Профиль топ-менеджера, который ваша служба безопасности не защищает

Ai-риски кибербезопасность защита руководителей Osint социальная инженерия разведка csoonline.com

AI-инструменты за минуты собирают профили руководителей из открытых данных, создавая новую поверхность атаки. Узнайте, как CIO и CISO могут выявлять эти угрозы, сокращать цифровой след и обучать топ-менеджеров. Не дайте социальным инженерам использовать вашу публичную информацию против вас.

Несколько лет назад меня привлекли для проведения обзора цифровых рисков для генерального директора финансовой компании среднего размера. Задача была стандартной: оценить, что публично доступно о руководителе, выявить угрозы и дать рекомендации по их устранению. Использованные мной AI-инструменты завершили содержательную разведку менее чем за десять минут.

На выходе я получил синтезированный профиль. Членство в советах директоров и даты вступления в должность. Паттерн публичных высказываний, который показывал, какие политические позиции руководитель отстаивает твердо, а по каким, скорее всего, уступит под давлением. Благотворительные интересы, объясняющие, на какие инициативы он откликнется, если кто-то сформулирует запрос вокруг них. Ни одна из этих сведений по отдельности не была чувствительной. Но собранные в единую, доступную для запросов нарративную картину, они становились тем, что атакующий мог использовать немедленно.

То, что я видел, было публично доступным запросом к AI-инструменту общего назначения. И это та проблема, с которой большинство программ защиты руководителей еще не столкнулись. Фаза разведки для целевой атаки методом социальной инженерии теперь занимает минуты, а не дни, а необходимые входные данные тривиальны.

Собранные AI данные о руководителях стали поверхностью атаки. Большинство систем безопасности еще не адаптировались к этому.

Фаза разведки фактически схлопнулась

Традиционная работа с OSINT против целевого руководителя требовала навыков и терпения. Компетентный аналитик мог составить полезный профиль за несколько дней, работая с поисковыми системами, корпоративными документами, социальными платформами и архивными медиа. Эта работа была серьезным барьером. Она требовала времени, а также умения оценивать, каким источникам можно доверять. Кроме того, она оставляла следы, если атакующий был неосторожен.

AI-агрегация устраняет все три ограничения.

Преимущество в скорости очевидно, но это не самое важное изменение. Более значительный сдвиг — синтез. Поисковая система возвращает документы. AI-инструмент возвращает связное повествование с выведенными взаимосвязями и интерпретированной значимостью. Когда я запрашиваю в крупной AI-платформе данные о старшем руководителе по имени, я получаю структурированный отчет о его карьерном пути, профессиональных связях, сферах видимого влияния, а часто — и о личных интересах, отношениях и публичных аффилиациях.

Инцидент с MGM Resorts, о котором сообщалось в 2023 году, проиллюстрировал принцип в масштабе. По сообщениям, атакующие нашли в LinkedIn сотрудника MGM, использовали информацию из его публичного профиля, чтобы выдать себя за него при звонке в IT-службу поддержки, и получили доступ к учетным данным в течение нескольких минут. Для OSINT потребовался минимум усилий, а манипуляция была простой. С тех пор AI-инструменты сделали такую разведку более быстрой, полной и доступной для тех, у кого нет навыков ручной работы.

Как последовательно отмечается в Отчете Verizon об исследованиях утечек данных, человеческий фактор присутствует в большинстве подтвержденных инцидентов, а социальная инженерия остается одним из самых надежных векторов начального доступа.

Доступность AI-инструментов также расширяет круг угроз. Атаки, которые раньше требовали квалифицированного аналитика для разработки, теперь требуют только мотивированного злоумышленника с доступом в интернет. Это меняет расчет объема и целей. Руководители, которые ранее были слишком незаметны, чтобы оправдать сложную ручную атаку, теперь становятся жизнеспособными целями для любого, у кого есть обида и поле запроса.

Что делать CIO и CISO?

Инстинкт многих организаций — направлять все, что касается публичного профиля руководителя, в отдел коммуникаций или PR. Этот инстинкт имел смысл, когда риск был репутационным. Теперь он не покрывает угрозу.

Далее — то, как я рекомендую клиентам структурировать эту работу.

Регулярный мониторинг

Отправная точка — обеспечить видимость того, что AI-инструменты на самом деле выдают о ваших руководителях. Не разовая проверка, проведенная во время заседания совета директоров и забытая. Профили постоянно меняются по мере индексирования нового контента, переоценки старого и обновления моделей.

Назначьте ответственного, который будет на регулярной основе выполнять структурированные запросы к основным платформам, включая ChatGPT, Gemini, Perplexity и стек Microsoft Copilot. Документируйте находки и отслеживайте изменения. Относитесь к результатам так же, как к результатам сканирования уязвимостей — как к чему-то, что нужно приоритезировать и по поводу чего нужно действовать.

Сокращение доступной поверхности атаки

Работайте с каждым руководителем, чтобы выявить контент, который расширяет их профиль, индексируемый AI, но не служит законным бизнес-целям. Сюда относятся устаревшие биографии с конференций, содержащие личные данные, посты в соцсетях, раскрывающие расписание или семейный контекст, и объявления о назначениях в советы, которые в совокупности отображают полную профессиональную сеть руководителя. Некоторый такой контент можно удалить, и это стоит целенаправленных усилий.

Более важный разговор касается будущего поведения. Руководители, которые привыкли чрезмерно делиться информацией в LinkedIn или на панельных дискуссиях, должны конкретно понять, что это дает атакующим.

Информация о членах семьи — постоянное слепое пятно. Злоумышленник, который не может напрямую воздействовать на руководителя, может искать рычаги давления через супругу, брата или ребенка. Руководители редко рассматривают публичный цифровой след своих родственников как часть собственной безопасности. А это так.

Формирование нарратива там, где сокращение невозможно

Руководители публичных компаний, члены советов директоров с обязательствами по обязательному раскрытию информации и люди, чей публичный профиль является ключевым для доверия к их организациям, не могут просто «уйти в тень».

В таких случаях цель смещается с сокращения на формирование. Задача — гарантировать, что синтезируемый AI из индексированного контента будет профессионально ограниченным и не раскроет случайно ценный материал для предлога (pretext). Это совместное упражнение служб безопасности и коммуникаций: безопасность определяет границы риска, а коммуникации реализуют стратегию.

Обучение руководителей тому, как выглядит их собственный профиль

Самое эффективное единичное вмешательство, которое я видел на брифингах для руководителей, — одновременно и самое простое. Откройте браузер и выполните запрос к AI-платформе о руководителе, находящемся в комнате. Дайте им увидеть результат. Реакция неизменна: они удивлены синтезом, им некомфортно от конкретных деталей, которые всплывают, и они сразу становятся более вовлеченными в дальнейший разговор, чем раньше.

Абстрактные брифинги об угрозах социальной инженерии редко находят отклик у старших руководителей, которые считают, что понимают свою собственную безопасность. Демонстрация их AI-опосредованного профиля срабатывает каждый раз. Как отмечалось в контексте атак на руководителей, осведомленность — предпосылка для изменения поведения, делающего программы защиты эффективными.

Интеграция в программу защиты руководителей

Эта работа должна быть частью единой программы защиты руководителей наравне с безопасностью конечных точек, управлением учетными данными и физической защитой. Если она остается функцией коммуникаций, ей не хватает отчетной структуры, бюджетных полномочий и операционной дисциплины, необходимых для задач безопасности.

Назначьте ответственного с полномочиями в области безопасности. Включите AI-угрозы в реестр рисков. Отчитывайтесь о них с той же периодичностью, что и о других метриках защиты руководителей. Организации, которые сделали это хорошо, не создавали для этого отдельную программу — они расширили существующую.

Что теперь включают эффективные программы защиты руководителей

Организации, которые интегрировали AI-угрозы в свою работу по защите руководителей, имеют несколько общих черт, отличающих их от тех, кто все еще считает это пограничным случаем для коммуникаций.

  • Они рассматривают публичный информационный след руководителя как управляемую поверхность атаки с назначенным ответственным лицом. Кто-то отвечает за нее, так же как кто-то отвечает за установку патчей на конечных точках или управление идентификацией.
  • Они включают AI-ассистированную разведку как исходное условие в учениях red team. Перед началом любой симуляции социальной инженерии red team выполняет те же запросы, которые выполнил бы атакующий. Разрабатываемый предлог (pretext) основан на том, что возвращают эти запросы.
  • Их брифинги по защите руководителей включают анализ AI-профиля как постоянный пункт повестки. Вопросы физической безопасности, угрозы учетным данным и риск публичной информации рассматриваются вместе, потому что они связаны. Злоумышленник, который знает расписание руководителя из его публичного контента, может с равной точностью рассчитать время попытки сброса учетных данных или звонка с вишингом.

Тот руководитель, которого я проверял несколько лет назад, понятия не имел, что содержит его AI-индексированный профиль и на что он способен. Большинство руководителей, с которыми я работаю сегодня, находятся в том же положении. К тому времени, как вы дочитаете это до конца, весьма вероятно, что такие запросы уже были выполнены в отношении кого-то в вашей организации. Вопрос в том, готова ли ваша программа обнаружить это и отреагировать вовремя.

Эта статья опубликована в рамках сети экспертных участников Foundry.
Хотите присоединиться?

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: