Специални издания СПЕЦИАЛНО ИЗДАНИЕ /// Tech Connect 2023

Списание МЕНИДЖЪР Ви предлага 4 безплатни статии от броя — 1 / 4

Апокалипсисът се отлага, но не за всички

Големите езикови модели изискват нов подход за защита

Автор:

Борис Гончаров, директор „Стратегическо развитие“, AMATAS CIPP/E, CCISO, CCSP, CISSP, ISSMP, CCSK, CEH, CHFI, ITIL, Prince2 VP Strategy

Снимки:

Getty Images

Апокалипсисът се отлага, но не за всички

Апокалипсисът се отлага, но не за всички

Големите езикови модели изискват нов подход за защита

Апокалипсисът се отлага, но не за всички
quotes

Бюджетът за 2024 г. все още не е готов. В обремененото съзнание на съответния бизнес лидер трескаво препускат варианти за „оптимизация“ на разходите. Някъде там, между безкрайните редове в ексел, се прокрадва отчайваща комбинация от числа с неприемлива дължина, пред които е изписано неизбежното, но и някак нежелано пояснение „Разходи за киберсигурност“. Следва мъчителен анализ на произхода и предназначението на тези числа с елементи на осмисляне на тяхната важност.

За съжаление, вечният приятел на всички крайни потребители и единствен източник на познания в областта – CISO-то, е бърнаутнал (според актуално проучване на Gartner 73% от служителите с тази абревиатура зад името си са в това положение) и не е в състояние да предостави така необходимите разяснения за смисъла на киберсигурността и стратегическото и значение за всяка организация, използваща технологии и данни. Дори всезнаещият ChatGPT след множество старателно композирани промптове също е безсилен да помогне.

Проблемът в дълбочина

Киберсигурността се оказва комплексен проблем, изискващ бързи решения и инвестиции, които, ако не бъдат реализирани, може да се очаква апокалиптичен сценарий, който неминуемо води до трагичната гибел на бизнеса. Логично в такива моменти в мислите на всеки бизнес лидер се прокрадват лозунгите на сейлс евангелистите на безброй вендори, които с фанатизма на новоиндоктриниран мултилевел зилот се опитват да ги убедят, че ако се закупи продуктът Х (заменете Х с произволно наименование със сложна абревиатура), проблемите ни с киберсигурността ще изчезнат и всички ще можем да се прегърнем и изнесем към плажовете на Ибиса с усещането за добре свършена работа. За съжаление, тази утопична перспектива бързо се разсейва с нахлуването на травматичните спомени от последната среща на мениджмънта, на която зловещите инкантации на

CISO-то с изненадваща ефективност са инсталирали усещането за страх, несигурност и съмнение от безбройните киберзаплахи и тяхната неизбежност.

Въпреки поривите за пълен дигитален локдаун и самоизолация, рациото все пак изплува на преден план и започва да изисква конкретика и информираност. Разбира се, медиите са препълнени с новини за хакнати компании и трагични истории за загубено клиентско доверие. За търсещия информация бизнес лидер е достатъчно набързо да проучи инцидентите с MOVEit (засегнал повече от 200 компании), LastPass, T-Mobile, ChatGPT, Activision, Google Fi, за да си създаде представа за „безгрижния“ вайб, лъхащ от 2023-та.

Големите езикови модели ескалират рисковете

Извън донякъде очакваните проблеми на големите компании присъствието на революционното творение на OpenAI в този престижен списък обяснимо резултира в нова порция панически атаки, подсилени от реализацията, че грандиозните стратегии за масово приложение на Генеративен ИИ могат да се окажат зле обмислен ход, който, вместо да изведе бизнеса в Обетованата земя на дигиталното съвършенство и просперитет, може да доведе до ускореното му изчезване от пазара. След кратък breathwork стресираният бизнес лидер, възвърнал способността си да разсъждава, резонно си задава въпроса какви всъщност са рисковете, свързани с използването на големите езикови модели (LLMs). И без френетично промптване във всички налични за използване ИИ чатове всеки детерминиран да намери отговор на този въпрос най-вероятно би стигнал до следните прозрения:

Масиран Тагретиран Фишинг: С използването на LLM източниците на заплахи могат да автоматизират и персонализират фишинг атаки в голям мащаб, което значително увеличава вероятността от успешно проникване в защитените системи.

ИИ Промпт „Спайкинг“: LLM е възможно да бъдат манипулирани чрез генериране на заблуждаващи или зловредни промптове, които да доведат до нежелани действия или поведение на системите.

Повишаване на уменията за осъществяване на атаки: С помощта на LLM източниците на заплахи могат бързо да подобрят своите умения и да разработят по-сложни и ефективни атаки с минимални усилия.

Донесете си собствения AI (Bring Your Own AI – BYOAI): Източниците на заплахи могат да използват собствените си ИИ модели, за да обогатят и оптимизират своите атаки.

Нарушаване на сигурността на данните: LLM могат да бъдат използвани за автоматизирано изтегляне и анализ на чувствителни данни, улеснявайки кражбата и неправомерното разкриване на информация.

Еволюиращ Малуер (Evolving Malware): LLM могат да помогнат за създаването на по-сложен и адаптивен зловреден код, който да е в състояние да избегне детекцията и да предизвика по-големи щети.

Избор на вектор на атака: LLM могат да бъдат използвани за създаване на системи, които автоматично да предлагат оптимизирани тактики и стратегии за атака.

Обучение: LLM могат да служат като платформи за обучение и развитие на уменията на източници на заплаха, като им предлагат динамична и интегрирана среда за обучение и тестване.

Cyber Kill-Chain Автоматизация: Източниците на заплахи могат да използват LLM за автоматизиране на различни етапи от т.нар. Cyber Kill-Chain. Това включва автоматизиране на процесите за разузнаване, проникване, разпространение и експлоатация на уязвимости в атакуваните системи. LLM могат да улеснят създаването на автоматизирани сценарии за атака, които значително да увеличат скоростта и ефективността на зловредните кампании.

Въпреки тежкия технологичен жаргон изводите са ясни: LLM не са някаква чудодейна иновация, която поради наличието на „интелект“ е по-защитена от други комплексни системи. Напротив, тя е по-неясна, предизвикателна и изискваща прилагането на нови модели за защита. Очевидно плановете за революционни иновации се оказват леко рискови.

Киберсигурността не е просто продукт, а комплексен подход, който би трябвало да включва технологии, процеси, хора и отскоро AI 

Киберсигурността е комплексен подход

Често след такава реализация борещият се с поредната порция депресивни мисли бизнес лидер се опитва да открие някакъв лесен фикс или да си купи нещо, което да накара рисковете за бизнеса някак да изчезнат. Но за съжаление, отчитайки цялата комплексност на дигиталната среда, в която оперира, резултатът от това търсене е неминуемият сблъсък с някоя на пръв поглед претенциозна абревиатура – поредната сложна концепция за защита, която макар логична и смислена, трябва да бъде опозната, интерпретирана и приложена систематично, за да бъде ефективна.

Например предложената и промотирана от Gartner Continuous Threat Exposure Management (CTEM) рамка, която се представя като интегриран и итеративен подход за приоритизиране на критичните рискове, непрекъснато подобряване на нивото на киберсигурност и укрепване на устойчивостта на бизнеса, с уточнението, че това не е самостоятелен инструмент, нито конкретно технологично решение, което да се купи от даден вендор.

Последното уточнение звучи странно: „Не може да се купи“. От друга страна, според един доклад на Verizon (2022 Data Breach Investigations Report) 82% от всички инциденти, свързани с нарушаване на сигурността на данни, са свързани с някакъв човешки фактор. С други думи, явно киберсигурността не е просто продукт, а комплексен подход, който би трябвало да включва технологии, процеси, хора и отскоро ИИ.

Бюджет 2024 продължава да не е финализиран. След всички терзания и прозрения остава въпросът: „Какъв CAPEX и OPEX за киберсигурност следва да се алокира, така че бизнесът не само да оцелее, но и да постигне стратегическите си цели и да бъде успешен на пазара?“.

Надали може да има еднозначен отговор на този въпрос, особено по отношение на конкретните технологични мерки за защита, имайки предвид еволюцията на кибер заплахите и очевидната невъзможност за дефиниране на общовалиден шопинг лист с продукти. Въпреки това четири ключови компонента могат да бъдат откроени като критични: РИСК | СТРАТЕГИЯ | ОБУЧЕНИЕ | РЕАКЦИЯ.

РИСК: Разбирането и управлението на риска е фундаментално. Оценката на риска трябва да включва анализ на потенциалните заплахи, уязвимостите и възможните последствия от киберинциденти. Това помага да се идентифицират и приоритизират областите, които изискват подобрена защита.

СТРАТЕГИЯ: Разработването на ясна стратегия за киберсигурност, която отразява бизнес целите и специфичните рискове, е от съществено значение. Стратегията трябва да дефинира цялостния подход по отношение на киберсигурността и да определи конкретните стъпки и инициативи за постигане на нейните цели.

ОБУЧЕНИЕ: Обучението на персонала по въпроси на киберсигурността е от критично значение за предотвратяване на инциденти и реагиране в случай на кибератаки. Обучението трябва да бъде непрекъснат процес, който помага на служителите да останат информирани за новите заплахи и най-добри практики.

РЕАКЦИЯ: Наличието на възможности за непрекъснато наблюдение и бърза реакция при киберинциденти може значително да минимизира вредите и да редурица времето за възстановяване на бизнеса, както и да му предостави шанс да продължи да оперира въпреки неизбежните атаки и пробиви.

Разходите за киберсигурност не могат да бъдат избегнати, но всеки бизнес лидер би трябвало по един или друг начин да е стигнал до проникновението, че всъщност не става въпрос за излишни разхищения на средства, а за умна инвестиция, която може да донесе на бизнеса огромни ползи и конкурентно предимство или в най-лошия случай да му помогне да оцелее въпреки апокалиптичните визии за бъдещето.

Всяка прилика с реални събития и бизнес лидери е случайна и (не)преднамерена.