Cybersäkerhetsbranschen kan precis ha haft sitt "ChatGPT-ögonblick". Anthropics nya plattform, som presenterades i början av april, Claude Mythos Förhandsvisningsmodell har tydligen hittat tusentals höggradigt allvarliga nolldagsbrister i öppen källkod och proprietär programvara – vissa som går tillbaka över 20 år. Genom att göra det lovar det att minska exploateringsfönstret under vilket nätverksförsvarare kämpar för att uppdatera före sina motståndare. Anthropics beslut att använda modellen i Projekt Glasvinge – där leverantörer kommer att använda tekniken för att hitta och åtgärda nya sårbarheter – kommer att orsaka ännu mer störningar.
Det är svårt att nog överskatta vilken inverkan detta kommer att ha på säkerhetsteam. Men en sak har de på sin sida. Historien har nått ut till styrelserummet. Detta kan vara ett gyllene tillfälle att säkra finansiering och resurser för en ny era av AI-driven sårbarhetshantering.
Vad innebär detta för CISO:er?
Även om Mythos framgångsrikt hålls borta från hackare, kommer andra modeller från andra leverantörer inte att göra det. Det finns stora konsekvenser för CISO:er:
- På kort sikt kommer team sannolikt att översvämmas med nödpatchar från leverantörer som är anmälda till Project Glasswing.
- Statliga aktörer kan komma att försöka använda eventuella lagrade nolldagsexploater relativt snart, innan AI-driven upptäckt gör dem värdelösa.
- På längre sikt kan IT-chefer förvänta sig att Mythos-liknande funktioner kommer i händerna på cyberbrottslingar och statliga aktörer. Detta kommer att "dramatiskt öka" antalet och frekvensen av komplexa, nya attacker, enligt en ny rapport. branschrapport.
Hur bra är Mythos?
Enligt rapporten – som tagits fram av Cloud Security Alliance (CSA), OWASP, SANS och andra – representerar Mythos en ”stegförändring” inom AI-driven upptäckt och utnyttjande av sårbarheter. Den hävdar att modeller av detta slag skiljer sig åt eftersom de är:
- Mer autonom och tillförlitlig, utvecklar exploits autonomt utan behov av "scaffolding" – den externa kod och skyddsräcken som LLM:er ofta behöver för att fungera
- Förmåga att identifiera komplexa, kedjade sårbarheter
- Kan göra allt med en enda prompt
Men efter att ha testat Mythos, Storbritanniens AI-säkerhetsinstitut (AISI) har några viktiga förbehåll. En ny rapport avslöjade att Mythos Preview, på "expertnivå", lyckas i 73 % av fallen med "capture-the-flag"-uppgifter. Verkliga cyberattacker är dock mycket mer komplexa. Det är därför AISI byggde "The Last Ones" (TLO): en 32-stegs simulering av företagsnätverksattacker som sträcker sig från initial rekognoscering till fullständig nätverksövertagande. Det skulle ta en människa cirka 20 timmar att slutföra. Mythos var den första modellen som löste TLO från början till slut, tre gånger av tio. Mer inferensberäkning kan uppnå ännu bättre prestanda, sa AISI.
Ännu viktigare är att institutet sa att detta bara bevisar att Mythos är kapabelt att "autonomt attackera små, svagt skyddade och sårbara företagssystem där åtkomst till ett nätverk har erhållits". I den verkliga världen borde saker och ting vara mycket svårare tack vare närvaron av "aktiva försvarare och defensiva verktyg".
Förberedelser inför en postmytisk era
Under tiden rekommenderade AISI säkerhetsteamen att fokusera på grunderna: ”regelbunden tillämpning av säkerhetsuppdateringar, robusta åtkomstkontroller, säkerhetskonfiguration och omfattande loggning.” De pekade också på defensiv användning av gränsen AI för saker som:
- Systemhärdning, via kontinuerlig skanning, upptäckt av brister och felkonfigurationer, kartläggning av attackvägar och testning av utnyttjandemöjligheter
- Förbättra hotdetektering och -utredning genom prioritering, upptäcka mönster i loggar och skriva rapportsammanfattningar
- Automatisera responsåtgärder som att blockera trafik, sätta processer i karantän och återkalla användaråtkomst
Bridewells tekniska chef, Martin Riley, tillägger att CISO:er bör börja med kontinuerlig hantering av hotbilder (CTEM) så snart som möjligt.
”Inventering av tillgångar, prioritering av attackytor, kontrollvalidering och mobilisering för att åtgärda. Om du inte har kontinuerlig insyn i din exponering flyger du i blindo”, säger han till IO (tidigare ISMS.online). ”För det andra, stresstesta din detektion mot hot du aldrig sett tidigare. Investera i anomalibaserad detektion och djup nätverkstelemetri. Signaturbaserade metoder kommer inte att upptäcka AI-genererade attackkedjor.”
IT-chefer måste också förbereda sina team för en period av "varaktig operativ intensitet", varnar Riley.
”CSA-dokumentet lyfte med rätta fram utbrändhet som en operativ risk. ITSO:er behöver planera kapacitet, begära personalstyrka och påskynda användningen av AI-agenter inom sina egna team för att hålla jämna steg”, menar han. ”Slutligen, stärk grunderna. Segmentering, utgående filtrering, phishing-resistent MFA och djupgående försvar. Dessa kontroller ökar kostnaden för utnyttjande oavsett hur sårbarheten upptäcktes. Mognad är inte något man bygger över en natt. Det är dags att investera nu.”
Befintliga ramverk som grund
Jeff Williams, grundare av OWASP och teknisk chef för Contrast Security, menar att befintliga standarder och ramverk för bästa praxis som ISO 27001 och NIST CSF kan spela en roll i övergången till en post-Mythos-värld.
”Befintliga ramverk kan hjälpa till här, men främst som en lista över konceptuella önskade resultat. De kräver styrning, synlighet, kontroll, detektering, respons och kontinuerlig förbättring”, säger han till IO. ”Men i en post-Mythos-värld där både utvecklare och angripare hyperaccelereras med AI, måste nästan varje aktivitet som dessa ramverk innebär omformas för att driva dessa resultat med AI-förbättrade arbetsflöden.”
Det handlar inte om att göra samma arbete snabbare, utan snarare om att omvandla ”periodisk, manuell, obligatorisk säkerhet” till något som är ”mer kontinuerligt, mer maskinläsbart och mer försvarbart”, fortsätter han.
”CTEM, AI-assisterad detektion, runtime-säkerhet och kontinuerlig observation är hur man omvandlar dessa ramverksidéer till ett verkligt garantifall för att säkerheten faktiskt är korrekt och effektiv inom både utveckling och drift”, menar Williams.
Pukar Hamal, grundare och VD för SecurityPal AI, ser också en roll för ISO 27001, NIST CSF, SOC 2 och till och med Cyber Essentials. ”De är fortfarande bra utgångspunkter eftersom de tvingar fram den grundläggande disciplin som de flesta organisationer fortfarande inte har: en inventering av vad man äger, en uppfattning om vem som kan röra det och ett dokumenterat sätt att reagera när något går sönder”, säger han till IO. ”Inget av det försvinner i en post-Mythos-värld.”
CISO:er kommer dock att behöva bygga sin säkerhetsstrategi efter Mythos kring kontinuerlig garanti, inte periodisk attestering.
”De smartaste säkerhetsledarna jag pratar med använder redan ISO 27001 som golvnivå och bygger i tysthet själva det andra lagret”, avslutar han.
Utöka din kunskap
Podcast: Nätfiske för problem Avsnitt #08: Säker programvara, säkrare företag
Guide: Säkra AI-attackytan
Blogg: Varför tillsynsmyndigheter och investerare förväntar sig att företag ska hantera en trippelrisk
