Атака нулевого дня пугает не изощренностью, а неизвестностью. В критический момент для нее нет патча. Это одно условие подрывает основу, на которую полагаются большинство программ безопасности: время.
В прошлом злоумышленникам не нужны были уязвимости нулевого дня, поскольку они полагались на предсказуемые сбои в установке исправлений и управлении учетными данными. Огромный труд, необходимый для поиска новых уязвимостей, служил естественным ограничителем для изощренных атак. Агентный ИИ устраняет это препятствие. Автоматизируя цикл проб и ошибок, ИИ превращает исследование уязвимостей в круглосуточную высокоскоростную операцию, делая некогда редкую уязвимость нулевого дня масштабируемой угрозой.
Что такое уязвимость нулевого дня и почему это важно
Уязвимость нулевого дня — это изъян, о существовании которого поставщик и защитники еще не знают. Поскольку производителю неизвестна уязвимость нулевого дня, она существует в защитном вакууме, где нет патча для развертывания и нет проверенной стратегии действий. Эксплуатация вынуждает перейти от «обычной работы» к «чрезвычайному оперативному событию». В таких сценариях организация теряет автономию, поскольку внешние заинтересованные стороны и сами злоумышленники диктуют темп восстановления.
В то время как Stuxnet показал, что кибератаки могут иметь физические последствия, а Heartbleed продемонстрировал хрупкость криптографического стержня интернета, Log4Shell в конце 2021 года изменил правила игры, выявив риск, связанный с современными зависимостями. Библиотека ведения журнала, встроенная в тысячи пакетов, вызвала глобальные ответные меры, а государственные органы предупредили, что эксплуатация будет продолжаться долгое время.
Эти инциденты также подчеркивают, что когда уязвимый компонент является повсеместным, ваша поверхность риска включает программное обеспечение, которое вы не писали, не инвентаризируете должным образом и, возможно, даже не осознаете, что используете.
Масштабирование обнаружения уязвимостей до машинной скорости
Агентный ИИ — это ИИ, который может действовать, а не только советовать. Дайте ему цель, и он спланирует шаги, выполнит их, извлечет уроки из происходящего и скорректирует действия до достижения успеха или полной остановки. В сфере кибербезопасности это выглядит как автоматизированный оператор. Он может зондировать приложение, тестировать множественные пути атаки, менять тактику, когда защита срабатывает, и продолжать итерации, не дожидаясь, пока человек перенаправит его.
У нас уже есть достоверные публичные сигналы о том, что системы с поддержкой ИИ могут помочь обнаружить реальные уязвимости в широко используемых компонентах с открытым исходным кодом. Google Project Zero и Google DeepMind сообщили, что агент ИИ под названием Big Sleep обнаружил уязвимость в SQLite, которую можно эксплуатировать, и сопровождающие исправили ее в тот же день, когда о ней сообщили. Команда безопасности Google также описала работу по фаззингу с помощью ИИ, которая привела к сообщению об обнаружении новых уязвимостей сопровождающим проектов с открытым исходным кодом, в том числе в OpenSSL. AI Cyber Challenge от DARPA был построен вокруг того же направления движения — автоматизированного обнаружения уязвимостей и их исправления в масштабе.
По мере ускорения обнаружения время между неизвестностью и эксплуатацией сокращается. Это ослабляет любую модель безопасности, построенную на периодическом подтверждении. Ежегодные тесты на проникновение и квартальные сканирования по-прежнему важны, но они не могут быть основой устойчивости, когда мотивированный противник может непрерывно зондировать, быстро адаптироваться и никогда не уставать.
Снижение ценности неизбежного взлома
Устойчивость начинается с минимизации данных. Если общедоступный сервис не нуждается в необработанных конфиденциальных данных, он не должен иметь возможности их извлекать. Токенизация и необратимое хранение, среди прочих подходов, снижают ценность успешного взлома. Вы не можете потерять то, что никогда не собирали, и не можете скомпрометировать то, чего сервис не видит.
Далее следует дисциплина в работе с API. API — это нервная система предприятия. Они также являются идеальным интерфейсом для автоматизированного зондирования, поскольку злоумышленнику не нужен пользовательский интерфейс, чтобы собрать то, что возвращает конечная точка. Убедитесь, что каждый ответ конечной точки является обдуманным решением в области безопасности. Если клиенту не нужно поле, API не должен его возвращать.
Не пустить злоумышленников — это только половина битвы. Настоящее испытание безопасности — это то, что происходит, когда они проникают внутрь. Цель состоит в том, чтобы, если дверь будет взломана, злоумышленник оказался в комнате без выхода. Используйте принцип наименьших привилегий и строгую аутентификацию, чтобы остановить их натиск. Затем используйте микросегментацию, чтобы заблокировать коридоры. Блокируя боковое перемещение, одна скомпрометированная система остается изолированной. Это помогает защитить основные данные и поддерживает работу.
Операционная устойчивость — лучшая стратегия безопасности
Безопасность не просто «работает усерднее» поверх хрупкой среды, чтобы сделать ее защищенной. Безопасность должна быть встроена в ИТ-операции — от проектирования системы до управления изменениями. Именно поэтому повестки дня CIO и CISO должны сливаться. Когда наступает кризис, они могут положиться на точные инвентаризационные списки, архитектуру, безопасную по замыслу, и дисциплинированное управление изменениями. Планы восстановления бесполезны, если они только задокументированы; их необходимо практиковать.
Агентный ИИ повышает ставки, поскольку не оставляет времени на раскачку. Он находит и использует слабость почти мгновенно. Вы не выиграете эту гонку обещаниями идеальной превентивной защиты. Вы побеждаете, уменьшая то, что подвергается воздействию, ограничивая возможности перемещения злоумышленника и постоянно проверяя, что ваши средства контроля по-прежнему работают по мере изменения вашей среды.
В эпоху, когда злоумышленники могут зондировать без остановки, построена ли ваша организация так, чтобы выдержать это испытание, не разрушившись?
Эта статья публикуется в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Solomon Adote
