośliwego oprogramowania i umożliwia systematyczną cyfrową pracę szpiegowską. W rezultacie cyberprzestępcy są szybsi i sprytniejsi niż tradycyjne mechanizmy obronne, stanowiąc rzeczywiste, a nie teoretyczne zagrożenie. Jednak w obliczu tej rewolucji wiele organizacji nadal polega na przestarzałych reaktywnych modelach bezpieczeństwa, które koncentrują się na znanych wskaźnikach naruszenia bezpieczeństwa, historycznych zachowaniach podczas ataków i ocenach dotkliwości z wątpliwą dokładnością.
Jednak te stare metody zawodzą, ponieważ powodują, że personel bezpieczeństwa pracuje niestrudzenie, uwikłany w labirynt alertów i fałszywych alarmów, jednocześnie nie dostrzegając krytycznych rzeczywistych zagrożeń. Nawet przy długotrwałych, ale obecnie przestarzałych środkach bezpieczeństwa, które zależą wyłącznie od spełnienia wymogów zgodności i okresowych ocen, oczywiste jest, że walka z cyberatakami toczy się na niewłaściwym froncie.
Luki, presja regulacyjna i dalsze działania
Luka ta istnieje głównie z powodu nadmiernego polegania na statycznych wynikach ryzyka, takich jak CVSS, w celu określenia poziomu zagrożenia. Takie wyniki, choć korzystne w niektórych przypadkach, nie uwzględniają unikalnego środowiska organizacji i tego, czy luka jest odsłonięta, dostępna lub stanowi część możliwej trasy ataku. W rezultacie zespoły ds. bezpieczeństwa często tracą czas na zajmowanie się kwestiami o minimalnym faktycznym ryzyku, podczas gdy cyberprzestępcy łączą niezauważone luki w celu infiltracji systemów.
Tradycyjne metody wykrywania, takie jak dopasowywanie sygnatur i alerty oparte na regułach, szybko tracą na znaczeniu. Zagrożenia oparte na sztucznej inteligencji mają na celu dostosowanie się i uniknięcie statycznej obrony, co czyni je nieskutecznym rozwiązaniem dla dzisiejszych wyzwań związanych z cyberbezpieczeństwem. Przyjęcie polimorficznego złośliwego oprogramowania, które zmienia swoją strukturę przy każdym wdrożeniu, lub stworzonych przez sztuczną inteligencję wiadomości phishingowych, które przekonująco naśladują autentyczną komunikację, sprawia, że stare narzędzia wykrywania stają się przestarzałe.
Oprócz bezpośrednich wyzwań związanych z bezpieczeństwem, organizacje zmagają się również z nowymi regulacjami. Na przykład w Stanach Zjednoczonych SEC zobowiązuje obecnie spółki publiczne do niezwłocznego zgłaszania istotnych incydentów związanych z cyberbezpieczeństwem i ujawniania odpowiednich praktyk zarządzania ryzykiem. Podobnie w UE, rozporządzenie DORA nakazuje systematyczne monitorowanie ryzyka i odporność operacyjną. Zdecydowana większość organizacji nie dysponuje narzędziami lub systemami, które pozwoliłyby im poradzić sobie z tą zmianą, przez co nie przestrzegają przepisów lub stają się podatne na zagrożenia związane ze sztuczną inteligencją.
Przedefiniowanie podejścia do cyberbezpieczeństwa
Reagowanie na te zmieniające się scenariusze wymaga nowego spojrzenia na zarządzanie zagrożeniami. Oznacza to rozważenie takich czynników, jak to, czy podatność jest osiągalna z prawdopodobnego punktu wejścia atakującego lub czy można ją wykorzystać w rzeczywistych scenariuszach ataków. Ignorowanie takich aspektów prowadzi jedynie do niewłaściwego przekierowania zasobów, podczas gdy prawdziwe zagrożenia nadal czają się w cieniu. Tradycyjne, uproszczone podejście “znajdź i napraw” już nie wystarcza.
Przyjęcie koncepcji Attack-Path-Driven Defense może pomóc w zmianie sposobu działania zespołów ds. bezpieczeństwa. Co by było, gdyby mogli naśladować zachowanie prawdziwego napastnika, przewidywać metody ataku, a następnie zajmować się tylko tymi kwestiami, które mają znaczący wpływ? Jest to koncepcja ciągłej walidacji bezpieczeństwa i symulacji ścieżki ataku. Proaktywnie mapuje potencjalne trasy atakujących w środowiskach, łącząc błędne konfiguracje, luki w tożsamości i wrażliwe zasoby w celu zlokalizowania krytycznych systemów.
Główne sugestie strategiczne dla liderów ds. bezpieczeństwa mogą obejmować wykorzystanie narzędzi opartych na sztucznej inteligencji do naśladowania rzeczywistych zachowań atakujących, ustalanie priorytetów luk w zabezpieczeniach w oparciu o ich potencjał do wykorzystania w określonych środowiskach, ujednolicanie danych z platform bezpieczeństwa w celu umożliwienia kompleksowej analizy ścieżki ataku oraz wykorzystywanie uczenia maszynowego do ciągłej walidacji ich zdolności obronnych. Takie kroki nie tylko poprawiają wydajność operacyjną, ale także zapewniają lepszą zgodność z przepisami.
Wreszcie, cyberataki oparte na sztucznej inteligencji na nowo definiują pole bitwy. Jeśli mają mieć szansę, obrońcy muszą dorównać ich tempu i wprowadzać innowacje przy użyciu sztucznej inteligencji, aby wypełnić te same luki, które wykorzystują atakujący. Ostatecznie sprowadza się to do strategicznego skupienia: zrozumienie atakujących, symulowanie ich operacji i walidacja mechanizmów obronnych to klucze dla zespołów bezpieczeństwa do odzyskania przewagi w erze inteligentnych zagrożeń.
