ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Если вы следите за развитием искусственного интеллекта, то знаете, что «окно уязвимости» — тот короткий промежуток времени, на который организации рассчитывали для установки исправлений и обеспечения защиты после раскрытия информации об уязвимости, — стремительно сужается.

Новая модель Anthropic, Claude Mythos, и ее проект Project Glasswing показали, что поиск уязвимостей, которые можно использовать, и тонких брешей в вашей защите в операционных системах и браузерах — работа, которая раньше занимала у экспертов недели, — теперь может быть выполнена за считанные минуты с помощью ИИ. В результате окно возможностей для установки исправлений теперь практически равно нулю. Ситуация настолько критична, что министр финансов Скотт Бессент и председатель Федеральной резервной системы Джером Пауэлл недавно созвали экстренное совещание с руководителями крупнейших финансовых институтов США, чтобы обсудить связанные с этим риски. Вывод был прост: стремительный рост возможностей ИИ перевернул профили рисков, что имеет глубокие последствия для институциональной стабильности и целостности во всех отраслях.

Mythos также подчеркивает разрыв между обнаружением и устранением проблем. Он легко превзошел человеческий опыт, решив сложную задачу моделирования корпоративной сети, на которую экспертам потребовалось бы более 10 часов программирования. Его обнаружения также выявили проблемы в десятилетней давности программном обеспечении, которые были упущены в тысячах проверок безопасности.

От Mythos к эре «предполагаемого взлома»

Mythos — не единственная модель ИИ, способная находить уязвимости так быстро. Другие компании обнаружили их с помощью более простых LLM.

Если ваша компания использует какое-либо программное обеспечение, вам следует исходить из того, что оно, вероятно, содержит тысячи таких неизвестных уязвимостей, которые только и ждут, чтобы их обнаружила система с помощью ИИ. Это не провал вашей команды безопасности; скорее, это структурное следствие 30 лет накопленной сложности программного обеспечения, столкнувшейся с резким скачком возможностей наступательного ИИ.

Теперь, когда окна уязвимости, близкие к нулю, стали нормой, «быстрее исправлять» или «лучше исправлять» уже недостаточно. Командам по безопасности понадобятся новые сценарии действий, основанные на модели «предполагаемого взлома»: взломы будут происходить, и их обнаружение в момент возникновения и локализация в масштабе будут иметь первостепенное значение. Эти результаты определяются в режиме реального времени в сети.

Как внедрить модель «предполагаемого взлома» в повседневную деятельность

Модель «предполагаемого взлома» имеет три операционных требования, каждое из которых использует автоматизированные методы, предназначенные для сокращения времени локализации:

Обнаружение поведения после взлома до того, как угроза распространится по всему предприятию

Восстановить полную цепочку атаки как можно скорее

Быстро локализовать угрозы, чтобы ограничить зону их воздействия

На практике этот метод локализации требует:

Визуализации локализации в виде табло

Уделяйте приоритетное внимание сокращению среднего времени локализации (MTTC), чтобы ограничить ущерб, не упуская из виду показатели обнаружения и реагирования (MTTD и MTTR). По мере того как ИИ ускоряет эксплуатацию уязвимостей и меняет методы атак, возрастает важность скорости в выявлении, локализации и устранении угроз. Сокращение MTTC начинается с комплексной видимости сети в режиме реального времени. Благодаря ей SOC могут обнаруживать поведение после взлома, определять зону поражения и пресекать события до их дальнейшего распространения.

Мониторинг методов, предпочитаемых ИИ