Modelowanie zagrożeń AI: zabezpieczanie tożsamości przy zerowym zaufaniu w 2025 r

Firmy świadczące usługi finansowe walczą z coraz bardziej wyrafinowanymi atakami opartymi na tożsamości, których celem jest kradzież miliardów i zakłócanie transakcji, co ostatecznie niszczy zaufanie, którego budowanie trwało latami.

Cyberprzestępcy w dalszym ciągu doskonalą swoje umiejętności biznesowe, celując w luki w branży w zakresie bezpieczeństwa tożsamości. Od prób uzbrojenia LLM po wykorzystanie najnowszych kontradyktoryjnych technik sztucznej inteligencji do kradzieży tożsamości i popełniania syntetycznych oszustw – wszyscy cyberprzestępcy, syndykaty przestępcze i podmioty z państw narodowych atakują usługi finansowe.

Tędy firmy oceniające (wcześniej gwarantowana stawka) walczy z coraz bardziej złożonymi atakami opartymi na tożsamości oraz tego, czego inni liderzy branży i przedsiębiorstw mogą się nauczyć ze swojej strategii.

Jak firmy bronią się przed zagrożeniami opartymi na sztucznej inteligencji

Instytucje finansowe stoją przed jeszcze większym wyzwaniem 3,1 miliarda dolarów narażone na ryzyko oszustw związanych z tożsamością syntetyczną, które w zeszłym roku wzrosły o 14,2%, podczas gdy fałszywe Skok 3000%. Oczekuje się, że w 2024 r. nastąpi wzrost o 50–60%. Nie wspominając już o tym, że uśmiechnięte SMS-y, zmęczenie MFA i fałszywe podszywanie się pod inne osoby stały się niebezpiecznie powszechne.

Jako drugi co do wielkości kredytodawca detalicznych kredytów hipotecznych w USA, codziennie przez systemy Rate przepływają miliardy wrażliwych transakcji, co czyni firmę głównym celem cyberprzestępców.

Firma VentureBeat spotkała się niedawno (wirtualnie) z Kathryn Mowen, wiceprezesem ds. bezpieczeństwa informacji w instytucji finansowej, aby uzyskać wgląd w to, w jaki sposób buduje podstawy RATE, kładąc silny nacisk na ochronę tożsamości klientów, pracowników i partnerów. W jaki sposób integrowana jest sztuczna inteligencja w ramach?

„Ze względu na charakter naszej działalności stoimy przed niektórymi z najbardziej zaawansowanych i trwałych zagrożeń cybernetycznych” – powiedział Mowen VentureBeat. „Byliśmy świadkami naruszeń innych firm w branży kredytów hipotecznych, więc musieliśmy się upewnić, że to samo nie przydarzy się nam. Myślę, że to, co teraz robimy, to walka ze sztuczną inteligencją za pomocą sztucznej inteligencji”.

Mowen wyjaśnił, że modelowanie zagrożeń AI ma kluczowe znaczenie dla ochrony tożsamości klientów i miliardów dolarów transakcji, które firma przeprowadza każdego roku. Podkreślił także, że „nawet najlepsze zabezpieczenie punktu końcowego nic nie znaczy, jeśli osoba atakująca po prostu kradnie dane uwierzytelniające użytkownika”.

Ta świadomość skłoniła firmę Rate do zintegrowania mechanizmów wykrywania anomalii w oparciu o tożsamość i reagowania na zagrożenia w czasie rzeczywistym. Firma przyjęła ramy i sposób myślenia zerowego zaufania, opierając każdą decyzję na uwierzytelnianiu i ciągłej weryfikacji.

Obecnie firma Rate stosuje zasadę „nigdy nie ufaj, zawsze weryfikuj” przy sprawdzaniu tożsamości, co stanowi podstawową koncepcję zerowego zaufania. Korzystając z modelowania zagrożeń AI, Rate może zdefiniować najmniej uprzywilejowany dostęp i monitorować każdą transakcję i przepływ pracy w czasie rzeczywistym, co stanowi dwa dodatkowe kamienie węgielne solidnej struktury zerowego zaufania.

Firma zdała sobie sprawę, jak ważne jest zajęcie się szybko skracającym się okresem wykrywania i reagowania – średni czas ucieczki przed przestępstwami elektronicznymi wynosi obecnie zaledwie 62 minutyAby sprostać temu wyzwaniu, organizacja przyjęła model SOC „1-10-60”: 1 minuta na wykrycie, 10 minut na selekcję i 60 minut na zapobieganie zagrożeniom.

Wnioski wyciągnięte z projektu RATE na temat budowania obrony opartej na modelowaniu zagrożeń AI

Aby skalować i zaradzić cyklicznej naturze branży kredytów hipotecznych – liczba pracowników może wzrosnąć z 6 000 do 15 000 w zależności od zapotrzebowania – firma Rate potrzebowała rozwiązania w zakresie cyberbezpieczeństwa, które mogłoby łatwo skalować licencjonowanie i integrować wiele warstw zabezpieczeń. Każdy dostawca rozwiązań do modelowania zagrożeń AI ma specjalne oferty cenowe umożliwiające łączenie modułów lub aplikacji w celu osiągnięcia tego celu. Rozwiązaniem, które najlepiej pasuje do firmy Rate, jest elastyczny model licencjonowania CrowdStrike, Falcon Flex, który umożliwił firmie Rate standaryzację na platformie Falcon.

Moven wyjaśnił, że Rate również stanął przed wyzwaniem polegającym na zabezpieczeniu każdego biura regionalnego i satelickiego przy minimalnym uprzywilejowanym dostępie, monitorowaniu tożsamości i względnych uprawnień oraz ustaleniu limitów czasowych dostępu do zasobów przy jednoczesnym ciągłym monitorowaniu każdej transakcji. Rate opiera się na modelowaniu zagrożeń AI w celu dokładnego zdefiniowania najmniej uprzywilejowanego dostępu, monitorowania każdej transakcji i przepływu pracy w czasie rzeczywistym, co stanowi dwa kamienie węgielne niezbędne do zbudowania skalowalnej struktury zerowego zaufania.

Oto szczegóły wniosków, jakie Rate wyciągnął z wykorzystania sztucznej inteligencji do udaremniania wyrafinowanych ataków na tożsamość:

Monitorowanie tożsamości i poświadczeń to kwestie krytyczne i to właśnie w tym przypadku zespoły ds. bezpieczeństwa potrzebują szybkich zwycięstw

Zespół ds. bezpieczeństwa informacji firmy Rate zaczął śledzić coraz większą liczbę złożonych, konkretnych ataków opartych na tożsamości, których celem są pracownicy pożyczkowi pracujący zdalnie. Mowen i jego zespół ocenili wiele platform, zanim wybrali rozwiązanie Falcon Identity Protection firmy CrowdStrike w oparciu o jego zdolność do identyfikowania często subtelnych ataków opartych na tożsamości. „Falcon Identity Protection zapewnia nam widoczność i kontrolę, których potrzebujemy, aby chronić przed tymi zagrożeniami” – powiedział Mowen.

Wykorzystanie sztucznej inteligencji w celu zmniejszenia stosunku szumu do sygnału w SoC i punkcie końcowym powinno być wysokim priorytetem

Mowen powiedział, że poprzedni dostawca Rate generował więcej hałasu niż alerty, które można było podjąć. „Teraz, jeśli otrzymamy stronę o 3 nad ranem, prawie zawsze jest to uzasadniona groźba” – powiedział. Ocenione na platformie Falcon firmy CrowdStrike. Kompletne zarządzane wykrywanie i reagowanie nowej generacji (MDR) oraz zintegrowane rozwiązania Falcon LogScale i Falcon nowej generacji do zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa i zdarzeniami (SIEM) w celu centralizacji i analizowania danych dziennika w czasie rzeczywistym. „Falcon LogScale obniżył nasz całkowity koszt posiadania w porównaniu do naszego starszego rozwiązania SIEM i jest znacznie łatwiejszy w integracji” – powiedział Mowen.

Zdefiniuj jasną, wymierną strategię i plan działania, aby zapewnić bezpieczeństwo w chmurze na dużą skalę

Ponieważ firma stale rośnie, zarówno organicznie, jak i poprzez przejęcia, firma Rate potrzebowała bezpieczeństwa w chmurze, które mogłoby się rozwijać, kurczyć i dostosowywać do warunków rynkowych. Wymagana była widoczność w czasie rzeczywistym i automatyczne wykrywanie błędnych konfiguracji w zasobach chmury. Szybkość wymaga również integracji w ramach zróżnicowanej bazy środowisk chmurowych, w tym widoczności w czasie rzeczywistym w całym stosie technologii bezpieczeństwa informacji. „Zarządzamy siłą roboczą, która może szybko rosnąć lub zmniejszać się” – powiedział Mowen.

Szukaj każdej okazji do konsolidacji narzędzi w celu poprawy kompleksowej widoczności

Mowen wyjaśnił, że aby modelowanie zagrożeń AI było skuteczne w identyfikowaniu ataków, wykrywanie i reagowanie na punktach końcowych (EDR), ochrona tożsamości, bezpieczeństwo w chmurze i dodatkowe moduły muszą znajdować się w ramach jednej konsoli. „Konsolidacja naszych narzędzi cyberbezpieczeństwa w jeden spójny system sprawia, że ​​wszystko, od zarządzania po reagowanie na incydenty, staje się bardziej wydajne” – powiedział. CISO i ich zespoły ds. bezpieczeństwa informacji potrzebują narzędzi zapewniających przejrzysty wgląd w wszystkie zasoby w czasie rzeczywistym za pośrednictwem jednego systemu monitorowania, zdolnego do automatycznego oznaczania błędnych konfiguracji, luk w zabezpieczeniach i nieautoryzowanego dostępu.

„Moim zdaniem Twoją powierzchnią ataku jest nie tylko infrastruktura – to także czas. Jak długo masz czas na udzielenie odpowiedzi?”, powiedział Mowen, podkreślając, że ważna jest dokładność, precyzja i szybkość.

Nowa definicja odporności: strategie zerowego zaufania skupione na tożsamości i obrony przed sztuczną inteligencją na rok 2025

Oto kilka kluczowych wniosków z wywiadu VentureBeat z Movember:

• Tożsamość jest oblężona i jeśli Twoja branża jeszcze tego nie dostrzega, w 2025 r.: Tożsamość jest uważana za słaby punkt wielu stosów technologii, a napastnicy stale ulepszają handel, aby go wykorzystać. Modelowanie zagrożeń AI może chronić dane uwierzytelniające poprzez ciągłe uwierzytelnianie i wykrywanie anomalii. Jest to niezbędne, aby chronić klientów, pracowników i partnerów przed coraz bardziej śmiercionośnymi atakami.

• walcz z AI przeciwko AI: Korzystanie z zabezpieczeń opartych na sztucznej inteligencji w celu zwalczania technik kontradyktoryjnych, w tym phishingu, deepfakes i oszustw syntetycznych, działa. Automatyzacja wykrywania i reagowania skraca czas potrzebny na identyfikację i pokonanie ataków.

• Zawsze traktuj priorytetowo odpowiedzi w czasie rzeczywistym: Podążaj za przykładem Movembera i przyjmij model SOC „1-10-60”. Szybkość jest ważna, ponieważ napastnicy ustanawiają nowe rekordy w oparciu o szybkość, z jaką mogą uzyskać dostęp do sieci korporacyjnych i zainstalować oprogramowanie ransomware, odkryć systemy zarządzania tożsamością i przekierowywać transakcje.

• Uczyń kluczem zero-trust bezpieczeństwo tożsamości, wymuszaj najmniej uprzywilejowany dostęp, przeprowadzaj ciągłą weryfikację tożsamości i monitoruj każde działanie, jakby miało już miejsce naruszenie: Każda organizacja musi zdefiniować własne, unikalne podejście do zerowego zaufania. Podstawowe koncepcje w dalszym ciągu sprawdzają się, szczególnie w branżach o dużym zasięgu, w tym w usługach finansowych i produkcji. Core to Zero Trust zakłada, że ​​naruszenie już miało miejsce, co sprawia, że ​​monitorowanie jest niezbędne w każdym środowisku zerowego zaufania.

• Jeśli to możliwe, zautomatyzuj przepływy pracy SOC, aby zmniejszyć zmęczenie alertami i zwolnić analityków na analizę włamań na poziomie drugim i trzecim: Jednym z kluczowych wniosków jest skuteczność monitorowania zagrożeń AI w połączeniu z ulepszeniami procesów w SOC. Zastanów się, w jaki sposób sztuczną inteligencję można wykorzystać do integracji sztucznej inteligencji i wiedzy ludzkiej w celu ciągłego monitorowania pojawiających się zagrożeń i zapobiegania im. Zawsze rozważaj, w jaki sposób projekt przepływu pracy typu „man-in-the-middle” poprawia dokładność sztucznej inteligencji, jednocześnie dając analitykom SOC możliwość uczenia się w pracy.