Teoride bir egzersiz gibi geliyor: Ya bir araştırmacı bir AI’yı bir güvenlik açığını tersine çevirmeye, yamalı taahhütü bulmaya ve çalışan bir istismar üretmeye isteyebilirse-hepsi tek bir öğleden sonra? Ancak güvenlik araştırmacısı Matt Keeley, Kritik bir Erlang/OTP SSH güvenlik açığı için açıklandıktan sadece birkaç saat sonra çalışma kanıtı üretmek için GPT-4’ü kullandığında tam olarak gösterdi.
Yeni bir gerçeklik içindeyiz. Üretken AI’nın hızlı ilerlemesiyle, sömürü gelişimi elit işçilikten mühendisliğe doğru kaymıştır. Ve bu, tehdit manzarasının radikal bir şekilde daha düzleştiği anlamına geliyor.
Savunucular yıllarca silahlandırılmış bir istismar inşa etmenin zor olduğunu bilmek için biraz rahatlık aldılar. Bir CVE halka açık olsa bile, rakiplerin operasyonel bir şey geliştirmek için günlerce, genellikle haftalar gerekiyordu. Bu pencere, eğer küçük olsa da, savunuculara etkilenen sistemleri yamaya, hazırlamaya veya izole etme zamanı verdi.
O pencere gitti.
Şimdi, bir CVE telin vurduğu anda, saat işaretlemeye başlar ve saldırganlar bir saniye boşa harcamaz. Düşman ajanları insan operatörlerinden 47 kat daha hızlı hareket ediyor. Sahip olduğumuzu düşündüğümüz asimetrik avantaj – insanlar, süreç, araçlar – aşınıyor çünkü düşmanın daha güçlü bir şeyi var: tempo.
Makine Hızlı Düşmanlar
AI yorulmaz. Uykuya ihtiyacı yok. Ve nadiren kullanılan bir istismar modülü için sözdizimini unutmaz.
Büyük dil modelleri, hücum öldürme zincirinin her adımını kolaylaştırıyor: keşif, yanlış yapılandırma keşfi, ayrıcalık artması ve yanal hareket. AI özellikli siber suçların dünya çapında artması şaşırtıcı değil.
Bu acımasızca verimli yeni saldırılarla mücadele etmek için kuruluşlar daha hızlı yamaya, daha sert izlemeye ve daha fazla uyarıyı tetiklemeye çalışıyorlar. Tüm zamanlarını ve emeklerini, hangi potansiyel ihlallerin aslında en fazla hasar verebileceğini düşünmeden, tabanları örtmeye ve tespit edebilecekleri her deliği yamalayarak atıyorlar. Ancak bu zihniyetin en büyük sorunlarının görünürlük olduğunu varsayar, gerçekten de kararlılık.
Geleneksel siber güvenlik tarayıcıları hızla uzaklaşan bir saldırı yüzeyinde gerilir ve savunucuları yabancı bulgular ve kritik olmayan uyarılar altında gömer. Ama sorun bu araç değil. Savunucuların teknolojiyi emrinde güven ve hızla kullanmaları gerekir. Bu, bir saldırgan gibi düşünmek ve iyileştirme çabalarını mümkün olduğunca hızlı en kritik zayıflıklara odaklamak anlamına gelir.
Bir tarayıcı, yarın neyin gerçekten sömürüleceğini söylemez, ancak simüle edilmiş, düşünen bir düşman iradesi. Örneğin, kendilerini modern siber savaşın ön saflarında bulan tüm savunma sanayi üssü (DIB) tedarikçileri için serbestçe sunulan bir güvenlik açığı yönetimi programı olan NSA CCC Capt’e (sürekli otonom penetrasyon testi) bakın. F-35 şemaları, uzay telemetrisi, lojistik altyapısı-hepsi günlük olarak hedeflenen ve kendilerini savunmak için nadiren donanımlı küçük tedarikçilere güveniyorlar. NSA CCC CAPT programı ile, bu satıcılar artık AI ile çalışan saldırganlara karşı operasyonlarını güvence altına almak için rakip taktikler kullanabilirler.
Ticari bir saldırı güvenlik platformuyla eşleştirilen NSA’nın tedarik hatlarındaki savunmaları destekleme yaklaşımı, savunucuların için yalvardığı bir şey sunar: kanıt, umut değil.
AI ile AI ile savaşmak
Çoğu kuruluş, AI silah oluşturmak için kullanılabilirse, savunmaları sertleştirmek için de kullanılması gerektiğini fark eder. Büyük şirketlerin% 70’inden fazlası, henüz yapmadılarsa, AI siber güvenlik araçlarına aktif olarak yatırım yapmak istiyor. Ama uygulama her şeydir. AI, denetim, kontrol listeleri veya yılda bir kez masa üstü egzersizleri olarak hazırlığı tanımlıyorsak, savunuculara avantaj sağlamaz.
Kuruluşlar, makine hızında çalışan, gerçek yaşam saldırısı yollarına öncelik veren, risklere akıllıca öncelik veren ve düzeltmelerinin çalışmasını sağlamak için sürekli doğrulama uygulayan siber stratejilere ihtiyaç duyarlar. AI bu açılardan yardımcı olabilir, ancak herhangi bir AI büyütme diğer teknolojiler gibi denetlenmelidir: titiz inceleme ile. Sonuçta, sofistike LLM’ler bile uygun gözetim ve iyi veri hijyeni olmadan büyük bir siber güvenlik riski olabilir.
Artık sıfır günlerde değiliz. Sıfır saat yaşındayız. Ve bu yeni ortamda gelişecek kuruluşlar en çok gösterge tablolarına sahip olan kuruluşlar olmayacaktır. Onlar en az varsayımlara sahip olanlar ve her gün onları doğrulamak için disiplin olacaklar.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!