İş yöneticileri asla başlarına gelene kadar bir siber saldırının kurbanı olacaklarını düşünmezler – ve bu noktaya kadar çok geç. Birkaç hafta boyunca, üç şirketin sosyal mühendislik yoluyla idam edilen siber suçlara kurban düştüğünü görmüştüm – ve CEO’ların karşılaştığı bir krizin ağırlığıyla yüzleşmek zorunda kaldım. Bir düşünce beni tüketti: Büyük ölçekli bir şirket ihlal edilebilirse, her ay yatırımcılara ve kiracılara milyonlarca dolar aktaran kendi özel sermaye şirketim için ne anlama geliyordu?
Günler süren müzakere ettikten sonra potansiyel bir çözüm geliştirdim. 25 yılı aşkın deneyim ve siber güvenlik, benim adımda birden fazla patent ve yıllık gelirde 65 milyon dolara ulaşan yönetilen bir servis sağlayıcısı (MSP) oluşturma ve satma sicili ile siber tellerin gelişen doğasını anladım. Anladığım ki, tüm kurumsal iletişimde paylaşılan farkındalığı teşvik etmekti, derin peynir odaklı sosyal mühendislik saldırılarını önlemek için son kullanıcılara yönelik tehditleri görsel olarak işaret eden bir sistem uyguluyordu.
Patentleri hazırlamak, yazılımı geliştirmek ve şirketi oluşturmak için bir yolculuğa çıktım. Hazırlanmadığım şey, kurumsal Amerika’da her gün meydana gelen saldırı hacmiydi.
Son birkaç ay içinde yüzlerce büyük şirketle konuştum. CTO’lar ve CISO’lar bana ihlallerini sessizce açıkladı. Desenler hem açık hem de endişe vericidir: Sosyal Mühendislik baskın saldırı vektörüdür ve AI bu saldırıları bariz dolandırıcılıktan mükemmel taklitlere dönüştürdü.
Birkaç yıl önce, bir Dubai şirket direktörü, banka transferlerinde 35 milyon dolar başlatmak için klonlanmış bir sesle kandırıldı. Geçen yıl başka bir şirket, CFO’larını taklit eden bir dizi AI tarafından üretilen video görüşmesinin neredeyse 25 milyon dolarlık hileli transferlerle sonuçlandığını kabul etti. Bunlar izole olaylar değildir. Siber güvenlik manzarasında çoğu kuruluşun – ve kesinlikle çoğu birey – henüz anlaması gereken temel bir değişimi temsil ediyorlar.
Geleneksel siber güvenlik sistemleri korumaya odaklanmıştır: güvenlik duvarları, saldırı tespiti ve uç nokta koruması. Bu taktikler gereklidir, ancak giderek daha fazla yetersizdir. En sofistike saldırganlar teknik savunmalarınızı kırmaya çalışmazlar. Neden sadece finans departmanınızı arayabilir, tam olarak CEO’nuz gibi ses çıkarabilir ve acil bir banka transferi isteyebilirler?
Üretken AI’nın yükselişi, bu saldırıların hem ölçeğini hem de sofistike olmasını katlanarak arttırmıştır. Daha önce, sosyal mühendislik, çağrılar veya zanaat ikna edici e -postalarda ikna edici bir performans sergileyebilecek yetenekli insan operatörlerine ihtiyaç duyuyordu. Bu, mümkün olan yüksek kaliteli saldırıların sayısını sınırladı. Şimdi, AI tamamen meşru görünen binlerce kişiselleştirilmiş, bağlamsal olarak bilinçli iletişim – e -posta, sesli çağrı, hatta video – üretebilir.
Bu dönüşüm nefes kesen hızla oldu. Bir Midwest şirketi, sadece 18 ay önceki kimlik avı simülasyon testlerinin bugün gördükleri gerçek saldırılara kıyasla gülünç bir şekilde açık göründüğünü paylaştı. Bir zamanlar kırmızı bayraklar olarak hizmet eden garip ifadeler ve dilbilgisi hataları kayboldu, yerini, kişiliğe katılan yöneticinin tam iletişim stilini yansıtan mükemmel hazırlanmış mesajlar aldı.
Bu krizi özellikle sinsi yapan şey, görünmezliğidir. Kendini şifreli dosyalar ve talep notları ile duyuran bir fidye yazılımı saldırısının aksine, başarılı sosyal mühendislik, para gidene kadar genellikle belirgin bir iz bırakmaz. Ve şöhret hasarından korkan şirketler, yasal olarak gerekmedikçe bu olayları nadiren açıklamaktadır – tam anlamıyla “soyulmuş” olduklarını itiraf etmek için istiflenmişlerdir.
Finansal sonuçlar şaşırtıcı. FBI’ın İnternet Suç Şikayet Merkezi, iş e -posta uzlaşmasının (BEC) saldırılarının – sadece bir tür sosyal mühendislik türü – bildirilen kayıplarda milyarlarca dolarlık bir uyuştuğunu bildirdi. Ancak konuştuğum endüstri uzmanları, gerçek maliyetin çok daha yüksek olduğuna inanıyor, bildirilmeyen olaylarda faktoring yaparken potansiyel olarak 5 ila 10 kat daha fazla. Bu tehdidin ölçeği sadece endişe verici değil, işletmelerin siber güvenlik savunmalarını yeniden düşünmeleri için bir uyandırma çağrısı.
Peki ne yapılabilir? Teknik çözümler cevabın bir parçasıdır. Geliştirdiğimiz sistem, AI tespit etmek, anormallikleri tanımlamak ve gerçek zamanlı uyarı göstergeleri sağlamak için kanallar arasında iletişim kalıplarını analiz etmek için AI kullanır.
Düzenleyicilerin de oynayacakları bir rolü vardır. Uyum denetçileri ve siber sigorta sağlayıcıları, şirketlere ortak farkındalık ve onaylanmayan toplayıcılar sağlayan teknolojiyi kullanmaya yönlendirebilir. Ayrıca, mevcut açıklama gereksinimleri genellikle sosyal mühendislik saldırılarının gerçek doğasını ve kapsamını yakalayamaz. Daha ayrıntılı raporlama görevleri, sorunun ölçeğini aydınlatmaya ve uygun yanıtları yönlendirmeye yardımcı olacaktır.
Yapay zeka ilerlemeye devam ettikçe, otantik ve sentetik iletişim arasındaki çizgi sadece bulanıklaşacaktır. Saldırganlar, görünüşte tanıdık kaynaklardan gördüğümüz ve duyduğumuza inanma ve temel insan eğilimimizden yararlanarak güvenin kendisini silahlandırdı.
Bu kriz gerçek, büyüyor ve büyük ölçüde halk için görünmez. Yeni siber güvenlik manzarasında, en zayıf bağlantının güvenlik duvarınız olmadığını – insan psikolojisinin. Ve bu bağlantının güçlendirilmesi, daha önce konuşlandırdığımız her şeyin ötesinde araçlar, eğitim ve uyanıklık gerektirecektir.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!