Kyberturvallisuusalalla on ehkä juuri koettu "ChatGPT-hetkensä". Huhtikuun alussa julkistettu Anthropicin uusi Claude Mythos Esikatselumalli on ilmeisesti löytänyt tuhansia vakavia ja kriittisiä nollapäivähaittoja avoimen lähdekoodin ja kaupallisista ohjelmistoista – osa yli 20 vuoden takaa. Näin tehdessään se lupaa kuroa umpeen hyödyntämisikkunan, jonka aikana verkon puolustajat kiirehtivät korjaamaan haavoittuvuuksia ennen vastustajiaan. Anthropicin päätös käyttää mallia Glasswing-projekti – jossa toimittajat käyttävät teknologiaa uusien haavoittuvuuksien löytämiseen ja korjaamiseen – aiheuttaa vielä enemmän häiriöitä.
Tämän vaikutusta tietoturvatiimeihin on vaikea yliarvioida. Mutta yksi asia on heidän puolellaan. Tarina on levinnyt johtokuntaan asti. Tämä voisi olla loistava tilaisuus varmistaa rahoitus ja resurssit tekoälypohjaisen haavoittuvuuksien hallinnan uudelle aikakaudelle.
Mitä tämä tarkoittaa tietoturvajohtajille?
Vaikka Mythos onnistuttaisiin pitämään hakkereiden ulottumattomissa, muiden valmistajien mallit eivät pysy. Tällä on merkittäviä seurauksia tietoturvajohtajille:
- Lyhyellä aikavälillä tiimit todennäköisesti hukkuvat Project Glasswingiin liittyneiden toimittajien hätäkorjauksiin.
- Valtion toimijat saattavat pyrkiä hyödyntämään kaikkia varastoituja nollapäivähyökkäyksiä suhteellisen pian, ennen kuin tekoälyn avulla löydettävät tekijät tekevät niistä arvottomia.
- Pidemmällä aikavälillä tietoturvajohtajat voivat odottaa Mythos-tyyppisten ominaisuuksien joutuvan kyberrikollisten ja valtiollisten toimijoiden käsiin. Tämä "lisää dramaattisesti" monimutkaisten, uudenlaisten hyökkäysten määrää ja tiheyttä, uuden raportin mukaan. toimialaraportti.
Kuinka hyvä Mythos on?
Cloud Security Alliancen (CSA), OWASPin, SANSin ja muiden tuottaman raportin mukaan Mythos edustaa "askelmuutosta" tekoälypohjaisessa haavoittuvuuksien havaitsemisessa ja hyödyntämisessä. Raportissa väitetään, että tällaiset mallit ovat erilaisia, koska ne ovat:
- Autonomisempi ja luotettavampi, kehittämällä hyökkäyksiä itsenäisesti ilman "rakennustelineitä" – ulkoista koodia ja kaiteita, joita oikeustieteen maisterit usein tarvitsevat toimiakseen
- Pystyy tunnistamaan monimutkaisia, ketjuuntuneita haavoittuvuuksia
- Pystyy tekemään kaiken yhdellä kehotteella
Mythoksen testaamisen jälkeen Ison-Britannian tekoälyturvallisuusinstituutti (AISI) sisältää joitakin tärkeitä varauksia. Uudessa raportissa paljastettiin, että "asiantuntijatason" lipunkaappaustehtävissä Mythos Preview onnistuu 73 % ajasta. Todellisen maailman kyberhyökkäykset ovat kuitenkin paljon monimutkaisempia. Siksi AISI rakensi "The Last Ones" (TLO): 32-vaiheisen yritysverkkohyökkäyssimulaation, joka alkaa alustavasta tiedustelusta ja päättyy täydelliseen verkon haltuunottoon. Sen suorittaminen veisi ihmiseltä noin 20 tuntia. Vaikka Mythos oli ensimmäinen malli, joka ratkaisi TLO:n alusta loppuun, se onnistui kolme kertaa kymmenestä. AISI:n mukaan enemmän päättelylaskentaa voi saavuttaa vielä paremman suorituskyvyn.
Vielä tärkeämpää on, että instituutti sanoi tämän vain todistavan, että Mythos pystyy "hyökkäämään itsenäisesti pieniä, heikosti puolustettuja ja haavoittuvia yritysjärjestelmiä vastaan, joissa on saatu pääsy verkkoon". Todellisessa maailmassa asioiden pitäisi olla paljon vaikeampia "aktiivisten puolustajien ja puolustustyökalujen" ansiosta.
Valmistautuminen mytologian jälkeiseen aikaan
Samaan aikaan AISI suositteli tietoturvatiimejä keskittymään perusasioihin: ”tietoturvapäivitysten säännölliseen asentamiseen, vankkaan käyttöoikeuksien hallintaan, tietoturvakonfiguraatioon ja kattavaan lokikirjaukseen”. Se viittasi myös rajaseudun puolustuskäyttö Tekoäly esimerkiksi seuraaviin asioihin:
- Järjestelmän koventaminen jatkuvan skannauksen, virheiden ja virheellisten määritysten löytämisen, hyökkäysreittien kartoittamisen ja hyödynnettävyyden testaamisen avulla
- Uhkien havaitsemisen ja tutkinnan parantaminen luokittelun, lokitietojen kaavojen havaitsemisen ja raporttiyhteenvetojen kirjoittamisen avulla
- Vastaustoimien automatisointi, kuten liikenteen estäminen, prosessien eristäminen ja käyttäjien käyttöoikeuksien peruuttaminen
Bridewellin teknologiajohtaja Martin Riley lisää, että tietoturvajohtajien tulisi aloittaa jatkuva uhkien hallinta (CTEM) kiireellisesti.
”Resurssien inventointi, hyökkäyspintojen priorisointi, hallinnan validointi ja mobilisointi korjaavien toimenpiteiden toteuttamiseksi. Jos sinulla ei ole jatkuvaa näkyvyyttä altistukseesi, olet sokea”, hän kertoo IO:lle (entinen ISMS.online). ”Toiseksi, testaa havaitsemistasi uhkien varalta, joita et ole koskaan ennen nähnyt. Investoi poikkeamiin perustuvaan havaitsemiseen ja syvään verkkotelemetriaan. Allekirjoituspohjaiset lähestymistavat eivät paljasta tekoälyn luomia hyökkäysketjuja.”
Tietoturvajohtajien on myös valmennettava tiimejään "jatkuvan operatiivisen intensiteetin" ajaksi, Riley varoittaa.
”CSA:n artikkelissa korostettiin aivan oikein työuupumusta operatiivisena riskinä. Tietoturvajohtajien on suunniteltava kapasiteettia, pyydettävä henkilöstömääriä ja nopeutettava tekoälyagenttien käyttöä omissa tiimeissään pysyäkseen vauhdissa”, hän väittää. ”Lopuksi on vahvistettava perusasioita. Segmentointi, ulosmenosuodatus, tietojenkalastelulta suojattu monitieteinen autentikointi ja syvyyssuuntainen puolustus. Nämä kontrollit lisäävät haavoittuvuuden hyödyntämiskustannuksia riippumatta siitä, miten se löydettiin. Kypsyyttä ei rakenneta yhdessä yössä. Nyt on aika investoida.”
Olemassa olevat viitekehykset perustana
Jeff Williams, OWASP:n perustaja ja Contrast Securityn teknologiajohtaja, väittää, että olemassa olevat parhaiden käytäntöjen standardit ja viitekehykset, kuten ISO 27001 ja NIST CSF, voivat olla osallisena siirtymisessä mytologian jälkeiseen maailmaan.
”Olemassa olevat viitekehykset voivat auttaa tässä, mutta enimmäkseen luettelona käsitteellisistä halutuista tuloksista. Ne edellyttävät hallintaa, näkyvyyttä, valvontaa, havaitsemista, reagointia ja jatkuvaa parantamista”, hän kertoo IO:lle. ”Mutta Mythoksen jälkeisessä maailmassa, jossa sekä kehittäjät että hyökkääjät ovat tekoälyn hyperkiihdytettyjä, lähes kaikki näiden viitekehysten edellyttämät toiminnot on kuviteltava uudelleen näiden tulosten edistämiseksi tekoälyn tehostamilla työnkuluilla.”
Kyse ei ole saman työn tekemisestä nopeammin, vaan pikemminkin "säännöllisen, manuaalisen, tarkistusruutuihin perustuvan turvallisuuden" muuttamisesta "jatkuvammaksi, koneellisesti luettavammaksi ja puolustuskelpoisemmaksi", hän jatkaa.
”CTEM, tekoälyavusteinen tunnistus, ajonaikainen tietoturva ja jatkuva tarkkailu ovat tapoja muuttaa nämä viitekehyksen ideat todelliseksi varmuudeksi siitä, että tietoturva on todella oikein ja tehokasta sekä kehityksessä että toiminnassa”, Williams väittää.
SecurityPal AI:n perustaja ja toimitusjohtaja Pukar Hamal näkee myös roolin ISO 27001 -standardille, NIST CSF:lle, SOC 2:lle ja jopa Cyber Essentials -standardille. ”Ne ovat edelleen hyviä lähtökohtia, koska ne pakottavat omaksumaan peruskuria, jota useimmilla organisaatioilla vieläkään ei ole: luettelon omistamastasi omaisuudesta, käsityksen siitä, kuka voi koskea siihen, ja dokumentoidun tavan reagoida, kun jokin rikkoutuu”, hän kertoo IO:lle. ”Mikään tästä ei katoa mytologian jälkeisessä maailmassa.”
Tietoturvajohtajien on kuitenkin rakennettava Mythos-järjestelmän jälkeinen tietoturvastrategiansa jatkuvan varmuuden, ei säännöllisen todentamisen, ympärille.
”Älykkäimmät tietoturvajohtajat, joiden kanssa olen keskustellut, pitävät ISO 27001 -standardia jo pohjana ja rakentavat itse hiljaa toista tasoa”, hän päättelee.
Laajenna tietosi
Guide: Tekoälyn hyökkäyspinnan suojaaminen
Blogi: Miksi sääntelyviranomaiset ja sijoittajat odottavat yritysten käsittelevän kolmoisriskiä
