כאשר המרכז הלאומי לאבטחת סייבר (NCSC) פרסם את תחזיות ראשונות סביב בינה מלאכותית בשנת 2024, זה היה רגע מפוכח עבור קהילת אבטחת הסייבר. הנה הערכה מדודה של האיום לטווח קצר משימוש זדוני בטכנולוגיה. האזהרה שלה - שבינה מלאכותית "כמעט בוודאות תגדיל את נפחן ותגביר את השפעתן של מתקפות סייבר בשנתיים הקרובות" היוותה קריאת השכמה עבור מגיני רשת רבים.
לאחר שראו רבות מתחזיות ה-NCSC מתגשמות, לקהילה אין תירוצים כעת לאחר פרסום הערכת המעקב של הסוכנות. מומחים טוענים כי ארגונים חייבים לנקוט צעדים כעת כדי להבטיח שאינם נמצאים בצד של פער דיגיטלי הולך וגדל בין אלו המסוגלים להתמודד עם האיום לבין אלו שאינם מסוגלים לכך.
מה אומר ה-NCSC
דו"ח ה-NCSC שוב, קריאה קודרת. המאמר מזהיר כי בינה מלאכותית תמשיך להפוך את חדירות הסייבר ליעילות ואפקטיביות יותר, וכי מספר גדל והולך של גורמי איום יקבלו גישה לכלים כאלה בשנתיים הקרובות. המאמר מוסיף כי השימוש הגובר בבינה מלאכותית בקרב ארגונים - ובמיוחד ספקי תשתית קריטית - ירחיב גם הוא את משטח התקיפה שלהם באופן משמעותי.
הנה הערכות אלו ביתר פירוט:
1. עלייה ב"תדירות ובעוצמה" של איומי סייבר
גורמי איום כבר משתמשים בבינה מלאכותית כדי לשפר את סיור המידע, מחקר פגיעויות ופיתוח פרצות (VRED), הנדסה חברתית, יצירת תוכנות זדוניות בסיסיות וחילוץ נתונים. זה יגדיל את "נפח והשפעה" של חדירות בשנתיים הקרובות, במקום להניע התקפות חדשות. VRED בסיוע בינה מלאכותית צפוי להיות מקרה השימוש "המשמעותי ביותר".
2. יותר גורמי איום המשתמשים בבינה מלאכותית
השימוש הפלילי בבינה מלאכותית יגדל עד 2027, ככל שהיא תשולב ביותר מוצרים. גורמי איום ישתפרו בעקיפת מעקות בטיחות המובנים במודלים לגיטימיים, וכלים לבדיקת עטים המופעלים על ידי בינה מלאכותית יוכלו להיפרס בהצעות "כשירות", ויספקו שיפור לשחקנים מתחילים.
3. אוטומציה בדרך
"מתקפת סייבר מתקדמת מקצה לקצה, אוטומטית לחלוטין", אינה סבירה לפני 2027. אך גורמי איום יתנסו באוטומציה של אלמנטים מסוימים בשרשרת ההרג. אלה כוללים זיהוי וניצול של פגיעויות ועדכון מהיר של תוכנות זדוניות/תשתיות כדי להתחמק מגילוי. זה יהפוך את הזיהוי, המעקב והפחתת האיומים למאתגרים יותר ללא בינה מלאכותית.
4. איום אפס-יום הולך וגובר מצד גורמים מתקדמים
שחקנים מיומנים המסוגלים "לכוון עדין" מודלים של בינה מלאכותית או לבנות "מערכות בינה מלאכותית ריבוניות" ישתמשו בהם כדי להנדס פרצות אפס-יום - מה שיהפוך מערכות קריטיות לפגיעות יותר עד 2027.
5. בינה מלאכותית מרחיבה את משטח התקיפה של חברות
בינה מלאכותית מחוברת יותר ויותר למערכות ארגוניות (כולל OT) ולנתונים. מצב זה מציג סיכון גובר באמצעות הזרקה ישירה של מידע (Direct Prompt Injection), פגיעויות תוכנה, הזרקה עקיפה של מידע (Equipment Injection) והתקפות בשרשרת האספקה. טכניקות אלו כבר מסוגלות לנצל בינה מלאכותית לגישה רחבה יותר למערכות.
מפתחי בינה מלאכותית עלולים להגדיל את הסיכונים הללו על ידי דחיפה מהירה של מוצרים לא מאובטחים לשוק, אשר אוספים מערכי נתונים נרחבים, ובכך להגדיל את הסיכון לחשיפת משתמשים לצורך התקפות ממוקדות. בעיות אבטחה נוספות עשויות לכלול:
- הצפנה חלשה (הופכת נתונים לפגיעים ליירוט)
- ניהול ואחסון זהויות לקויים (מגבירים את הסיכון לגניבת אישורים)
6. אבטחת סייבר בקנה מידה גדול הופכת קריטית
ככל שיותר גורמי איום משתמשים בבינה מלאכותית עבור VRED כדי לנצל מערכות בקנה מידה גדול ולקצר עוד יותר את הזמן בין הגילוי לניצול, מערכות CNI ו-OT יהיו חשופות יותר ויותר. "פער דיגיטלי" עשוי לגדול בין מערכות שיכולות לנהל את האיום המופעל על ידי בינה מלאכותית, לבין מספר גדול יותר שפגיעות יותר.
הצד הימני של הפער
"משני צידי המתרס, אוטומציה חוסכת זמן ומגבירה את הפרודוקטיביות. עם זאת, גורמים זדוניים הם לרוב המהירים ביותר לזהות את היתרונות של התקדמות הטכנולוגיה", מזהיר אנדי ג'יימס, מנכ"ל MSSP Custodian360.
"אנחנו נכנסים לעולם שבו ישנם ארגונים שחושבים שיש להם בקרות והגנות נאותות, ואלה שיודעים שאין להם, אך מוכנים לקבל את הסיכונים. במציאות, אף אחד מהם לא יודע אם יש להם בקרות נאותות, והבהלה לנצל את החולשות הללו רק תגבר."
הוא אומר ל-ISMS.online כי הכשרה טובה יותר של הצוות ומודעות טובה יותר יעזרו למשתמשים לזהות מאמצי הנדסה חברתית המבוססים על בינה מלאכותית, למרות שאלו הולכים ומתוחכמים במהירות. האיומים שתוארו על ידי NCSC צריכים גם הם להיות גורם מניע לאימוץ גובר של אפס אמון בארגונים, טוען ג'יימס.
רות וונדהופר מ- מרכז מדיניות אבטחת סייבר וחוסן עסקי (CSBR)) מוסיף כי ארגונים צריכים לזנוח כלים מיושנים כמו SIEM וכלים לא יעילים כמו חומות אש, ולאמץ באופן יזום "מודיעין איומים ישיר" (DTI) המונע על ידי בינה מלאכותית.
"בניגוד למודיעין כללי על איומי סייבר (CTI), שנותן לך אוסף נתונים הכולל בהכרח כמויות של תוצאות חיוביות שגויות ונקודות נתונים לא רלוונטיות, DTI מספק לארגונים מודיעין איומים מבוסס ראיות שתוכנן במיוחד עבור הארגון הספציפי שלך", היא אומרת ל-ISMS.online.
"במיטבה, טכנולוגיה זו מספקת מערכת מתוחכמת שבה בינה מלאכותית ולמידת מכונה מנתחות דפוסי תקיפה ומספקות ניטור איומים בזמן אמת. DTI ספציפי לארגון זה נערך ומשולב אוטומטית במחסנית האבטחה הארגונית שלו, ופועל כשכבת הגנה אוטומטית מפני איומים נכנסים."
הכל עניין של מניעת התקפות לפני שהן יכולות להשפיע על ארגון, על ידי יצירת פרופילים של יריבים, התשתית שלהם ו-TTPs.
"זה קריטי אף יותר בהקשר של דרישות רגולטוריות גוברות לגבי מדיניות אבטחת הסייבר של ארגונים ושל צדדים שלישיים, כמו ב-DORA וב-NIS 2", מוסיף וונדהופר.
באשר לבינה מלאכותית כמטרה: היא מייעצת לארגונים לפתח פתרונות כמו מודלים של שפה גדולה (LLMs) באופן פנימי במקום לחבר מערכות פנימיות רגישות לפתרונות בינה מלאכותית חיצוניים בקוד פתוח.
"במונחים של בינה מלאכותית המרחיבה את משטחי ההתקפה, עלייתה של בינה מלאכותית סוכנתית היא מציאות סיכון נוספת שמתקרבת במהירות", מזהיר וונדהופר. "בינה מלאכותית סוכנתית ניתנת לפרוץ, להרעלה בתוכנות זדוניות כדי לחלץ נתונים או לבצע פעילויות הונאה, ועוד הרבה יותר."
פתרון אחד לצוותי IT הסובלים ממחסור במשאבים יכול להיות שיתוף פעולה משופר בקרב קהילת האבטחה.
"עם האישור הסופי של חוק (שימוש וגישה לנתונים), יש לקוות ששיתוף מודיעין רב יותר בין התעשייה למגזר הציבורי, ובין תחומי התעשייה השונים, ימתן את השפעת הבינה המלאכותית הזדונית", היא מסכמת.
בינתיים, מומלץ למנהלי IT ותאימות לעקוב אחר ההתפתחויות האחרונות ולהתחיל לשלב איומי בינה מלאכותית בתכנון הסיכונים שלהם ברצינות.
