Cybersikkerhedsbranchen har måske lige haft sit "ChatGPT-øjeblik". Anthropics nye, der blev afsløret i starten af ​​april Claude Mythos Forhåndsvisningsmodel har tilsyneladende fundet tusindvis af zero-day-fejl med høj og kritisk alvorlighed i open source og proprietær software – nogle går over 20 år tilbage. Dermed lover det at lukke det udnyttelsesvindue, hvor netværksforsvarere kæmper for at få patches før deres modstandere. Anthropics beslutning om at bruge modellen i Projekt Glasvinge – hvor leverandører vil bruge teknologien til at finde og rette nye sårbarheder – vil forårsage endnu mere forstyrrelse.

Det er svært at overvurdere den indvirkning, dette vil have på sikkerhedsteams. Men én ting har de på deres side. Historien er brudt igennem til bestyrelseslokalet. Dette kunne være en gylden mulighed for at sikre finansiering og ressourcer til en ny æra af AI-drevet sårbarhedsstyring.

Hvad betyder dette for CISO'er?

Selv hvis Mythos lykkes med at holdes ude af hackernes hænder, vil andre modeller fra andre leverandører ikke blive det. Der er store konsekvenser for CISO'er:

  1. På kort sigt vil teams sandsynligvis blive oversvømmet med nødopdateringer fra leverandører, der er tilmeldt Project Glasswing.
  2. Statslige aktører kan forsøge at bruge eventuelle oplagrede zero-day exploits relativt hurtigt, før AI-drevet opdagelse gør dem værdiløse.
  3. På længere sigt kan IT-chefer forvente, at Mythos-lignende kapaciteter kommer i hænderne på cyberkriminelle og statslige aktører. Dette vil "dramatisk øge" antallet og hyppigheden af ​​komplekse, nye angreb, ifølge en ny rapport. brancherapport.

Hvor god er Mythos?

Ifølge rapporten – produceret af Cloud Security Alliance (CSA), OWASP, SANS og andre – repræsenterer Mythos et "skridtskifte" inden for AI-drevet opdagelse og udnyttelse af sårbarheder. Den hævder, at modeller af denne art er forskellige, fordi de er:

  • Mere autonom og pålidelig, udvikler exploits autonomt uden behov for "stilladser" – den eksterne kode og beskyttelsesrækværk, som LLM'er ofte har brug for for at fungere
  • Evne til at identificere komplekse, sammenkædede sårbarheder
  • Kan gøre det hele med en enkelt prompt

Men efter at have testet Mythos, Storbritanniens AI-sikkerhedsinstitut (AISI) har nogle vigtige forbehold. En ny rapport afslørede, at Mythos Preview lykkes i 73 % af tilfældene med "capture-the-flag"-opgaver på "ekspertniveau". Imidlertid er cyberangreb i den virkelige verden langt mere komplekse. Derfor har AISI udviklet "The Last Ones" (TLO): en 32-trins simulering af virksomhedsnetværksangreb, der løber fra indledende rekognoscering til fuld netværksovertagelse. Det ville tage et menneske omkring 20 timer at gennemføre. Mythos var den første model til at løste TLO fra start til slut, tre ud af 10 gange. Mere inferensberegning kan opnå endnu bedre ydeevne, sagde AISI.

Endnu vigtigere er det, at instituttet sagde, at dette kun beviser, at Mythos er i stand til "autonomt at angribe små, svagt forsvarede og sårbare virksomhedssystemer, hvor der er opnået adgang til et netværk." I den virkelige verden burde tingene være langt vanskeligere takket være tilstedeværelsen af ​​"aktive forsvarere og defensive værktøjer".

Forberedelse til en postmytologisk æra

I mellemtiden anbefalede AISI sikkerhedsteams at fokusere på det grundlæggende: "regelmæssig anvendelse af sikkerhedsopdateringer, robuste adgangskontroller, sikkerhedskonfiguration og omfattende logføring." Den pegede også på defensiv brug af grænsen AI til ting som:

  • Systemhærdning via kontinuerlig scanning, opdagelse af fejl og fejlkonfigurationer, kortlægning af angrebsstier og test af udnyttelsesevne
  • Forbedring af trusselsdetektion og -undersøgelse ved at prioritere, identificere mønstre i logfiler og skrive rapportresuméer
  • Automatisering af responshandlinger som blokering af trafik, karantæneprocesser og tilbagekaldelse af brugeradgang

Bridewells tekniske direktør, Martin Riley, tilføjer, at CISO'er bør starte med kontinuerlig trusselseksponeringsstyring (CTEM) som en hurtigst muligt.

"Opgørelse over aktiver, prioritering af angrebsflader, kontrolvalidering og mobilisering til afhjælpning. Hvis du ikke har kontinuerligt overblik over din eksponering, flyver du i blinde," fortæller han IO (tidligere ISMS.online). "For det andet, stresstest din detektion mod trusler, du aldrig har set før. Invester i anomalibaseret detektion og dyb netværkstelemetri. Signaturbaserede tilgange vil ikke fange AI-genererede angrebskæder."

CISO'er skal også stålsætte deres teams til en periode med "vedvarende operationel intensitet", advarer Riley.

"CSA-dokumentet fremhævede med rette udbrændthed som en operationel risiko. IT-chefer skal planlægge kapacitet, anmode om antal medarbejdere og fremskynde brugen af ​​AI-agenter i deres egne teams for at holde trit," argumenterer han. "Endelig skal det grundlæggende styrkes. Segmentering, udgående filtrering, phishing-resistent MFA og dybdegående forsvar. Disse kontroller øger omkostningerne ved udnyttelse, uanset hvordan sårbarheden blev opdaget. Modenhed er ikke noget, man opbygger natten over. Tiden til at investere er nu."

Eksisterende rammer som fundament

Jeff Williams, grundlægger af OWASP og CTO for Contrast Security, argumenterer for, at eksisterende standarder og rammer for bedste praksis som ISO 27001 og NIST CSF kan spille en rolle i overgangen til en post-Mythos-verden.

"Eksisterende frameworks kan hjælpe her, men mest som en liste over konceptuelle ønskede resultater. De kræver styring, synlighed, kontrol, detektion, respons og løbende forbedringer," fortæller han IO. "Men i en post-Mythos-verden, hvor både udviklere og angribere er hyperaccelererede med AI, skal næsten alle aktiviteter, som disse frameworks indebærer, gentænkes for at drive disse resultater med AI-forbedrede arbejdsgange."

Det handler ikke om at udføre det samme arbejde hurtigere, men snarere om at transformere "periodisk, manuel, afkrydsningsvenlig sikkerhed" til noget, der er "mere kontinuerlig, mere maskinlæsbart og mere forsvarligt", fortsætter han.

"CTEM, AI-assisteret detektion, runtime-sikkerhed og kontinuerlig observation er, hvordan man forvandler disse rammeideer til en reel garanti for, at sikkerheden faktisk er korrekt og effektiv på tværs af både udvikling og drift," argumenterer Williams.

Pukar Hamal, grundlægger og administrerende direktør for SecurityPal AI, ser også en rolle for ISO 27001, NIST CSF, SOC 2 og endda Cyber ​​Essentials. "De er stadig gode udgangspunkter, fordi de gennemtvinger den grundlæggende disciplin, som de fleste organisationer stadig ikke har: en oversigt over, hvad man ejer, en fornemmelse af, hvem der kan røre ved det, og en dokumenteret måde at reagere på, når noget går i stykker," fortæller han IO. "Intet af det forsvinder i en post-Mythos-verden."

CISO'er bliver dog nødt til at bygge deres sikkerhedsstrategi efter Mythos omkring løbende sikring og ikke periodisk attestering.

"De klogeste sikkerhedsledere, jeg taler med, behandler allerede ISO 27001 som gulvet og bygger stille og roligt selv det andet lag," konkluderer han.

Udvid din viden

Podcast: Phishing for Trouble Episode #08: Sikker software, sikrere forretning

Guide: Sikring af AI-angrebsfladen

Blog: Hvorfor regulatorer og investorer forventer, at virksomheder håndterer en tredobbelt risiko