51 секунда до взлома: как руководители служб информационной безопасности противостоят атакам с использованием искусственного интеллекта, молниеносным дипфейкам, вишингу и социальной инженерии

Адам Мейерс, старший вице-президент по противодействию злоумышленникам в CrowdStrike, объяснил VentureBeat, как быстро злоумышленники могут повышать привилегии и перемещаться горизонтально после проникновения в систему. «Следующая фаза обычно включает в себя некоторую форму горизонтального перемещения, и это то, что мы хотели бы рассчитать как время прорыва. Другими словами, сколько времени проходит с момента первоначального доступа, пока они не попадут в другую систему? Самое быстрое время прорыва, которое мы наблюдали, составило 51 секунду. Таким образом, эти злоумышленники становятся быстрее, и это то, что значительно усложняет работу защитника», — сказал Мейерс.

Искусственный интеллект, вооруженный все большей потребностью в скорости

Искусственный интеллект, несомненно, является предпочтительным оружием злоумышленников сегодня. Он дешев, быстр и универсален, позволяя злоумышленникам создавать вишинг (голосовой фишинг) и мошенничество с дипфейком, а также запускать атаки социальной инженерии в кратчайшие сроки, чем это могли делать предыдущие технологии.

Вишинг вышел из-под контроля во многом из-за того, что злоумышленники оттачивают свое мастерство с помощью ИИ. Отчет CrowdStrike о глобальных угрозах за 2025 год показал, что вишинг в 2024 году резко возрос на 442%. Это основной метод первоначального доступа, который злоумышленники используют для манипулирования жертвами, чтобы те раскрыли конфиденциальную информацию, сбросили учетные данные и предоставили удаленный доступ по телефону.

«В 2024 году мы увидели рост голосового фишинга на 442%. Это социальная инженерия, и это свидетельствует о том, что злоумышленники находят новые способы получить доступ, потому что... мы находимся в этом новом мире, где злоумышленникам приходится работать немного усерднее или по-другому, чтобы избегать современных инструментов безопасности конечных точек», — сказал Мейерс.

Фишинг также продолжает оставаться угрозой. Мейерс сказал: «Мы видели, что в случае с фишинговыми письмами у них более высокий показатель кликабельности, когда это контент, сгенерированный ИИ, — 54% кликабельности, по сравнению с 12%, когда за этим стоит человек».

Китайская сеть Green Cicada использовала генератор контента на основе ИИ для создания и запуска более 5000 фейковых аккаунтов в социальных сетях для распространения предвыборной дезинформации. Известная северокорейская группа противников CHOLLIMA использует генеративный ИИ для создания фейковых профилей LinkedIn кандидатов на ИТ-работу с целью проникновения в глобальные аэрокосмические, оборонные, программные и технологические компании в качестве удаленных сотрудников.

Директора по информационным технологиям, директора по информационной безопасности находят новые способы сопротивления

Верный признак того, что мастерство ИИ злоумышленников быстро развивается, — это то, насколько успешно они справляются с атаками на основе идентификационных данных. Атаки на основе идентификационных данных обгоняют вредоносные программы в качестве основного метода взлома. Семьдесят девять процентов атак с целью получения первоначального доступа в 2024 году не были связаны с вредоносным ПО, вместо этого они использовали украденные учетные данные, фишинг с использованием искусственного интеллекта и мошенничество с использованием deepfake. В прошлом году каждое третье, или 35%, вторжение в облако использовало действительные учетные данные.

«Злоумышленники выяснили, что один из самых быстрых способов получить доступ к среде — это украсть законные учетные данные или использовать социальную инженерию. Внедрение вредоносного ПО в современное предприятие, на котором установлены современные средства безопасности, похоже на попытку пронести бутылку с водой в аэропорт — TSA, скорее всего, вас поймает», — объясняет Мейерс.

«Мы обнаружили пробел в нашей способности отзывать законные токены сеансов идентификации на стороне ресурса», — рассказал в недавнем интервью VentureBeat Алекс Филипс, ИТ-директор National Oilwell Varco (NOV). «Теперь у нас есть стартап, который помогает нам создавать решения для наших самых распространенных ресурсов, где нам нужно было бы быстро отзывать доступ. Недостаточно просто сбросить пароль или отключить учетную запись. Вам нужно отозвать токены сеанса».

NOV борется с атаками, используя широкий спектр методов. Philips поделился следующими принципами, которые необходимы для прекращения все более частого использования ИИ-атак, которые полагаются на обман с помощью вишинга, кражи учетных данных и удостоверений:

«Нулевое доверие не просто полезно, оно обязательно. Оно дает нам шлюз принудительного применения политики безопасности, который делает украденные токены сеанса бесполезными», — советует Philips. «Кража токенов сеанса удостоверения — это то, что используется в некоторых из более сложных атак». С ростом числа таких атак NOV ужесточает политику идентификации, вводит условный доступ и находит быстрые способы отзыва действительных токенов в случае их кражи.

Совет Philips коллегам, желающим остановить сверхбыстрые атаки на основе удостоверений, — сосредоточиться на устранении отдельных точек отказа. «Обязательно разделяйте обязанности; убедитесь, что ни одно лицо или учетная запись службы не могут сбросить пароль, многофакторный доступ и обойти условный доступ. «Уже протестируйте процессы для отзыва действительных токенов сеанса идентификации», — рекомендует Philips.

Не тратьте время на сброс паролей; немедленно отзывайте токены сеанса. «Сброса пароля больше недостаточно — вам нужно мгновенно отзывать токены сеанса, чтобы остановить боковое движение», — сказал Philips VentureBeat.