За последнюю неделю реакция на публикацию отчета Anthropic о Glasswing разделилась. Одни встревожены системой ИИ, автономно находящей уязвимости, другие считают, что ничего нового нет. CSA в новом брифинге утверждает, что Glasswing — это начало эпохи, к которой CISO должны готовиться. — csoonline.com
За последнюю неделю реакция на публикацию отчета Anthropic о Glasswing разделилась по привычным линиям. С одной стороны — тревога по поводу системы ИИ, способной автономно находить и использовать уязвимости. С другой — пренебрежительные мнения, утверждающие, что в этом нет ничего нового.
Более взвешенный взгляд представлен в новом брифинге Cloud Security Alliance (CSA), подготовленном Гади Эвроном, генеральным директором Knostic и CISO-in-Residence по ИИ в альянсе; Робом Т. Ли, главным специалистом по ИИ и начальником отдела исследований в SANS Institute; и Ричем Могуллом, главным аналитиком CSA.
В документе использован опыт большого числа участников, включая бывшего директора CISA Джен Истерли, Брюса Шнайера, бывшего национального директора по кибербезопасности Криса Инглиса и бывшего CISO Google Фила Вейблнеса, а также десятки CISO и генеральных директоров.
Эврон сообщил CSO, что сбор такого уровня мнений от стольких лидеров в столь короткие сроки отражает саму суть кибербезопасности: «Индустрия кибербезопасности — это также сообщество, и все, что нужно этим людям, — это благородная цель, а развеивание шума и распространение достоверной информации важны для нас».
Вывод группы однозначен: Glasswing — не исключение. Это ранний пример технологии, которая будет масштабироваться, и CISO следует начать готовиться к этой эпохе.
«В ближайшей перспективе организации по безопасности, вероятно, будут перегружены необходимостью применять исправления и реагировать на уязвимости, эксплойты и автономные атаки, обнаруженные ИИ», — говорится в документе. «Шторм раскрытия уязвимостей от Project Glasswing — это первая из многих больших волн».
Сдвиг — это скорость
Обнаружение уязвимостей с помощью ИИ не ново. Изменилась скорость. Задачи, которые раньше занимали недели или месяцы — поиск уязвимости, создание эксплойта, объединение их в атаку — теперь могут выполняться за часы.
Согласно документу, «Claude Mythos (Preview) от Anthropic представляет собой скачок в этой траектории, автономно находя тысячи критических уязвимостей во всех основных операционных системах и браузерах, генерируя рабочие эксплойты без руководства человека и обеспечивая автономную оркестровку атак — и все это со скоростью и в масштабе, превосходящими любые предыдущие возможности».
Это ускорение усугубляет знакомую асимметрию: защитники должны быть последовательно правы, тогда как атакующим достаточно преуспеть один раз.
Более того, «Окно между обнаружением и превращением в оружие сократилось до часов. Злоумышленники получают непропорциональную выгоду, а текущие циклы установки патчей, процессы реагирования и метрики риска не были созданы для этой среды», — говорится в документе.
«Создание программы безопасности, «готовой к Mythos», заключается не в реагировании на одну модель или объявление. Это постоянное сокращение разрыва между скоростью обнаружения уязвимостей и скоростью, с которой ваша организация может реагировать».
Claude Mythos Preview — это шаг вперед
Отдельный анализ Института безопасности ИИ Великобритании (AISI) оценил сам Mythos Preview.
Оценки включали как соревнования по захвату флага (CTF), так и более сложные среды, предназначенные для моделирования многоэтапных сценариев атак, в которых модель превзошла другие системы ИИ.
Mythos Preview занял первое место в симуляции атаки на корпоративную сеть из 32 шагов, от первоначальной разведки до полного захвата сети, на выполнение которой, по оценкам Института, у людей уходит 20 часов.
Тесты AISI также показали, что Mythos Preview способен автономно атаковать небольшие, слабо защищенные корпоративные системы после получения доступа. «Наше тестирование показывает, что Mythos Preview может использовать системы со слабым уровнем безопасности, и, вероятно, будут разработаны и другие модели с такими возможностями», — заключил AISI.
Что CISO должны делать сейчас
AISI рекомендует организациям укрепить основы, включая регулярное применение обновлений безопасности, надежный контроль доступа, безопасную конфигурацию и всеобъемлющее ведение журналов.
В нем говорится: «Будущие передовые модели будут еще более мощными, поэтому инвестиции в киберзащиту сейчас жизненно важны. Возможности ИИ в киберсфере являются двойного назначения: хотя они создают проблемы безопасности, они также могут обеспечить прорывные улучшения в защите».
В документе CSA выделены три прогноза для CISO.
Операционно: Ожидается всплеск патчей от примерно 40 поставщиков, участвующих в программе раннего доступа, что потенциально может повторить недавние периоды, когда реагирование на несколько инцидентов в цепочке поставок требовалось в течение двухнедельного окна.
Управление рисками: Бизнес-риски меняются, что требует тесного взаимодействия с заинтересованными сторонами по планированию рисков и толерантности к ним. Способность CISO управлять рисками становится более ограниченной, что может иметь последующие последствия для отчетности и прогнозов.
Стратегически: Проводить долгосрочный анализ пробелов и выборочно пересматривать ключевые функции, включая процессы управления, которые обеспечивают более быстрое внедрение технологий и развертывание систем безопасности на базе ИИ.
В отчете также поднимается вопрос о Mythos на уровне совета директоров, что позволяет CISO очертить текущие возможности и обосновать необходимость дальнейших инвестиций.
Суть в том, как заключает документ CSA, что «атаки на основе ИИ представляют собой структурный сдвиг в том, как работают наступление и оборона, и это не изменится. Стоимость и порог возможностей для использования уязвимостей снижаются, время между раскрытием и превращением в оружие сжимается до нуля, а возможности, которые ранее требовали ресурсов уровня национального государства, теперь становятся широко доступными».
См. также: «Кибербезопасность в эпоху мгновенного программного обеспечения»
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cynthia Brumfield