Nettsikkerhetsbransjen har kanskje nettopp hatt sitt «ChatGPT-øyeblikk». Anthropics nye plattform ble avduket tidlig i april. Forhåndsvisningsmodell for Claude Mythos har tilsynelatende funnet tusenvis av nulldagsfeil med høy og kritisk alvorlighetsgrad i åpen kildekode og proprietær programvare – noen som går over 20 år tilbake i tid. Dermed lover det å redusere utnyttelsesvinduet der nettverksforsvarere kjemper for å oppdatere før motstanderne sine. Anthropics beslutning om å bruke modellen i Prosjekt Glasswing – der leverandører vil bruke teknologien til å finne og fikse nye sårbarheter – vil forårsake enda mer forstyrrelser.

Det er vanskelig å overdrive hvilken innvirkning dette vil ha på sikkerhetsteam. Men én ting har de på sin side. Historien har nådd styrerommet. Dette kan være en gyllen mulighet til å sikre finansiering og ressurser for en ny æra med AI-drevet sårbarhetshåndtering.

Hva betyr dette for CISO-er?

Selv om Mythos lykkes med å holdes unna hackere, vil ikke andre modeller fra andre leverandører bli det. Det er store implikasjoner for IT-sjefer:

  1. På kort sikt vil team sannsynligvis bli oversvømt med nødoppdateringer fra leverandører som er registrert på Project Glasswing.
  2. Statlige aktører kan se etter å bruke lagrede nulldagsangrep relativt snart, før AI-drevet oppdagelse gjør dem verdiløse.
  3. På lengre sikt kan IT-sjefer forvente at Mythos-lignende evner vil komme i hendene på nettkriminelle og statlige aktører. Dette vil «dramatisk øke» antallet og hyppigheten av komplekse, nye angrep, ifølge en ny rapport. bransjerapport.

Hvor bra er Mythos?

Ifølge rapporten – produsert av Cloud Security Alliance (CSA), OWASP, SANS og andre – representerer Mythos et «stort skifte» innen AI-drevet oppdagelse og utnyttelse av sårbarheter. Den hevder at modeller av denne typen er forskjellige fordi de er:

  • Mer autonom og pålitelig, utvikler utnyttelser autonomt uten behov for «stillas» – den eksterne koden og rekkverket som LLM-er ofte trenger for å fungere.
  • Evne til å identifisere komplekse, sammenkoblede sårbarheter
  • Kan gjøre alt med én enkelt prompt

Etter å ha testet Mythos, Storbritannias AI Security Institute (AISI) har noen viktige forbehold. En ny rapport avslørte at Mythos Preview lykkes i 73 % av tilfellene med «capture-the-flag»-oppgaver på «ekspertnivå». Imidlertid er cyberangrep i den virkelige verden langt mer komplekse. Det er derfor AISI bygde «The Last Ones» (TLO): en 32-trinns simulering av bedriftsnettverksangrep som går fra innledende rekognosering til fullstendig nettverksovertakelse. Det ville ta et menneske rundt 20 timer å fullføre. Mythos var den første modellen som løste TLO fra start til slutt, tre av ti ganger. Mer inferensberegning kan oppnå enda bedre ytelse, sa AISI.

Enda viktigere er det at instituttet sa at dette bare beviser at Mythos er i stand til å «autonomt angripe små, svakt forsvarte og sårbare bedriftssystemer der tilgang til et nettverk er oppnådd». I den virkelige verden burde ting være langt vanskeligere takket være tilstedeværelsen av «aktive forsvarere og defensive verktøy».

Forberedelser til en post-mytos-æra

I mellomtiden anbefalte AISI at sikkerhetsteamene skulle fokusere på det grunnleggende: «regelmessig bruk av sikkerhetsoppdateringer, robuste tilgangskontroller, sikkerhetskonfigurasjon og omfattende logging.» Den pekte også på defensiv bruk av grensen AI for ting som:

  • Systemherding, via kontinuerlig skanning, avdekking av feil og feilkonfigurasjoner, kartlegging av angrepsbaner og testing av utnyttbarhet
  • Forbedring av trusseldeteksjon og -etterforskning ved å prioritere, oppdage mønstre i logger og skrive rapportsammendrag
  • Automatisering av responshandlinger som blokkering av trafikk, karanteneprosesser og tilbakekalling av brukertilgang

Bridewells tekniske direktør, Martin Riley, legger til at IT-sjefer bør starte med kontinuerlig trusseleksponeringsstyring (CTEM) så snart som mulig.

«Inventar av ressurser, prioritering av angrepsflater, kontrollvalidering og mobilisering for å utbedre trusler. Hvis du ikke har kontinuerlig oversikt over eksponeringen din, flyr du i blinde», sier han til IO (tidligere ISMS.online). «For det andre, stresstest deteksjonen din mot trusler du aldri har sett før. Invester i anomalibasert deteksjon og dyp nettverkstelemetri. Signaturbaserte tilnærminger vil ikke fange opp AI-genererte angrepskjeder.»

IT-sjefer må også stålsette teamene sine for en periode med «vedvarende driftsintensitet», advarer Riley.

«CSA-dokumentet fremhevet med rette utbrenthet som en operasjonell risiko. IT-sjefer må planlegge kapasitet, be om bemanningsbemanninger og akselerere bruken av AI-agenter i sine egne team for å holde tritt», argumenterer han. «Til slutt, herd det grunnleggende. Segmentering, utgående filtrering, phishing-resistent MFA og dyptgående forsvar. Disse kontrollene øker kostnadene ved utnyttelse uavhengig av hvordan sårbarheten ble oppdaget. Modenhet er ikke noe du bygger over natten. Tiden for å investere er nå.»

Eksisterende rammeverk som et fundament

Jeff Williams, grunnlegger av OWASP og teknisk direktør i Contrast Security, argumenterer for at eksisterende standarder og rammeverk for beste praksis som ISO 27001 og NIST CSF kan spille en rolle i overgangen til en post-Mythos-verden.

«Eksisterende rammeverk kan hjelpe her, men hovedsakelig som en liste over konseptuelle ønskede resultater. De krever styring, synlighet, kontroll, deteksjon, respons og kontinuerlig forbedring», forteller han IO. «Men i en post-Mythos-verden der både utviklere og angripere er hyperakselererte med AI, må nesten alle aktiviteter som disse rammeverkene innebærer, tenkes om for å drive disse resultatene med AI-forbedrede arbeidsflyter.»

Dette handler ikke om å gjøre den samme jobben raskere, men snarere om å transformere «periodisk, manuell, avkryssningsvennlig sikkerhet» til noe som er «mer kontinuerlig, mer maskinlesbart og mer forsvarbart», fortsetter han.

«CTEM, AI-assistert deteksjon, kjøretidssikkerhet og kontinuerlig observasjon er hvordan du gjør disse rammeverksideene om til en reell garanti for at sikkerheten faktisk er korrekt og effektiv på tvers av både utvikling og drift», argumenterer Williams.

Pukar Hamal, grunnlegger og administrerende direktør i SecurityPal AI, ser også en rolle for ISO 27001, NIST CSF, SOC 2 og til og med Cyber ​​Essentials. «De er fortsatt gode utgangspunkt fordi de tvinger frem den grunnleggende disiplinen de fleste organisasjoner fortsatt ikke har: en oversikt over hva du eier, en følelse av hvem som kan røre det, og en dokumentert måte å reagere på når noe går i stykker», forteller han IO. «Ingenting av dette forsvinner i en post-Mythos-verden.»

CISO-er må imidlertid bygge sin sikkerhetsstrategi etter Mythos rundt kontinuerlig sikring, ikke periodisk attestering.

«De smarteste sikkerhetslederne jeg snakker med, behandler allerede ISO 27001 som gulvet og bygger i stillhet det andre laget selv», avslutter han.

Utvid din kunnskap

Podcast: Phishing for Trouble Episode #08: Sikker programvare, tryggere virksomhet

Guide: Sikring av AI-angrepsflaten

Blogg: Hvorfor regulatorer og investorer forventer at selskaper skal håndtere en trippel risiko