Интервью «В прошлой жизни нам требовалось 360 дней, чтобы разработать впечатляющий уязвимость нулевого дня», — заявила генеральный директор Zafran Security Саназ Яшар.
Она говорит о 15 годах, проведенных в качестве шпиона — или, как она предпочитает, «архитектора взлома» — в элитной кибергруппе израильских сил обороны, подразделении 8200.
«Сейчас объемы и скорость меняются настолько, что впервые в истории мы имеем отрицательное время до эксплуатации, то есть менее суток требуется для того, чтобы уязвимости были использованы и превращены в оружие еще до того, как их исправили», — рассказала Яшар изданию *The Register*. «Такого раньше не случалось».
Причина — искусственный интеллект. Эта технология не помогает преступникам разрабатывать новые или более изощренные цепочки атак полностью без участия человека, сказала она. «Но ИИ помогает злоумышленникам делать больше и быстрее», — утверждает Яшар, и именно «больше и быстрее» ее беспокоит.
Будучи подростком, Яшар с семьей переехала из Тегерана в Израиль, и израильская военная разведка завербовала ее, когда она работала научным сотрудником в Тель-Авивском университете.
В 2022 году Яшар стала соучредителем Zafran, компании, использующей ИИ для помощи организациям в оценке и управлении их киберугрозами. Но прежде чем возглавить собственный стартап в области безопасности, она руководила отделом анализа угроз в Cybereason и работала менеджером в подразделении Google по реагированию на инциденты и анализу угроз, Mandiant.
ИИ помогает злоумышленникам делать больше и быстрее
Она ссылается на недавний анализ Mandiant, согласно которому среднее время до эксплуатации (TTE) в 2024 году составило -1. Так Google и Mandiant определяют среднее количество дней, которое требуется злоумышленникам для эксплуатации уязвимости до или после выпуска патча поставщиком. И впервые аналитики безопасности зафиксировали отрицательный TTE. Преступники теперь эксплуатируют уязвимости за день до их исправления.
«И мы увидели, что 78 процентов уязвимостей были превращены в оружие с помощью больших языковых моделей и ИИ», — сказала Яшар.
Помимо того, что злоумышленники используют ИИ для повышения скорости и эффективности взломов, растущее использование этой же технологии организациями — в некоторых случаях простое внедрение ИИ во все продукты и процессы — расширяет поверхность атаки.
Это включает в себя злоупотребление корпоративными системами ИИ с помощью таких методов, как инъекция подсказок (prompt injection), и обман ИИ-агентов с целью обхода защитных механизмов для разработки цепочек эксплуатации или доступа к данным, к которым им не полагается доступ.
Кроме того, существуют уязвимости программного обеспечения в самих системах и фреймворках ИИ, и Яшар обеспокоена «побочным ущербом», вызванным эксплуатацией этих ошибок, особенно если они попадут в руки «младших» хакеров: Scattered Spider, ShinyHunters-типа киберпреступные коллективы или правительства, только начинающие разрабатывать или покупать арсенал кибероружия или экспериментирующие с агентным ИИ.
«Иногда те, кто не понимает, что они делают, опаснее, чем Россия, Иран, Израиль, США, Китай — они понимают, что может произойти, если что-то пойдет не так», — пояснила она. «Даже если они делают плохие вещи, есть решение, которое они понимают».
«Новые злоумышленники будут использовать эти уязвимости, не понимая, что они могут отключить половину мира», — сказала Яшар. «И побочный ущерб будет таким, который мы не можем предвидеть и с которым не можем справиться. Я думаю, что WannaCry для ИИ еще не произошло. Это случится. Я не знаю, откуда это возьмется, но это произойдет. Вопрос в том, как вы будете смягчать последствия — потому что вы не можете их устранить — так как вы будете смягчать собственные риски?»
WannaCry, произошедший в мае 2017 года, был одной из крупнейших мировых атак программ-вымогателей, затронувшей сотни тысяч компьютеров и нанесшей неисчислимый ущерб, оцениваемый в сотни миллионов или миллиарды долларов.
Ответ, по словам Яшар, также кроется в ИИ. Неслучайно Zafran разработала платформу управления киберугрозами, которая использует ИИ для поиска и устранения эксплуатируемых уязвимостей, а также для проактивного поиска угроз.
«Способ, которым мы занимаемся безопасностью, полностью изменится», — сказала она. «Компаний, которые просто предоставляют вам информацию, будет недостаточно. Им нужно будет выполнять работу. А для выполнения работы необходимо использовать агентов, даже с человеческой разведкой».
ИИ-агенты будут расследовать угрозы, классифицировать их и разрабатывать план действий для организации по их смягчению. «ИИ будет создавать эти пакеты в соответствии с вашим аппетитом к риску, и будет человек, который убедится, что вы хотите предпринять это действие в соответствии с вашим аппетитом к риску», — сказала Яшар.
Люди, добавляет она, останутся в игре в обозримом будущем, потому что «человеческое поведение меняется медленнее, чем технологии», и когда дело доходит до полной передачи управления ИИ-агентам, мы еще не достигли этого.
* Имейте ввиду, редакции некоторых западных изданий приедерживается предвзятых взглядов в освящении некоторых новостей, связанных с Россией. Кроме того, IT издания часто пропагандирует крайне либеральные, антриреспубликанские взгляды в освящении некоторых новостей.
Автор – Jessica Lyons
