حملات سایبری دیگر به صورت دستی ، عملیات خطی نیست. با هوش مصنوعی که اکنون در استراتژی های توهین آمیز تعبیه شده است ، مهاجمان در حال توسعه هستند بدافزار چند شکل، خودکار سازی خودکار و دور زدن دفاعی سریعتر از اینکه بسیاری از تیم های امنیتی بتوانند پاسخ دهند. این یک سناریوی آینده نیست ، اکنون اتفاق می افتد.
در عین حال ، بیشتر دفاع های امنیتی هنوز واکنشی هستند. آنها به شناسایی شاخص های شناخته شده سازش ، استفاده از الگوهای حمله تاریخی و خطرات پرچم گذاری بر اساس نمرات شدت متکی هستند که ممکن است منعکس کننده چشم انداز تهدید واقعی نباشد. تیم ها از حجم و نه بینش غرق می شوند و یک محیط عالی برای موفقیت مهاجمان ایجاد می کنند.
طرز فکر میراث این صنعت که در اطراف چک لیست های انطباق ، ارزیابی های دوره ای و ابزار پراکنده ساخته شده است ، به یک مسئولیت تبدیل شده است. تیم های امنیتی سخت تر از همیشه کار می کنند ، اما اغلب موارد اشتباه را برطرف می کنند.
چرا این شکاف وجود دارد
صنعت امنیت سایبری مدتهاست که به نمرات ریسک تکیه داده است cvss برای اولویت بندی آسیب پذیری ها. با این حال ، نمرات CVSS منعکس کننده زمینه دنیای واقعی زیرساخت های یک سازمان از جمله اینکه آیا یک آسیب پذیری در یک مسیر حمله شناخته شده در معرض ، قابل دسترسی یا است قابل بهره برداری است.
در نتیجه ، تیم های امنیتی غالباً زمان ارزشمندی را صرف لکه گیری مسائل غیر قابل استفاده می کنند ، در حالی که مهاجمان راه های خلاقانه ای را برای زنجیر کردن نقاط ضعف نادیده گرفته و کنترل دور می یابند.
اوضاع با ماهیت تکه تکه شده پشته امنیتی پیچیده تر است. سیستم های SIEMS ، تشخیص نقطه پایانی و پاسخ (EDR) ، ابزارهای مدیریت آسیب پذیری (VM) و سیستم عامل های مدیریت وضعیت امنیتی Cloud (CSPM) همه به طور مستقل عمل می کنند. این تله متری خاموش نقاط کور ایجاد می کند که مهاجمان دارای AI به طور فزاینده ای در بهره برداری مهارت دارند.
تشخیص مبتنی بر امضا در حال محو شدن است
یکی از مهمترین روندها در امنیت سایبری مدرن ، کاهش ارزش روشهای شناسایی سنتی است. امضاهای استاتیک و هشدار مبتنی بر قاعده در هنگام تهدیدات از الگوهای قابل پیش بینی مؤثر بودند. اما حملات ناشی از AI طبق این قوانین بازی نمی کنند. آنها کد را جهش می دهند ، از تشخیص فرار می کنند و با کنترل ها سازگار می شوند.
از بدافزار پلی مورفیک استفاده کنید ، که ساختار آن را با هر استقرار تغییر می دهد. یا ایمیل های فیشینگ تولید شده توسط AI که از سبک های ارتباطی اجرایی با دقت نگران کننده تقلید می کنند. این تهدیدها می توانند ابزارهای مبتنی بر امضای گذشته را به طور کامل کاهش دهند.
اگر تیم های امنیتی همچنان به شناسایی آنچه قبلاً دیده شده است ، تکیه می کنند ، آنها یک قدم از مخالفانی که به طور مداوم در حال نوآوری هستند ، باقی می مانند.
فشار نظارتی در حال نصب است
مشکل فقط فنی نیست ، بلکه اکنون نظارتی است. در کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) اخیراً قوانین جدید افشای امنیت سایبری را معرفی کرده است ، و شرکت های دولتی را ملزم به گزارش حوادث امنیت سایبری و توصیف استراتژی های مدیریت ریسک خود در زمان واقعی می کند. به همین ترتیب ، قانون انعطاف پذیری عملیاتی دیجیتال اتحادیه اروپا (DORA) خواستار تغییر از ارزیابی های دوره ای به مدیریت ریسک سایبری مداوم و معتبر است.
بیشتر سازمان ها برای این تغییر آماده نیستند. آنها توانایی ارائه ارزیابی در زمان واقعی را ندارند که آیا کنترل های امنیتی فعلی آنها در برابر تهدیدهای امروز مؤثر است ، به ویژه که هوش مصنوعی همچنان در حال تحول آن تهدیدها با سرعت دستگاه است.
اولویت بندی تهدید شکسته است
چالش اصلی در نحوه اولویت بندی سازمانها در کار است. بیشتر آنها هنوز هم به سیستم های امتیاز دهی خطر استاتیک تکیه می دهند تا مشخص کنند چه چیزی ثابت می شود و چه زمانی. این سیستم ها به ندرت محیطی را که در آن یک آسیب پذیری وجود دارد ، به خود اختصاص می دهند ، و نه در معرض ، قابل دسترسی یا استثمار.
این امر باعث شده است كه تیم های امنیتی زمان و منابع قابل توجهی را برای رفع آسیب پذیری هایی كه قابل حمله نیستند ، صرف كنند ، در حالی كه مهاجمان راه هایی برای زنجیر كردن مسائل با امتیاز پایین و نادیده گرفته برای دستیابی به دسترسی پیدا می كنند. مدل سنتی “یافتن و رفع” به روشی ناکارآمد و غالباً ناکارآمد برای مدیریت خطر سایبری تبدیل شده است.
امنیت باید از واکنش به هشدار در مورد درک رفتار دشمن تکامل یابد – این که یک مهاجم در واقع از طریق یک سیستم حرکت می کند ، که کنترل آنها می تواند از آن دور شود ، و نقاط ضعف واقعی در آن قرار دارد.
یک راه بهتر به جلو: دفاع پیشرو ، حمله به مسیر محور
چه می شود اگر به جای واکنش به هشدارها ، تیم های امنیتی می توانند به طور مداوم شبیه سازی کنند که مهاجمان واقعی چگونه سعی می کنند محیط خود را نقض کنند و فقط مهمترین آنها را برطرف کنند؟
این رویکرد ، که اغلب به آن اعتبار سنجی امنیتی مداوم یا شبیه سازی مسیر حمله گفته می شود ، به عنوان یک تغییر استراتژیک حرکت می کند. به جای درمان آسیب پذیری در انزوا ، نقشه برداری می کند که چگونه مهاجمان می توانند اشتباهات نادرست ، ضعف هویت و دارایی های آسیب پذیر را برای دستیابی به سیستم های مهم زنجیره ای زنجیره ای کنند.
تیم ها با شبیه سازی رفتار طرف مقابل و اعتبار سنجی کنترل در زمان واقعی ، می توانند روی خطرات قابل بهره برداری تمرکز کنند که در واقع تجارت را در معرض دید قرار می دهند ، نه فقط مواردی که توسط ابزارهای انطباق پرچم گذاری شده اند.
توصیه هایی برای CISO و رهبران امنیتی
در اینجا آنچه تیم های امنیتی امروز باید اولویت بندی کنند تا از حملات ناشی از AI بمانند:
- شبیه سازی های حمله مداوم را اجرا کنید ابزارهای خودکار تقلید طرف مقابل AI را اتخاذ کنید که کنترل شما را به روشی که مهاجمان واقعی انجام می دهند ، آزمایش می کنند. این شبیه سازی ها باید فقط برای تمرینات سالانه تیم قرمز محفوظ باشند.
- در اولویت بهره برداری از شدت فراتر از نمرات CVSS حرکت کنید. تجزیه و تحلیل مسیر حمله و اعتبار سنجی متنی را در مدل های ریسک خود وارد کنید. بپرسید: آیا این آسیب پذیری قابل دسترسی است؟ آیا امروز می توان مورد سوء استفاده قرار گرفت؟
- تله متری امنیتی خود را متحد کنید داده ها را از سیستم عامل های SIEM ، CSPM ، EDR و VM در یک دیدگاه متمرکز و همبسته ادغام کنید. این امر تجزیه و تحلیل مسیر حمله را امکان پذیر می کند و توانایی شما در تشخیص نفوذ پیچیده و چند مرحله ای را بهبود می بخشد.
- اعتبار سنجی دفاعی خودکار تغییر از مهندسی تشخیص دستی به اعتبار سنجی AI. از یادگیری ماشین استفاده کنید تا اطمینان حاصل شود که استراتژی های تشخیص و پاسخ شما در کنار تهدیداتی که برای متوقف کردن آنها قرار دارد ، تکامل می یابد.
- گزارش ریسک سایبری را مدرن کنید داشبوردهای خطر استاتیک را با ارزیابی قرار گرفتن در معرض در زمان واقعی جایگزین کنید. با چارچوب هایی مانند Miter Att & CK تراز کنید تا نشان دهید که چگونه کنترل های شما به رفتارهای تهدید در دنیای واقعی نقشه می کنند.
سازمانهایی که به سمت اعتبار سنجی مداوم و اولویت بندی مبتنی بر استثماری تغییر می کنند ، می توانند انتظار پیشرفت های قابل اندازه گیری در ابعاد مختلف عملیات امنیتی را داشته باشند. تیم های امنیتی با تمرکز فقط روی تهدیدهای عملی و با تأثیر بالا ، می توانند خستگی هشدار را کاهش داده و حواس پرتی های ناشی از مثبت کاذب یا آسیب پذیری های غیرقابل استفاده را از بین ببرند. این تمرکز ساده ، پاسخ های سریعتر و مؤثرتر را به حملات واقعی امکان پذیر می کند ، باعث کاهش چشمگیر زمان ساکن و بهبود مهار حادثه می شود.
علاوه بر این ، این رویکرد تراز نظارتی را تقویت می کند. اعتبار سنجی مداوم تقاضای رو به رشد از چارچوب هایی مانند قوانین افشای امنیت سایبری SEC و مقررات DORA اتحادیه اروپا را برآورده می کند ، که هر دو نیاز به دید واقعی در معرض خطر سایبری دارند. شاید مهمتر از همه ، این استراتژی تخصیص منابع کارآمدتر را تضمین می کند و به تیم ها اجازه می دهد تا زمان و توجه خود را در جایی که بیشتر اهمیت دارند سرمایه گذاری کنند ، نه اینکه خود را در سطح وسیعی از خطر نظری بکشند.
زمان انطباق اکنون است
دوران جرایم سایبری AI محور دیگر پیش بینی نیست ، این زمان است. مهاجمان برای یافتن مسیرهای جدید از هوش مصنوعی استفاده می کنند. تیم های امنیتی باید از هوش مصنوعی برای بستن آنها استفاده کنند.
این در مورد اضافه کردن هشدارهای بیشتر یا پچ سریع تر نیست. این در مورد دانستن این است که تهدیدها مهم است ، به طور مداوم دفاع از دفاع شما را تأیید می کند و استراتژی را با رفتار مهاجم در دنیای واقعی تراز می کند. فقط در این صورت می توان مدافعان را در دنیایی که AI در حال بازنویسی قوانین تعامل است ، بازیابی کنند.