Die kuberveiligheidsbedryf het dalk sopas sy "ChatGPT-oomblik" gehad. Anthropic se nuwe, wat vroeg in April onthul is, Claude Mythos Voorskoumodel het blykbaar duisende hoë- en kritieke-ernstige nul-dag foute in oopbron- en eie sagteware gevind – sommige dateer meer as 20 jaar terug. Deur dit te doen, belowe dit om die uitbuitingsvenster te laat ineenstort waartydens netwerkverdedigers skarrel om voor hul teenstanders op te laai. Anthropic se besluit om die model te gebruik in Projek Glasswing – waar verskaffers die tegnologie sal gebruik om nuwe kwesbaarhede te vind en reg te stel – sal nog meer ontwrigting veroorsaak.

Dit is moeilik om die impak wat dit op sekuriteitspanne sal hê, te oorskat. Maar hulle het een ding aan hul kant. Die storie het deurgebreek na die direksiekamer. Dit kan 'n goue geleentheid wees om befondsing en hulpbronne te bekom vir 'n nuwe era van KI-gedrewe kwesbaarheidsbestuur.

Wat beteken dit vir CISO's?

Selfs al word Mythos suksesvol uit die hande van hackers gehou, sal ander modelle deur ander verskaffers nie. Daar is groot implikasies vir KISO's:

  1. Op kort termyn sal spanne waarskynlik oorval word met noodopdaterings van verskaffers wat by Project Glasswing aangemeld is.
  2. Staatsakteurs mag dalk enige opgehoopte nul-dag-ontginne relatief gou wil gebruik, voordat KI-gedrewe ontdekking hulle waardeloos maak.
  3. Op die langer termyn kan ITSO's verwag dat Mythos-agtige vermoëns in die hande van kubermisdadigers en staatsakteurs sal beland. Dit sal die aantal en frekwensie van komplekse, nuwe aanvalle "dramaties verhoog", volgens 'n nuwe bedryfsverslag.

Hoe goed is Mitos?

Volgens die verslag – vervaardig deur die Cloud Security Alliance (CSA), OWASP, SANS en ander – verteenwoordig Mythos 'n "stapverandering" in KI-gedrewe kwesbaarheidsopsporing en -uitbuiting. Dit beweer dat modelle van hierdie aard verskil omdat hulle:

  • Meer outonoom en betroubaar, ontwikkel outonoom ontginning sonder die behoefte aan "steierwerk" - die eksterne kode en relings wat LLM's dikwels nodig het om te funksioneer
  • In staat om komplekse, gekettingde kwesbaarhede te identifiseer
  • In staat om dit alles met 'n enkele aanwysing te doen

Nadat Mythos egter getoets is, VK se KI-sekuriteitsinstituut (AISI) het 'n paar belangrike voorbehoude. Dit het in 'n nuwe verslag onthul dat Mythos Preview, op "kundigevlak"-vang-die-vlag-take, 73% van die tyd slaag. Werklike kuber-aanvalle is egter baie meer kompleks. Daarom het die AISI "The Last Ones" (TLO) gebou: 'n 32-stap korporatiewe netwerk-aanvalsimulasie wat van aanvanklike verkenning tot volledige netwerkoorname loop. Dit sou 'n mens ongeveer 20 uur neem om te voltooi. Terwyl Mythos die eerste model was om TLO van begin tot einde op te los, drie uit 10 keer. Meer inferensieberekening kan selfs beter prestasie behaal, het die AISI gesê.

Meer belangrik, die instituut het gesê dat dit slegs bewys dat Mythos in staat is om "klein, swak verdedigde en kwesbare ondernemingstelsels outonoom aan te val waar toegang tot 'n netwerk verkry is." In die werklike wêreld behoort dinge baie moeiliker te wees danksy die teenwoordigheid van "aktiewe verdedigers en verdedigende gereedskap".

Voorbereiding vir 'n post-mitos era

Intussen het die AISI aanbeveel dat sekuriteitspanne op die basiese beginsels fokus: “gereelde toepassing van sekuriteitsopdaterings, robuuste toegangsbeheer, sekuriteitskonfigurasie en omvattende logging.” Dit het ook gewys op verdedigende gebruik van die grens KI vir dinge soos:

  • Stelselverharding, via deurlopende skandering, die ontdekking van foute en wankonfigurasies, die kartering van aanvalspaaie en die toets van benutbaarheid
  • Verbetering van bedreigingsopsporing en -ondersoek deur triagering, patrone in logboeke op te spoor en verslagopsommings te skryf
  • Outomatisering van reaksieaksies soos die blokkering van verkeer, kwarantynprosesse en die herroeping van gebruikerstoegang

Bridewell se hooftegnologiebeampte, Martin Riley, voeg by dat KISO's dringend moet begin met deurlopende bedreigingsblootstellingsbestuur (CTEM).

“Bate-inventaris, aanvalsoppervlakprioritisering, beheervalidering en mobilisering om te remedieer. As jy nie deurlopende sigbaarheid van jou blootstelling het nie, vlieg jy blind,” sê hy vir IO (voorheen ISMS.online). “Tweedens, strestoets jou opsporing teen bedreigings wat jy nog nooit gesien het nie. Belê in anomalie-gebaseerde opsporing en diep netwerktelemetrie. Handtekening-gebaseerde benaderings sal nie KI-gegenereerde aanvalskettings opspoor nie.”

KISO's moet ook hul spanne staal vir 'n tydperk van "volgehoue ​​operasionele intensiteit", waarsku Riley.

“Die CSA-dokument het tereg uitbranding as 'n operasionele risiko uitgelig. KISO's moet kapasiteit beplan, personeeltelling aanvra en die gebruik van KI-agente binne hul eie spanne versnel om tred te hou,” voer hy aan. “Laastens, verhard die grondbeginsels. Segmentering, uitgangsfiltering, phishing-bestande MFA en verdediging in diepte. Hierdie beheermaatreëls verhoog die koste van uitbuiting ongeag hoe die kwesbaarheid ontdek is. Volwassenheid is nie iets wat jy oornag bou nie. Die tyd om te belê is nou.”

Bestaande raamwerke as 'n fondament

Jeff Williams, stigter van OWASP en hoof-tegnologiebeampte van Contrast Security, voer aan dat bestaande beste praktykstandaarde en raamwerke soos ISO 27001 en NIST CSF 'n rol kan speel in die oorgang na 'n post-Mythos-wêreld.

“Bestaande raamwerke kan hier help, maar meestal as 'n lys van konseptuele gewenste uitkomste. Hulle vereis bestuur, sigbaarheid, beheer, opsporing, reaksie en voortdurende verbetering,” sê hy vir IO. “Maar in 'n post-Mythos-wêreld waar beide ontwikkelaars en aanvallers hiperversnel word met KI, moet byna elke aktiwiteit wat daardie raamwerke impliseer, herontwerp word om daardie uitkomste met KI-verbeterde werkvloeie te dryf.”

Dit gaan nie daaroor om dieselfde werk vinniger te doen nie, maar eerder om "periodieke, handmatige, kontrole-die-boks-sekuriteit" te transformeer in iets wat "meer deurlopend, meer masjienleesbaar en meer verdedigbaar is", gaan hy voort.

“CTEM, KI-ondersteunde opsporing, looptydsekuriteit en deurlopende waarneming is hoe jy daardie raamwerkidees omskep in 'n werklike versekering dat sekuriteit eintlik korrek en effektief is in beide ontwikkeling en bedrywighede,” argumenteer Williams.

Pukar Hamal, stigter en uitvoerende hoof van SecurityPal AI, sien ook 'n rol vir ISO 27001, NIST CSF, SOC 2 en selfs Cyber ​​Essentials. “Hulle is steeds goeie beginpunte, want hulle forseer die basiese dissipline wat die meeste organisasies steeds nie het nie: 'n inventaris van wat jy besit, 'n idee van wie dit kan aanraak, en 'n gedokumenteerde manier om te reageer wanneer iets breek,” sê hy vir IO. “Nie een daarvan verdwyn in 'n post-Mythos-wêreld nie.”

KISO's sal egter hul post-Mythos-sekuriteitstrategie rondom deurlopende versekering, nie periodieke attestering, moet bou.

“Die slimste sekuriteitsleiers met wie ek praat, behandel ISO 27001 reeds as die vloer en bou stilweg self die tweede laag,” sluit hy af.

Brei jou kennis uit

Podcast: Phishing vir Moeilikheid Episode #08: Veilige Sagteware, Veiliger Besigheid

gids: Beveiliging van die KI-aanvaloppervlak

Blog: Waarom Reguleerders en Beleggers Verwag dat Maatskappye 'n Drievoudige Risiko sal Aanspreek