تست قلم در میان افزایش هوش مصنوعی

اد اسکودیس رئیس موسسه فناوری SANS و بنیانگذار این موسسه است SANS برنامه درسی تست نفوذ و هک ضد. در اینجا او به نقش تست نفوذ در میان افزایش بازیگران تهدید کننده مبتنی بر هوش مصنوعی نگاه می کند

بر کسی پوشیده نیست که تست نفوذ یکی از مؤثرترین روش‌ها برای کمک به تعیین وضعیت ریسک سازمان است. در حالی که درست است که سایر فرآیندهای استاندارد مانند ارزیابی شکاف، حسابرسی، بررسی معماری و مدیریت آسیب‌پذیری همگی ارزش قابل توجهی دارند، هنوز هیچ جایگزینی برای تست نفوذ تاثیرگذار وجود ندارد. هنگامی که به درستی انجام شود، نشان می دهد که لاستیک در کجا با جاده برخورد می کند – به عنوان یک فشارسنج موقعیتی برای همسویی دفاع امنیتی با تهدیدات سایبری همیشه در حال تحول و واقعیت های بودجه ای عمل می کند.

در هسته خود، تست نفوذ زیر چتر هک اخلاقی قرار می گیرد، جایی که بازیگران تهدید شبیه سازی شده تلاش می کنند تا آسیب پذیری های کلیدی را در محیط امنیتی سازمان شناسایی و از آنها سوء استفاده کنند. در میان افزایش سریع حملات مبتنی بر هوش مصنوعی که شبکه‌های سازمانی را هدف قرار می‌دهند، به دست آوردن این دید، ارتباط بین ریسک سایبری و کسب‌وکار را مورد توجه قرار می‌دهد.

به عنوان مثال، ظهور ChatGPT به عنوان یک تغییر دهنده بازی جرایم سایبری به خوبی مستند شده است، تاکتیک‌ها، تکنیک‌ها و رویه‌های بسیار پیشرفته (TTPs) را دموکراتیزه می‌کند، بنابراین عوامل تهدید متخاصم متوسط ​​می‌توانند با هزینه‌های پایین مرگ‌بار را افزایش دهند. توانمندسازی هکرهای معمولی برای ضربه زدن مداوم به بالاتر از رده وزنی خود، تنها به تقویت حجم و سرعت حملات ادامه خواهد داد. افزایش اهمیت برنامه‌های تست نفوذ مؤثر که به کاهش تأثیر شدید تخلفات تجاری کمک می‌کند. به طور متوسط، قربانیان در سال 2022 به ازای هر تخلف، رکورد بالای 9.4 میلیون دلار را از دست دادند.

تشدید این موضوع، الگوی وضعیت امنیتی ضعیف در بخش‌های دولتی و خصوصی است. بررسی هک اخلاقی SANS 2022 نشان داد که بیش از سه چهارم پاسخ دهندگان نشان دادند که «تنها چند یا چند سازمان» قابلیت‌های موثر تشخیص و پاسخ شبکه (NDR) را برای توقف حمله در زمان واقعی دارند. علاوه بر این، نزدیک به 50 درصد گفتند که بیشتر سازمان‌ها در تشخیص و جلوگیری از رخنه‌های اختصاصی ابر و برنامه‌ها یا به طور متوسط ​​یا بسیار ناتوان هستند. واضح است که باید برای تغییر موازنه قدرت از دشمنان بیشتر تلاش کرد.

تست نفوذ را وارد کنید، که می‌تواند آگاهی زمینه‌ای بی‌رقیب را برای اصلاح دفاع سایبری، اصلاح تهدید و فرآیندهای بازیابی در یک معماری مدیریت ریسک فراگیر فراهم کند. برای سازمان‌هایی که برنامه‌های تست نفوذ را در مقیاس اجرا می‌کنند، اصول اساسی زیر را در سرلوحه ذهن خود نگه دارید تا تأثیر را به حداکثر برسانید.

ذهنیت هدف گرا

بیش از یک دهه پیش، یک همکار قدیمی و دوست صمیمی من، جاش «جابرا» آبراهام، مورد قانع‌کننده‌ای را برای افزایش پذیرش رویکرد هدف‌محور برای تست نفوذ ایجاد کرد. او آن را با یک سوال ساده مطرح کرد:

چه چیزی تستر نفوذ را هدایت می کند؟ آنها چگونه می دانند که چه می خواهند یا چه سطحی از دسترسی قرار است بالاترین خطرات را برای سازمان نشان دهد؟

پاسخ مجموعه‌ای واضح از اهداف از پیش تعریف‌شده بود که حول فرآیندهای تاکتیکی و جریان‌های کاری فنی که بیشتر با تست نفوذ در آن زمان مرتبط بودند، نمی‌چرخید. برخلاف تصور رایج در میان محافل امنیت سایبری، شناسایی آسیب‌پذیری‌های سطحی، غاز طلایی هکرهای اخلاقی نبود.

صبر کن واقعا؟

آره. تست نفوذ و ارزیابی آسیب پذیری دو روی یک سکه نیستند. در حالی که دومی ثابت و فاقد زمینه است، اولی برای کشف خطرات اساسی تجاری با آزمایش دستی وضعیت دفاعی سازمان برای سرقت داده ها یا دستیابی به سطحی از دسترسی غیرمجاز طراحی شده است. پایان بازی در مورد شناسایی آسیب‌پذیری‌های واقعی نیست، بلکه درهایی است که این آسیب‌پذیری‌ها باز می‌شوند – و پیامدهای تجاری اجازه دادن به حریف برای عبور نامشخص از آن‌ها.

رویکرد هدف‌محور ابراهیم به‌عنوان یک ستون اساسی آزمایش نفوذ امروز ظهور کرده است. برای اینکه هک اخلاقی حداکثر ارزش را ارائه دهد، باید اهداف از پیش تعریف شده ای وجود داشته باشد که حول آسیب پذیرترین مناطق اختلال در کسب و کار سازمان ساخته شده باشد تا منعکس کننده یک حمله سناریویی بدتر باشد. هکرهای اخلاقی آن مناطق را برای اندازه‌گیری سطح انعطاف‌پذیری سایبری سازمان مورد هدف قرار می‌دهند و نشان می‌دهند که چگونه آسیب‌پذیری‌های کم خطر می‌توانند با هم ترکیب شوند تا یک سناریوی پرخطر ایجاد کنند که کسب‌وکار آنها را به خطر می‌اندازد.

برای یک ارائه‌دهنده تلویزیونی بزرگ، این می‌تواند یک حمله باج‌افزاری باشد که یک پخش ورزشی تلویزیونی ملی را سیاه می‌کند و باعث از دست رفتن میلیاردها درآمد تبلیغاتی می‌شود.
برای یک کارخانه تصفیه آب، این حمله می تواند یک حمله دولت-ملت باشد که منبع آب کل شهر را آلوده می کند تا یک بحران بهداشت عمومی ایجاد کند.
برای یک آژانس فدرال، این می تواند یک حمله تهدید داخلی باشد که اطلاعات امنیت ملی را برای منافع پولی به دشمنان خارجی درز می کند.
صرف نظر از اینکه سناریوی روز قیامت چه چیزی را در بر می گیرد، آزمایش نفوذ باید با درک محکمی از اینکه تیرک دروازه نهایی مهاجم کجاست و چگونه ممکن است به کسب و کار شما آسیب برساند آغاز شود. این تنها راه واقعی برای کشف آسیب پذیری های مناسب با زمینه مناسب برای کاهش ریسک تجاری است.

اتصال نقطه ها

از آنجایی که خطوط بین ریسک سایبری و کسب و کار در طول سال‌ها محو شده است، آزمایش نفوذ به‌عنوان یک جزء حیاتی برای اولویت‌بندی ریسک پیشگیرانه ظاهر شده است. این سازمان ها را قادر می سازد تا با مقیاس های احتمال و پیش بینی های مالی مرتبط با حوزه های مختلف محیط امنیتی خود، دید دقیقی را نسبت به وضعیت ریسک ایجاد کنند. با داشتن این بینش های سطح بالا، CISO ها آینده نگری دارند تا با ارزیابی ریسک تجاری حمله احتمالی در مقابل احتمال وقوع آن، و سپس تخصیص منابع امنیتی بر این اساس برای افزایش بازگشت سرمایه و تقویت حفاظت، تصمیمات آگاهانه بگیرند.

روشنایی و اطمینان متمایز ارائه شده توسط تست نفوذ همچنین به ابهام زدایی از پیچیدگی چشم انداز تهدید سایبری کمک می کند و ریسک سایبری را به اصطلاحات تجاری قابل اجرا تبدیل می کند که با C-Suite و هیئت مدیره سازگاری بهتری دارد. داستان‌های تصویری واقعی از تعامل‌های اخیر تست نفوذ، بیان ریسک را برای رهبران انعطاف‌پذیری سایبری بسیار آسان‌تر می‌کند، به گونه‌ای که خرید جمعی در رهبری شرکت را تقویت می‌کند تا اطمینان حاصل شود که امنیت اولویت اصلی سازمانی باقی می‌ماند.

مهم است که به خاطر داشته باشید که صرف نظر از اثربخشی یک برنامه تست نفوذ، مناطق خاکستری و قضاوت های نامطمئن نسبت به اولویت بندی ریسک همیشه وجود خواهند داشت. تست نفوذ کمک می کند تا اطمینان حاصل شود که CISO ها می توانند آگاهانه ترین تصمیم ممکن را بگیرند. در غیر این صورت، آنها در تاریکی در حال بررسی خطرات واقعی تجاری خود هستند.

همانطور که امنیت سایبری یک ورزش گروهی است، تست نفوذ نیز چنین است. اساساً، یک برنامه تست نفوذ، حمله هدفمند را به کار می‌گیرد – همان TTP‌هایی که توسط بازیگران تهدید پیچیده استفاده می‌شوند – برای راهنمایی سازمان‌ها چگونه باید دفاع خود را بسازند. تست نفوذ همچنین می تواند پیش درآمدی برای تمرینات تیم قرمز باشد. برای سازمان‌های بالغ‌تر که قبلاً آزمایش‌های نفوذ منظم را انجام می‌دهند، تمرینات تیم قرمز شامل یک تیم تهاجمی “قرمز” همراه با شکارچیان تهدید و تحلیلگران SOC به عنوان تیم دفاعی “آبی” است. و درست همانطور که همه ما در مدرسه ابتدایی (و امنیت سایبری) یاد گرفتیم، ادغام هر دو با هم رنگ بنفش را ایجاد می کند.

مفهوم تیم سازی بنفش اغلب به اشتباه توصیف می شود. این یک تیم منحصر به فرد متشکل از کارشناسان تهاجمی و شکارچیان نیست که همه با هم به صورت هماهنگ عمل کنند. در عوض، این یک فعل در این زمینه است که توضیح می دهد چگونه طرف های قرمز و آبی می توانند برای گسترش دانش، تیزتر کردن استراتژی و افزایش کارایی عملیاتی با یکدیگر همکاری کنند. و در حالی که در سطح سطح کمتر آشکار است، آبی می تواند به قرمز کمک کند، درست مانند رنگ قرمز که به آبی کمک می کند.

به عنوان مثال، اشتراک‌گذاری اطلاعات مشترک، دیدگاه بیشتری را برای هکرهای اخلاقی در مورد چگونگی شناسایی یک TTP خاص فراهم می‌کند. به این ترتیب، تیم قرمز می‌تواند رویکرد خود را برای تلاش بعدی تنظیم کند تا مطمئن شود که کشنده‌تر است، که به نوبه خود تیم آبی را قوی‌تر می‌کند. آن را مانند آهن تیزکن در نظر بگیرید – در نهایت همه سود می برند.

نرخ پذیرش هوش مصنوعی در هر دو طرف خط تقسیم امنیت سایبری به این زودی ها کاهش نخواهد یافت. مهاجمان مجهز به هوش مصنوعی اینجا هستند تا بمانند، و آنچه ما فکر می‌کردیم در مورد حملات مبتنی بر هوش مصنوعی دو هفته پیش می‌دانیم، امروز می‌تواند بی‌ربط باشد. این واقعیت اهمیت اجرای تست نفوذ مقیاس پذیر را به عنوان یک جزء اصلی از زرادخانه مدرن CISO افزایش می دهد. بین تیم‌سازی بنفش، اولویت‌بندی ریسک، و اهداف کاملاً تعریف‌شده، آزمایش نفوذ تاثیرگذار و تیم‌سازی قرمز منبع نهایی توانمندسازی برای مبارزه با عوامل تهدید متخاصم است.