ייתכן שתעשיית אבטחת הסייבר חוותה את "רגע ה-ChatGPT" שלה. הגרסה החדשה של Anthropic, שנחשפה בתחילת אפריל, מודל תצוגה מקדימה של קלוד מיתוס ככל הנראה מצאה אלפי פגמי אפס-יום בדרגת חומרה גבוהה וקריטית בתוכנות קוד פתוח ותוכנות קנייניות - חלקם מלפני למעלה מ-20 שנה. בכך, היא מבטיחה לצמצם את חלון הניצול שבמהלכו מגיני הרשת ממהרים לתקן את התקנות לפני יריביהם. החלטתה של אנתרופיק להשתמש במודל ב פרויקט גלאסווינג – שבהם ספקים ישתמשו בטכנולוגיה כדי למצוא ולתקן פגיעויות חדשות – יגרום לשיבושים נוספים.
קשה להפריז בהשפעה שתהיה לכך על צוותי אבטחה. אבל דבר אחד לטובתם. הסיפור פרץ לחדר הישיבות. זו יכולה להיות הזדמנות פז להבטיח מימון ומשאבים לעידן חדש של ניהול פגיעויות המונע על ידי בינה מלאכותית.
מה המשמעות של זה עבור מנהלי מערכות מידע (CISO)?
אפילו אם Mythos יצליח להישמר מחוץ לידי האקרים, מודלים אחרים של ספקים אחרים לא יישמרו. ישנן השלכות משמעותיות עבור מנהלי מערכות מידע (CISOs):
- בטווח הקצר, סביר להניח שצוותים יוצפו בתיקוני חירום מספקים שנרשמו לפרויקט Glasswing.
- גורמים מדינתיים עשויים לבקש להשתמש בכל ניצול יום אפס שנצבר בקרוב יחסית, לפני שגילוי המונע על ידי בינה מלאכותית יהפוך אותם לחסרי ערך.
- בטווח הארוך יותר, מנהלי מערכות מידע יכולים לצפות שיכולות דמויות מיתוס יגיעו לידי פושעי סייבר וגורמים מדינתיים. הדבר "יגדיל באופן דרמטי" את מספרן ותדירותן של התקפות מורכבות וחדשניות, על פי מחקר חדש. דו"ח בתעשייה.
כמה טוב מיתוס?
על פי הדו"ח – שהופק על ידי ברית אבטחת הענן (CSA), OWASP, SANS ואחרים – Mythos מייצג "שינוי מדרגה" בגילוי וניצול פגיעויות המונעות על ידי בינה מלאכותית. הדו"ח טוען כי מודלים מסוג זה שונים משום שהם:
- אוטונומי ואמין יותר, פיתוח פרצות באופן אוטונומי ללא צורך ב"פיגומים" - הקוד החיצוני ומעקות הבטיחות שמנהלי תואר ראשון (LLM) זקוקים להם לעתים קרובות כדי לתפקד.
- מסוגל לזהות פגיעויות מורכבות ומשולבות
- מסוגל לעשות הכל עם הנחיה אחת
עם זאת, לאחר בדיקת מיתוס, ה- מכון אבטחת הבינה המלאכותית של בריטניה (AISI) יש כמה אזהרות חשובות. דו"ח חדש גילה כי במשימות לכידת הדגל "ברמת מומחה", Mythos Preview מצליח ב-73% מהמקרים. עם זאת, מתקפות סייבר בעולם האמיתי מורכבות הרבה יותר. זו הסיבה ש-AISI בנה את "The Last Ones" (TLO): סימולציית מתקפת רשת ארגונית בת 32 שלבים, החל מסיור ראשוני ועד להשתלטות מלאה על הרשת. לאדם ייקח כ-20 שעות להשלים זאת. בעוד Mythos היה המודל הראשון שפתר TLO מתחילתו ועד סופו, שלוש פעמים מתוך 10. חישובי הסקה נוספים עשויים להשיג ביצועים טובים אף יותר, אמר ה-AISI.
חשוב מכך, המכון אמר שזה רק מוכיח ש-Mythos מסוגל "לתקוף באופן אוטונומי מערכות ארגוניות קטנות, חלשות ופגיעות, בהן הושגה גישה לרשת". בעולם האמיתי, הדברים אמורים להיות קשים הרבה יותר הודות לנוכחותם של "מגנים פעילים וכלי הגנה".
הכנה לעידן פוסט-מיתוסי
בינתיים, AISI המליץ לצוותי אבטחה להתמקד ביסודות: "יישום קבוע של עדכוני אבטחה, בקרות גישה חזקות, תצורת אבטחה ורישום מקיף". כמו כן, הצביע על שימוש הגנתי בגבול בינה מלאכותית לדברים כמו:
- הקשחת מערכת, באמצעות סריקה רציפה, גילוי פגמים ותצורות שגויות, מיפוי נתיבי תקיפה ובדיקת יכולת ניצול
- שיפור זיהוי וחקירת איומים על ידי מיון, זיהוי דפוסים ביומני רישום וכתיבת סיכומי דוחות
- אוטומציה של פעולות תגובה כמו חסימת תנועה, תהליכי הסגר וביטול גישת משתמשים
מרטין ריילי, מנהל טכנולוגיות ראשי (CTO) בברידוול, מוסיף כי מנהלי מערכות מידע (CISOs) צריכים להתחיל בניהול חשיפה מתמשך לאיומים (CTEM) בדחיפות.
"מלאי נכסים, תעדוף משטחי התקפה, אימות בקרה וגיוס לתיקון. אם אין לכם נראות רציפה של החשיפה שלכם, אתם טסים בעיוורון", הוא אומר ל-IO (לשעבר ISMS.online). "שנית, בצעו מבחן מאמץ לגילוי שלכם כנגד איומים שמעולם לא ראיתם. השקיעו בגילוי מבוסס אנומליות ובטלמטריה עמוקה של הרשת. גישות מבוססות חתימות לא יתפסו שרשראות פרצות שנוצרו על ידי בינה מלאכותית."
ריילי מזהיר, מנהלי מערכות מידע חייבים גם להכין את הצוותים שלהם לתקופה של "אינטנסיביות מבצעית מתמשכת".
"מסמך ה-CSA הדגיש בצדק שחיקה כסיכון תפעולי. מנהלי מערכות מידע (CISO) צריכים לתכנן קיבולת, לבקש ספירת כוח אדם ולהאיץ את השימוש בסוכני בינה מלאכותית בתוך הצוותים שלהם כדי לעמוד בקצב", הוא טוען. "לבסוף, יש לחזק את היסודות. פילוח, סינון יציאה, אמצעי הגנה עמידים בפני פישינג והגנה מעמיקה. בקרות אלו מגדילות את עלות הניצול ללא קשר לאופן שבו התגלתה הפגיעות. בגרות היא לא משהו שבונים בן לילה. הזמן להשקיע הוא עכשיו."
מסגרות קיימות כבסיס
ג'ף וויליאמס, מייסד OWASP ומנהל הטכנולוגיה הראשי של Contrast Security, טוען כי סטנדרטים ומסגרות קיימים של שיטות עבודה מומלצות כמו ISO 27001 ו-NIST CSF יכולים למלא תפקיד במעבר לעולם פוסט-מיתוס.
"מסגרות קיימות יכולות לעזור כאן, אבל בעיקר כרשימה של תוצאות רצויות קונספטואליות. הן דורשות ממשל, נראות, בקרה, זיהוי, תגובה ושיפור מתמיד", הוא אומר ל-IO. "אבל בעולם פוסט-מיתוס שבו גם מפתחים וגם תוקפים מואצים יתר על המידה עם בינה מלאכותית, כמעט כל פעילות שמשגרות אלו מרמזות עליהן צריכה לעבור דמיון מחדש כדי להניע את התוצאות הללו עם זרימות עבודה משופרות של בינה מלאכותית."
לא מדובר בביצוע אותה עבודה מהר יותר, אלא בהפיכת "אבטחה תקופתית, ידנית, מסודרת" למשהו "רציף יותר, קריא יותר על ידי מכונה ויותר ניתן להגנה", הוא ממשיך.
"CTEM, זיהוי בסיוע בינה מלאכותית, אבטחת זמן ריצה ותצפית רציפה הן האופן שבו הופכים את רעיונות המסגרת הללו לדיווח אמיתי שהאבטחה נכונה ויעילה הן בפיתוח והן בתפעול", טוען וויליאמס.
פוקר חמאל, מייסד ומנכ"ל SecurityPal AI, רואה גם תפקיד לתקני ISO 27001, NIST CSF, SOC 2 ואפילו Cyber Essentials. "הן עדיין נקודות התחלה טובות משום שהן כופות על רוב הארגונים את המשמעת הבסיסית שאין להם: רשימת מלאי של מה שבבעלותך, תחושה של מי יכול לגעת בו, ודרך מתועדת להגיב כשמשהו נשבר", הוא אומר ל-IO. "שום דבר מזה לא נעלם בעולם שלאחר מיתוס".
עם זאת, מנהלי מערכות מידע (CISO) יצטרכו לבנות את אסטרטגיית האבטחה שלהם לאחר מיתוס סביב אבטחה מתמשכת ולא אימות תקופתי.
"מנהיגי האבטחה החכמים ביותר שאני מדבר איתם כבר מתייחסים לתקן ISO 27001 כבסיס ובונים בשקט את השכבה השנייה בעצמם", הוא מסכם.
הרחב את הידע שלך
פודקאסט: פישינג לצרות פרק #08: תוכנה בטוחה, עסקים בטוחים יותר
מדריך: אבטחת משטח התקיפה של בינה מלאכותית
בלוג: מדוע רגולטורים ומשקיעים מצפים מחברות להתמודד עם סיכון משולש
