Az MI felgyorsítja és átalakítja a támadásokat
Sőt, az idei évben különösen fontos, hogy a cégek számoljanak az MI gyorsaságával: már nemcsak a védelmi oldalon, hanem a támadók is kihasználják a mesterséges intelligencia adottságait a hibák gyors keresésére és kiaknázására. Ilyen eset például, amikor egy frissen nyilvánosságra került sérülékenységet öt percen belül már támadnak is – tapasztalja a Whitmore által vezetett csapat. A Google Cloud biztonságtechnikai tanácsadója, Enrique Alvarez szerint az asztali gyakorlatoknak már egy olyan szcenáriót is kell modellezniük, ahol egy, a vállalat által közvetlenül használt szoftverben megjelenő sérülékenységet a támadók azonnal ki is használnak.
A kiberbiztonsági szakértők adatai szerint egy átlagos nagyvállalat biztonsági központja naponta 90 milliárd támadási eseményt dolgoz fel, amelyből végül 26 000 lesz érdemi riasztás, de csak átlagosan napi egy olyan incidens fordul elő, amely magas szintű emberi beavatkozást igényel. Nem kizárt, hogy a 2025-ös év legnagyobb tanulsága éppen az, hogy a támadási láncolat minden lépése villámgyorsan változik, és az MI kihasználása ugrásszerűen nő mind a támadók, mind a védők oldalán.
Az MI-t támadni is, védeni is kell
A fenyegetések között újfajta, személyre szabott támadások, kifinomultabb adatgyűjtés és olyan tempó jelent meg, amely mellett már a védelmi oldalt is érdemes automatizálni. Sőt, az MI nemcsak támad, hanem célpont is: védeni kell a vállalat által használt MI-rendszereket, modelleket, nehogy jogosulatlan hozzáférés és adatvesztés legyen a vége.
Ahhoz, hogy ezekre is felkészüljön a szervezet, a szakértők szerint túl kell lépni a hagyományos szimulációkon. Tanmay Ganacharya, a Microsoft fenyegetéskutató alelnöke szerint optimális esetben a gyakorlatokban nemcsak mesterségesintelligencia-vezérelt adathalász- vagy villámgyors támadási láncokat modelleznek, hanem például promptmanipulációs, hibásan konfigurált MI-rendszereket is. A cél, hogy gyors döntéseket gyakoroljanak az adott csapatok, és megértsék, hogyan módosít az MI minden lépést a támadás során.
MI az asztalon: mesterséges támadások ellen mesterséges válaszok
Egyre több cég választja azt, hogy a gyakorlat során is MI segítségével generálnak élethű támadási szcenáriókat. Bill Reid, a Google Cloud egészségügyi tanácsadója szerint, ha valaki MI-alapú deepfake-támadástól tart, érdemes egyet létre is hozni és kipróbálni, hogyan reagál a szervezet. Sőt, Taylor Lehman (a Google Cloud egészségügyi üzletága) szerint az MI nem csupán a támadási forgatókönyvek kidolgozásában segíthet, hanem az eredmények kiértékelésében is: csak be kell táplálni a szervezeti kockázatokat, eszközöket, fenyegetéseket, így lehet igazán egyedi és releváns szimulációkat kialakítani.
Nem kizárt, hogy a pénzügyi szektorban az audio- vagy videó-deepfake-ek jelentik az új veszélyt: az erre fogékony szervezetek számára ezek élethű beépítése a gyakorlatokba mára alapkövetelmény.
David Wong, a Mandiant Consulting igazgatója hozzáteszi, hogy az MI nemcsak hamis tartalmak előállítására jó, hanem a teljes támadási láncot képes automatizálni és felgyorsítani – emiatt az asztali gyakorlatoknak ezt a léptéket is le kell követniük.
Az analóg védelem reneszánsza
Az MI elleni harcban jó stratégia lehet visszatérni a régi, analóg megoldásokhoz is. Anton Chuvakin, a Google Cloud szakértője szerint érdemes a gyakorlat során klasszikus, digitális rendszereken kívüli eljárásokat bevezetni. Ilyen például, ha egy deepfake-vezérigazgató pénzutalást követel, az ellenőrzés kizárólag hagyományos telefonos megerősítéssel történhet – nem egy újabb szoftverrel. Fontos, hogy az offline, „arany” adatmentésekhez történő visszatérés gyakorolt legyen, hiszen ha a képernyőn minden hamisnak bizonyulhat, marad a jól kialakított belső folyamat és a személyes megerősítés, amelyet nem tud manipulálni az MI.
Kik vegyenek részt és milyen gyakran?
A szakértők szerint érdemes évente legalább egyszer, de inkább kétszer megtartani az asztali gyakorlatokat, ráadásul külön-külön a vezetői (C-suite) és a technikai felhasználók számára. Sőt, a tapasztalatok szerint a legtöbb szervezet ilyen szimulációt még sosem futtatott le, pedig a második alkalomra már az első során tanultakat is be lehet építeni.
Minden forgatókönyvre külön kell optimalizálni, hogy kik vegyenek részt: a nagy horderejű esetekben – például belső információszivárgás, hírnévkárosodás – a jogi, PR, HR és felsővezetői körök is kulcsfontosságúak. A technikai, például zsarolóvírussal kapcsolatos próbáknál főleg a biztonsági központ és az incidenskezelő csapat a főszereplő.
Végül Murphy törvényére is érdemes emlékezni: mindig legyen tartalék ember a csapatban, hiszen egy valós incidens sosem akkor történik, amikor a kulcsszereplők mind elérhetők – így az alternatívák gyakorlása ugyanúgy része kell, hogy legyen az asztali teszteknek.
