Роб Ванн, головний директор рішень Cyberfort, пояснює, як AI принципово змінює ландшафт загрози для хмарних середовищ.
Як AI принципово змінює ландшафт загрози для хмарних середовищ?
Це цікаве питання, як, звичайно, AI – це інструмент, який корисний як для добрих, так і для поганих акторів. Наразі припустимо, що ми зосереджуємось на поганому.
Цільові загрози завжди були більш успішними (і дорожчими), ніж масові атаки. AI сприяє поєднанню шкали та вартості масової атаки з успіхом, більш узгодженим до цільового підходу. Зокрема, у хмарному світі існує кілька методик, коли AI може 'додати цінність, складність і, в кінцевому рахунку, більш успішний результат нападу.
До них відносяться прості методи (наприклад, AI, що використовується для заповнення грубих силових атак, або генеративного ШІ, що використовується для підтримки цільових запитів доступу) за допомогою адаптивного зловмисного програмного забезпечення, а AI попросило переписати код для обходу будь -якого або іншого виявлення, тим більш прямим використанням AI для виявлення та використання вразливих систем або виявлення та використання рівня організації, що стосуються придатності, також застосовують придатність, а також діапазонтування, а також діапазонтування, а також діапазонна діяльність, а також діапазонна діяльність, винна зондування, зондування, зондування, видатна придатність, а також приділяючи ступінці, що діють, зондування, зондування, зондування, а також до того, що вони не мають відповідності. однакова швидкість і методи для спільного хмарного або багаторазового використання API, наприклад, компрометуючи великі масштаби для багатьох систем.
AI також може бути використаний для підтримки більш цілеспрямованих підходів, його швидкості та здатності обробляти атака стиснення даних, а також їх результати, наприклад, автоматизування бічного руху, наполегливості та методів ескалації привілеїв, що дозволяє зловмисникам швидко ідентифікувати та отримувати дані високої вартості у великих хмарних середовищах зберігання, або редагувати файли журналу/маніпулюючи з іншими даними, щоб приховати приховування та хибку.
Наскільки ви вважаєте, що традиційні підходи до безпеки хмари застаріли перед атаками, що працюють на AI?
Попередня відповідь дає певний спосіб підтримати це, кібербезпека завжди була упередженою на користь зловмисника, причому зловмиснику потрібно було досягти успіху лише один раз, і захисник потребує успіху щоразу.
Значна частина традиційних підходів до хмарної безпеки не узгоджується з масштабами, швидкістю виконання та складністю атак, керованими ШІ або підтримуваними атаками. Можливо, що важливіше значна частина вигоди, яку отримують люди з хмарних середовищ, підтримується «достатньо хорошими» заходами безпеки, з точкою безпеки часу, що надходить після розгортання – і висока залежність все ще підтримується від людських факторів.
Традиційні підходи часто сильно покладаються на статичні захисні сили, такі як захист на основі периметра, фіксовані набори правил та заздалегідь визначений контроль доступу. Ці підходи призначені для захисту від відомих векторів нападу та припущення відносно передбачуваного ландшафту загрози. У поєднанні з реактивними спеціалізованими ресурсами, які потребують часових рамків взаємодії людини, щоб реагувати на загрози, очі нашого співвітчизника починають «освітлювати» можливості спричиняти хаос.
Напади, які раніше займали дні ретельної структури та планування, зараз виконуються за лічені секунди. У той час як застаріла оборона “могла” теоретично звертатися до цього – якщо все було виправлено та налаштовано правильно весь час, і всі ресурси весь час діяли, і нічого не залежало від третьої сторони чи ланцюга поставок, то, наприклад, може бути шанс. Реальний світ безпеки сильно відрізняється від цієї нірвани.
Щоб оновити застарілу пораду: “Вам не потрібно бути найшвидшим, щоб піти від ведмедя, ви просто не повинні бути найповільнішими” у світі, що підживлював нападника, що потенційно, потенційно, є 1000 швидших, сильніших, більш агресивних ведмедів, що ганяються за кожним клієнтом одночасно. Ви, мабуть, навіть не побачите їх, перш ніж вони вас зведуть.
Які практичні стратегії потребують компанії для того, щоб залишатися перед виникаючими загрозами у хмарі?
Так само, як і погані хлопці, ви також можете збільшити захисні сили AI Power.
Але почнемо з основних основ, переміщуємо те, що можна автоматизацію (наприклад, використовуючи інфраструктуру в якості коду, та трубопроводи з автоматизованим тестуванням для видалення помилок або складності людини, автоматизації виконання, валідації та сегрегації резервних копій та постійного тестування на використання основних систем). Тоді давайте перейдемо до зосередження уваги на навколишніх факторах (таких як ідентичність), які часто потрібні для порушення ваших систем і стають більш агресивними у вмісті та ізоляції підозрюваних занять. Працюйте за принципом “припустити порушення” відокремити та агресивно стежити та реагувати на основні системи, усунувши підозрюваного доступу, щоб дати можливість розслідувати, а потім відновити його, якщо це доброякісне. Плануйте і подумайте, як ви підтримуєте критичні системи, що працюють у ці періоди, тому ваші послуги продовжуються, навіть якщо ключовий доступ до людини чи системи тимчасово відкликається.
З усією цим розмовою AI важливо тут не повністю відкинути людський фактор. Ключовим наголосом повинен бути встановлення всебічних, безперервних навчальних програм для оснащення ваших груп безпеки знаннями та досвідом, необхідними для розуміння та боротьби з загрозами, що працюють на AI. Виходячи культуру постійної освіти, організації можуть забезпечити, щоб їхні команди залишалися попереду ландшафту, що розвивається, і готові протистояти складними атаками, які експлуатують AI та технології машинного навчання.
Тоді почнемо додавати деякі з цих захисних сил AI
По -перше, використовуйте AI для побудови активних захисних сил, створення генеративного ШІ (будь ласка, не використовуйте державні системи, ви б навчали їх, як напасти на вас) або знайти доказового захищеного партнера, який може тренувати та вирівняти приватний генеративний ШІ, щоб підтримати вас і просто запитати, як це атакує вас, і планувати свої захисні сили відповідно. Не забудьте свідчити про видалення ваших даних та навчання у системі партнерів та підтвердити їх безпеку перед обміном даними. Це забезпечить цінність у вирівнюванні ваших захисних сил та перевірки контролю в цифровому середовищі -близнюках.
По -друге, впроваджуйте безперервне управління позиціями хмар, щоб позначити будь -які помилки або неправильні конфігурації на майже в режимі реального часу, скористайтеся AI для керування вашим виявленням. Машинне навчання для генерування інформації про аномалію забезпечує багате джерело «речей, які можуть бути поганими, але, безумовно, відрізняються», щоб розібратися через шум мільйонів подій, щоб знайти 10 корисних.
По -третє, використовуйте AI для боротьби з реагуваннями на реагування, це остаточний стан, і його слід запланувати та підходити до обережності, оскільки активна автоматизована відповідь може вплинути на бізнес та безперервність, проте припускаючи порушення, видалення неправильних конфігурацій, що містять (і вивільняють) активи для забезпечення часу для розслідування, перевірки та випуску доброякісної діяльності.
Як завжди безпека-це меч з двома острими, спосіб зробити найбезпечніші речі-це вимкнути їх та виводити їх з експлуатації, однак це, очевидно, означає, що ви не можете реалізувати будь-яку цінність бізнесу з активу. Ці типи атаки потребують іншого підходу до впровадження нульової довіри та безперервного CSPM з автоматизованими відповідями, якщо це зробити належним чином, це дасть вам найкращі з обох світів, реагування на атаки, керовані AI, у масштабі та швидкості AI, але якщо це буде зроблено без роздумів, планування та експертів, досвідчених підтримки та знань, це потенційно створить значні бізнес -проблеми.
Чи є якісь приклади в реальному світі, якими ви могли б поділитися тим, як організації успішно адаптуються?
Нещодавно я працював із замовником, який зазнав інциденту. Після залучення DFIR вони попросили нас подивитися на дозрівання їх оборони, ми допомогли їм безпечно вжити таких дій:
(1) Переміщення контролю ідентичності для хмарних платформ до їх корпоративної системи IAM за допомогою рішення PAM. Це означало, що політика, моніторинг та (після планування та тестування) були послідовними у всій організації) Автоматизовані відповіді були послідовними у всіх середовищах
(2) Інтегруйте тестування та відновлення у свої трубопроводи (пом'якшуючи ризик розгортання експлуатаційного коду).
(3) Інтеграція їх виробничого середовища, за винятком деяких критичних систем, які обслуговували клієнтів, у SOAR (автоматизація оркестрації безпеки) та будівництво відповідних ігрових книг, щоб містити (та випустити) підозрювані активи та ресурси.
(4) Розгортання безперервного CSPM (управління позицією хмарної безпеки), яке згодом було автоматизовано на реконструкцію> 90% питань автоматично в режимі реального часу
(5) Розширення їх інструментів EDR у виробниче середовище
(6) Подальша підготовка до своїх ресурсів, включаючи сесії, спеціально зосереджені на розробниках, архітекторах та реальному житті, глибоких підроблених відео -прикладів для всього бізнесу.
Phto від growtika на unslane
Хочете дізнатися більше про кібербезпеку та хмару від лідерів галузі? Ознайомтеся з Cyber Security & Cloud Expo, що проходить в Амстердамі, Каліфорнії та Лондоні.
Вивчіть інші майбутні події технологій підприємства та вебінари, що працюють від Techforge тут.
