Это самое чудесное время в году… для руководителей корпоративной безопасности, чтобы проводить настольные учения, имитируя гипотетическую кибератаку или другую чрезвычайную ситуацию, отрабатывая процессы реагирования на инциденты и практикуя ответы для обеспечения готовности если когда произойдет цифровая катастрофа.
“В конечном счете, мы проверяем, насколько устойчива организация”, – заявила Венди Уитмор, директор по информационной безопасности Palo Alto Networks, в интервью The Register. “Вопрос не в том, подвергнемся ли мы нападению, а в том, как быстро мы реагируем и сдерживаем эти атаки”.
И в этом году организациям необходимо учитывать скорость ИИ, как с точки зрения того, как злоумышленники используют эти инструменты для поиска и эксплуатации ошибок, так и с точки зрения того, как защитники могут использовать ИИ в своем ответе.
“Злоумышленники используют CVE с возрастающей скоростью с помощью ИИ“, – заявил Энрике Альварес, советник офиса CISO Google Cloud по вопросам государственного сектора, в интервью The Register. “Настольные учения должны учитывать сценарий, в котором публикуется CVE, затрагивающий программную систему, используемую компанией, с немедленным использованием через киберпротивника”.
Уитмор сказала, что ее аналитики угроз видят уязвимость, выпущенную с попытками эксплуатации в течение пяти минут.
“Со стороны защиты, как и наш собственный SOC: Мы рассматриваем 90 миллиардов событий атак, поступающих в день, которые мы можем синтезировать до 26 000, которые коррелируют, а затем один в день, который требует ручного вмешательства аналитиков третьего уровня, чтобы углубиться и выполнить дополнительные запросы и анализ”, – добавила она.
Действительно, если 2025 год чему-то нас и научил, так это тому, что преступники и поддерживаемые государством злоумышленники все чаще добавляют ИИ в свои арсеналы, в то время как использование ИИ предприятиями значительно расширяет их поверхность атаки.
Со стороны злоумышленников это означает более целенаправленные, убедительные фишинговые электронные письма, более быструю разведку и сканирование на предмет уязвимостей и огромные объемы конфиденциальных данных, которые можно быстро сканировать и украсть. Между тем, защитникам необходимо убедиться, что их LLM не протекают, а агенты ИИ не получают доступ к данным, к которым у них не должно быть доступа.
The Reg попросил нескольких специалистов по реагированию на инциденты высказать свое мнение о лучших практиках для этих настольных учений в конце года, поскольку они сталкиваются с большим количеством атак, сгенерированных или поддерживаемых ИИ, и принимают меры для защиты своих внутренних систем и моделей ИИ.
Настольные учения теперь должны отражать две реальности: злоумышленники используют ИИ для более быстрого, тихого и масштабного перемещения, а также злоумышленники, нацеленные на развернутые нами системы ИИ.
“Настольные учения теперь должны отражать две реальности: злоумышленники используют ИИ для более быстрого, тихого и масштабного перемещения, а также злоумышленники, нацеленные на развернутые нами системы ИИ”, – заявил The Register Танмай Ганачарья, вице-президент Microsoft по исследованиям в области защиты от угроз.
“Лучшие учения имитируют адаптивный фишинг на основе ИИ и быстро движущиеся цепочки атак, а также готовят команды к сценариям, нацеленным на системы ИИ, такие как инъекция подсказок, неправильная конфигурация и утечка данных на основе ИИ”, – сказал Ганачарья. “Цель состоит в том, чтобы репетировать более быстрые решения, проверять информацию в средах с низким уровнем доверия и убедиться, что команды понимают, как ИИ меняет каждый этап цепочки уничтожения”.
В конечном счете, цель этих учений – проинформировать как руководителей высшего звена, так и технических специалистов о том, что может произойти, и дать им возможность попрактиковаться в своих ответах на различные сценарии безопасности, одновременно выявляя области для улучшения.
“В той же степени, в какой речь идет о создании мышечной памяти и обеспечении наличия хорошего процесса и возможности его выполнения, речь также идет об образовании”, – заявил The Register Марк Лэнс, вице-президент GuidePoint Security по цифровой криминалистике и реагированию на инциденты, а также по анализу угроз. “Например, команда высшего руководства, узнав о программах-вымогателях, обычно уходит с мыслью: “Я знаю больше об этом, а также о потенциальных рисках и угрозах, связанных с этим””.
Использование ИИ для борьбы с ИИ
Один из способов, которым организации могут учитывать приток угроз, связанных с ИИ, – это использовать ИИ для разработки сценариев, сказал Билл Рейд, советник по безопасности организаций здравоохранения и медико-биологических наук в офисе CISO Google Cloud. “Хотите протестировать подделки ИИ? Сделайте одну и используйте ее в настольных учениях”, – сказал он The Register.
В дополнение к использованию ИИ для разработки учений, компании также должны использовать его для “измерения и облегчения учений и результатов”, – сказала Тейлор Леман, директор подразделения здравоохранения и медико-биологических наук офиса CISO Google Cloud.
“Предоставьте информацию о своей среде – такую как угрозы, средства контроля, уязвимости, активы всех типов, ключевые риски, заинтересованные стороны, личности клиентов и т. д. – системам ИИ, которые затем могут помочь создать очень значимые и очень конкретные, реалистичные сценарии, которые помогут вам отточить сценарий и получить конкретные типы результатов, которые вы хотите получить в рамках упражнения”, – сказала Леман The Register.
Другие новые угрозы ИИ включают дипфейки, и это особенно затрагивает клиентов Google Cloud, предоставляющих финансовые услуги, сказал Альварес. Из-за этого многие организации в финансовом секторе добавили – или должны добавить – дипфейки, как аудио, так и видео, в свои сценарии.
“Однако использование атак, сгенерированных ИИ, – это не только дипфейки”, – сказал Дэвид Вонг, директор Mandiant Consulting. “ИИ также используется на каждом этапе жизненного цикла атаки и увеличивает объем и скорость атак. Разработчики настольных учений должны адаптироваться к скорости и объему в своих сценариях”.
Когда дипфейк генерального директора требует денежного перевода, тренировка должна быть не о программном обеспечении обнаружения, а о строгом тестировании обязательной внеполосной проверки посредством стандартного телефонного звонка.
Альварес также предлагает обратиться в местное отделение ФБР и спросить кибер-помощника специального агента, отвечающего за это (ASAC), может ли он предоставить агента для участия. “Это хороший способ установить контакт в полевом офисе для дальнейшего использования и общения”, – сказал он, добавив, что для полномасштабных учений, включая руководителей высшего звена, членов совета директоров и других внутренних заинтересованных сторон, следует обратиться в CISA для участия.
CISA, Агентство кибербезопасности и безопасности инфраструктуры США, также предоставляет несколько бесплатных ресурсов, предназначенных для помощи компаниям в проведении собственных учений, охватывающих ряд сценариев угроз.
Один из старших консультантов офиса CISO Google Cloud, Антон Чувакин, выступает за аналоговый подход – и осторожность – когда дело доходит до “борьбы с ИИ с помощью большего количества ИИ. Вместо этого сосредоточьте свои настольные учения на внедрении аналогового трения, чтобы сломать скорость противника”, – сказал он The Register. “Когда дипфейк генерального директора требует денежного перевода, тренировка должна быть не о программном обеспечении обнаружения, а о строгом тестировании обязательной внеполосной проверки посредством стандартного телефонного звонка”.
Кроме того, не полагайтесь только на онлайн-файлы, добавил он. “Учения должны практиковать возврат к минимально жизнеспособным бизнес-операциям, используя автономные золотые копии данных и надежные процессы утверждения, которые алгоритм не может подделать”, – сказал Чувакин. “Если вы не можете доверять тому, что видите на экране, ваша самая сильная защита – это на самом деле процесс, а не технология”.
Кто должен участвовать?
Все эксперты, с которыми разговаривал The Reg, рекомендовали проводить как минимум одни или двое настольных учений в год и адаптировать эти учения к конкретной аудитории, разделяя, например, руководителей высшего звена и технических специалистов.
“Исходя из моего предыдущего опыта работы в ФБР, подавляющее большинство компаний никогда не проводили настольные учения”, – сказал Альварес. “Хорошей отправной точкой или целью должно быть как минимум два раза в год, причем во вторые настольные учения должны быть включены уроки, извлеченные из первых”.
По словам Ганачарьи, участие должно варьироваться в зависимости от сценария, при этом руководители высшего звена участвуют “как минимум два раза в год, потому что атаки на основе ИИ требуют принятия решений на уровне руководства”.
Технические учения, такие как испытание новых процедур защиты от программ-вымогателей, могут потребовать только Центр управления безопасностью (SOC) и группы реагирования на инциденты, в то время как сценарии с высоким уровнем воздействия, такие как внутренние утечки и репутационные риски, также должны включать юридические, PR, HR и высшее руководство.
По словам Ганачарьи, другим операционным руководителям могут потребоваться более частые учения с целевыми сценариями. Сюда входят заместители, директора и руководители SOC – люди, на которых руководители полагаются в выполнении повседневных операций.
И, как всегда, помните закон Мерфи. Как выразился Ганачарья: “Каждое упражнение должно включать альтернативы, потому что реальные инциденты редко происходят, когда ваш первый выбор ответчика доступен”. ®
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
8/9
Автор – Jessica Lyons
