Остается неясным, станет ли передовая модель искусственного интеллекта Claude Mythos от Anthropic прорывом в обнаружении уязвимостей программного обеспечения, или же это пустые разговоры, но общая тема вызывает растущую озабоченность у Национального центра кибербезопасности Великобритании (NCSC), который предупредил, что на все организации надвигается цунами дорогостоящих и трудоемких технических проблем. На сайте NCSC технический директор агентства Олли Уайтхаус заявил, что отрасль отдавала приоритет краткосрочной выгоде, а не созданию устойчивых продуктов и услуг, и что с появлением обнаружения уязвимостей на основе ИИ их ошибки скоро дадут о себе знать. «Искусственный интеллект, используемый достаточно квалифицированными и осведомленными лицами, демонстрирует способность эксплуатировать этот технический долг в масштабе и с высокой скоростью в рамках всей технологической экосистемы», — написал Уайтхаус. «В результате NCSC ожидает «вынужденной коррекции» для устранения этого технического долга во всех типах программного обеспечения, включая открытый исходный код, коммерческое, проприетарное и программное обеспечение как услугу». Уайтхаус добавил: «Вот почему мы призываем все организации готовиться сейчас к моменту прибытия „волны исправлений“; это будет шквал обновлений программного обеспечения, которые необходимо будет применить ко всему технологическому стеку для устранения обнаруженных новых уязвимостей». Учитывая, как руководители по информационной безопасности (CISO), лидеры безопасности и команды должны реагировать на эти кардинальные изменения, NCSC опубликовал руководство, основанное на трех основных столпах.
Приоритет внешним поверхностям
Первый из этих столпов — приоритизация внешних поверхностей атаки. Группы безопасности должны как можно скорее выявить любые поверхности атаки, открытые для общедоступного интернета. Командам следует начинать с технологий на периметре сети, а затем двигаться внутрь, через облачные инстансы, к локальным средам. Когда обнаруживаются уязвимости, в случаях, когда обновления невозможно применить ко всей среде, группы безопасности должны отдать приоритет внешним поверхностям атаки, а там, где пропускная способность превышает возможности по работе с внешними поверхностями, они должны сосредоточиться на критически важных системах безопасности. При этом важно помнить, что одних только исправлений не всегда будет достаточно. В системах, снятых с поддержки, или устаревших системах, которые невозможно обновить, может существовать — и, вероятно, существует — технический долг. Если их невозможно вернуть в состояние поддержки, их необходимо заменить.
Готовность к более быстрому и частому применению исправлений
Второй столп касается управления исправлениями. Здесь организациям следует планировать развертывание жизненно важных обновлений программного обеспечения быстрее, чаще и в масштабе, в том числе в рамках своих цепочек поставок. NCSC ожидает наплыва обновлений для устранения недостатков различной степени критичности — многие из них, вероятно, будут критическими. Агентство рекомендует организациям отдать приоритет активации функций автоматического безопасного горячего исправления, предоставляемых поставщиками, которые не требуют прерывания обслуживания, — это принесет приятный побочный эффект в виде снижения нагрузки на команду безопасности. Но если автоматическое исправление недоступно, лидерам безопасности необходимо спланировать обеспечение того, чтобы процессы и допустимый уровень риска поддерживали частые, масштабируемые обновления, учитывая неизбежные компромиссы, связанные с прерыванием работы. Для приоритизации установки обновлений можно использовать подходы, основанные на риске, такие как Система категоризации уязвимостей по заинтересованным сторонам (SSVC). Конечно, это предполагает, что критические уязвимости не находятся под активной эксплуатацией — те, которые проявляются как уязвимости нулевого дня, особенно затрагивающие системы, обращенные наружу, потребуют переноса графиков обновления на более ранний срок.
Приоритет основам
Третий и последний столп — это выход за рамки простого обновления уязвимого программного обеспечения. Одного только исправления недостаточно для решения системных проблем кибербезопасности, с которыми сталкивается подавляющее большинство организаций. NCSC возобновило свой призыв к технологическим компаниям обеспечить минимизацию системного технического долга за счет использования технологий безопасности памяти и сдерживания, где это уместно. В организациях, использующих конечное ПО, CISO должны сосредоточиться на основах кибербезопасности для повышения общей устойчивости и снижения последствий взломов, независимо от источника их возникновения — будь то уязвимый продукт или что-то иное. Такой подход должен включать получение сертификации Cyber Essentials или запуск Cyber Assessment Framework для операторов критически важных услуг. «NCSC советует всем организациям, независимо от размера, планировать и готовиться к волне исправлений уязвимостей. Хорошим началом будет ознакомление с обновленным руководством NCSC по управлению уязвимостями», — сказал Уайтхаус. «Для более крупных организаций мы также рекомендуем работать над получением гарантий от своих цепочек поставок как коммерческих, так и с открытым исходным кодом, чтобы они были готовы к любому необходимому реагированию». Лайонел Литти, CISO в Menlo Security, отметил: «Это своевременное обновление от NCSC. Оно подчеркивает два важных момента: необходимо отдать приоритет внешней поверхности атаки, и нам нужно выйти за рамки обновлений программного обеспечения и рассмотреть технологии сдерживания для уменьшения последствий взломов». «Для большинства пользователей веб-браузер является местом, где существует большая часть внешней поверхности атаки. Чтобы сделать это более конкретным: буквально на прошлой неделе Mozilla объявила об устранении 271 уязвимости в браузере Firefox. Эти уязвимости были обнаружены с помощью Claude Mythos, новейшей модели ИИ от Anthropic. Это рост по сравнению с 22 уязвимостями, обнаруженными предыдущей версией Claude». «Это подчеркивает необходимость не только обеспечить, чтобы ваша организация могла быстро и всесторонне развертывать обновления браузера, но и фундаментально снижать риск», — сказал Литти. «Такие технологии, как удаленная изоляция браузера, могут перенести поверхность атаки с конечной точки пользователя, минимизируя ущерб, если пользователь подвергнется воздействию до того, как его браузер будет исправлен».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
