۵۱ ثانیه تا نقض: چگونه مدیران ارشد امنیت اطلاعات (CISO) با حملات فیشینگ صوتی، جعل عمیق و مهندسی اجتماعی مبتنی بر هوش مصنوعی مقابله می‌کنند

نویسنده: لوئیس کلمبوس تاریخ انتشار: 2025-03-14 15:51:07 GMT منتشر شده در: VentureBeat

پنجاه و یک ثانیه. این تمام چیزی است که یک مهاجم برای نفوذ و حرکت جانبی در سراسر شبکه شما، بدون شناسایی، با استفاده از اعتبارنامه‌های دزدیده شده برای فرار از شناسایی، نیاز دارد.

آدام مایرز، معاون ارشد عملیات مقابله با دشمن در CrowdStrike، به VentureBeat توضیح داد که مهاجمان پس از ورود به سیستم، چقدر سریع می‌توانند امتیازات را افزایش داده و به صورت جانبی حرکت کنند. مایرز گفت: «مرحله بعدی معمولاً شامل نوعی حرکت جانبی است و این چیزی است که ما دوست داریم به عنوان زمان شکست محاسبه کنیم. به عبارت دیگر، از دسترسی اولیه، چقدر طول می‌کشد تا وارد سیستم دیگری شوند؟ سریع‌ترین زمان شکست که ما مشاهده کردیم ۵۱ ثانیه بود. بنابراین این دشمنان سریع‌تر می‌شوند و این چیزی است که کار مدافع را بسیار سخت‌تر می‌کند.»

هوش مصنوعی مسلح نیاز روزافزون به سرعت را می‌طلبد

امروزه هوش مصنوعی بدون شک سلاح انتخابی یک مهاجم است. ارزان، سریع و همه‌کاره است و به مهاجمان این امکان را می‌دهد که حملات فیشینگ صوتی (vishing) و کلاهبرداری‌های جعل عمیق (deepfake) ایجاد کنند و حملات مهندسی اجتماعی را در کسری از زمانی که فناوری‌های قبلی می‌توانستند انجام دهند، راه‌اندازی کنند.

فیشینگ صوتی تا حد زیادی از کنترل خارج شده است که دلیل اصلی آن این است که مهاجمان با استفاده از هوش مصنوعی، مهارت‌های خود را بهبود می‌بخشند. CrowdStrike در گزارش تهدید جهانی ۲۰۲۵ خود دریافت که فیشینگ صوتی در سال ۲۰۲۴ با ۴۴۲ درصد افزایش یافته است. این روش اصلی دسترسی اولیه است که مهاجمان از آن برای دستکاری قربانیان برای افشای اطلاعات حساس، بازنشانی اعتبارنامه‌ها و اعطای دسترسی از راه دور از طریق تلفن استفاده می‌کنند.

مایرز گفت: «ما در سال ۲۰۲۴ شاهد افزایش ۴۴۲ درصدی فیشینگ مبتنی بر صدا بودیم. این مهندسی اجتماعی است و این نشان دهنده این واقعیت است که دشمنان در حال یافتن راه‌های جدیدی برای به دست آوردن دسترسی هستند زیرا... ما تا حدودی در این دنیای جدید هستیم که در آن دشمنان باید کمی سخت‌تر یا متفاوت‌تر کار کنند تا از ابزارهای امنیتی مدرن نقطه پایانی جلوگیری کنند.»

فیشینگ نیز همچنان یک تهدید است. مایرز گفت: «ما دیده‌ایم که ایمیل‌های فیشینگ زمانی که محتوای تولید شده توسط هوش مصنوعی باشد، نرخ کلیک بالاتری دارند، ۵۴٪ نرخ کلیک، در مقابل ۱۲٪ زمانی که یک انسان پشت آن است.»

شبکه چینی Green Cicada از یک تولید کننده محتوای مبتنی بر هوش مصنوعی برای ایجاد و اجرای بیش از ۵۰۰۰ حساب جعلی در رسانه‌های اجتماعی برای انتشار اطلاعات نادرست انتخاباتی استفاده کرده است. گروه متخاصم FAMOUS CHOLLIMA کره شمالی از هوش مصنوعی مولد برای ایجاد پروفایل‌های جعلی لینکدین از نامزدهای شغلی فناوری اطلاعات با هدف نفوذ به شرکت‌های هوافضا، دفاعی، نرم‌افزاری و فناوری جهانی به عنوان کارمندان از راه دور استفاده می‌کند.

مدیران ارشد اطلاعات و مدیران ارشد امنیت اطلاعات در حال یافتن راه‌های جدیدی برای مقابله هستند

نشانه مطمئنی از اینکه مهارت‌های هوش مصنوعی مهاجمان به سرعت در حال بلوغ است، میزان موفقیت آنها در حملات مبتنی بر هویت است. حملات هویتی در حال پیشی گرفتن از بدافزارها به عنوان روش اصلی نقض هستند. هفتاد و نه درصد از حملات برای به دست آوردن دسترسی اولیه در سال ۲۰۲۴ بدون بدافزار بودند و در عوض به اعتبارنامه‌های دزدیده شده، فیشینگ مبتنی بر هوش مصنوعی و کلاهبرداری‌های جعل عمیق متکی بودند. یک نفر از هر سه نفر، یا ۳۵٪، از نفوذهای ابری از اعتبارنامه‌های معتبر در سال گذشته استفاده کردند.

مایرز توضیح می‌دهد: «دشمنان متوجه شده‌اند که یکی از سریع‌ترین راه‌ها برای به دست آوردن دسترسی به یک محیط، دزدیدن اعتبارنامه‌های قانونی یا استفاده از مهندسی اجتماعی است. وارد کردن بدافزار به یک شرکت مدرن که ابزارهای امنیتی مدرن روی آن دارد، مانند تلاش برای وارد کردن یک بطری آب به فرودگاه است - TSA احتمالاً شما را دستگیر خواهد کرد.»

الکس فیلیپس، مدیر ارشد اطلاعات National Oilwell Varco (NOV)، در مصاحبه اخیر به VentureBeat گفت: «ما در توانایی خود برای لغو نشانه‌های جلسه هویت قانونی در سمت منبع شکافی پیدا کردیم. ما اکنون یک شرکت نوپا داریم که به ما کمک می‌کند راه‌حل‌هایی برای رایج‌ترین منابع خود ایجاد کنیم که در آن نیاز به لغو سریع دسترسی داریم. فقط بازنشانی رمز عبور یا غیرفعال کردن یک حساب کافی نیست. شما باید نشانه‌های جلسه را لغو کنید.»

NOV با استفاده از انواع مختلفی از تکنیک‌ها با حملات مقابله می‌کند. فیلیپس موارد زیر را برای خاموش کردن حملات فزاینده مبتنی بر هوش مصنوعی که بر فریب از طریق فیشینگ صوتی، اعتبارنامه‌ها و هویت‌های دزدیده شده متکی هستند، ضروری دانست:

  • «اعتماد صفر فقط مفید نیست. اجباری است. این به ما یک دروازه اجباری اجرای سیاست امنیتی می‌دهد که نشانه‌های جلسه دزدیده شده را بی‌فایده می‌کند.» فیلیپس توصیه می‌کند: «سرقت نشانه جلسه هویت چیزی است که در برخی از حملات پیشرفته‌تر استفاده می‌شود.» با افزایش این نوع حملات، NOV در حال تشدید سیاست‌های هویتی، اجرای دسترسی مشروط و یافتن راه‌های سریع برای لغو نشانه‌های معتبر در صورت دزدیده شدن است.
  • توصیه فیلیپس به همتایان خود که به دنبال خاموش کردن حملات فوق‌العاده سریع مبتنی بر هویت هستند، تمرکز بر حذف نقاط ضعف است. فیلیپس توصیه می‌کند: «حتماً وظایف را از هم جدا کنید. اطمینان حاصل کنید که هیچ فرد یا حساب سرویس نمی‌تواند رمز عبور، دسترسی چند عاملی را بازنشانی کند و دسترسی مشروط را دور بزند. فرآیندهای از قبل آزمایش شده برای لغو نشانه‌های جلسه هویت معتبر داشته باشید.»
  • وقت خود را برای بازنشانی رمز عبور تلف نکنید. فوراً نشانه‌های جلسه را لغو کنید. فیلیپس به VentureBeat گفت: «بازنشانی رمز عبور دیگر کافی نیست - شما باید فوراً نشانه‌های جلسه را لغو کنید تا از حرکت جانبی جلوگیری کنید.»

سه استراتژی اصلی برای متوقف کردن نقض‌های فوق‌العاده سریع

شکست‌های ۵۱ ثانیه‌ای نشانه‌ای از یک ضعف بسیار بزرگ‌تر و شدیدتر در مدیریت هویت و دسترسی (IAM) در سازمان‌ها است. هسته اصلی این خرابی در امنیت IAM این است که فرض کنیم اعتماد برای محافظت از کسب و کار شما کافی است (اینطور نیست). احراز هویت هر هویت، جلسه و درخواست برای منابع کافی است. فرض کنید شرکت شما نقض شده است، نقطه شروع است.

در زیر سه درس در مورد خاموش کردن نقض‌های فوق‌العاده سریع آمده است که فیلیپس به اشتراک گذاشته و تحقیقات CrowdStrike آن را تأیید کرده است که نشان می‌دهد این حملات هنجار جدید هوش مصنوعی مسلح هستند:

حملات را ابتدا در لایه احراز هویت قطع کنید، قبل از اینکه نقض گسترش یابد. اعتبارنامه‌ها و نشانه‌های جلسه دزدیده شده را تا جایی که می‌توانید سریع‌تر بی‌فایده کنید. این باید با شناسایی نحوه کوتاه کردن طول عمر توکن و اجرای لغو بی‌درنگ برای متوقف کردن مهاجمان در حین حرکت آغاز شود.

    • اگر قبلاً آن را ندارید، شروع به تعریف یک چارچوب و برنامه محکم برای اعتماد صفر کنید - چارچوبی متناسب با کسب و کار شما. در مورد چارچوب اعتماد صفر در استاندارد NIST، سندی که به طور گسترده در بین تیم‌های برنامه‌ریزی امنیت سایبری به آن استناد می‌شود، بیشتر بخوانید.
    • با کنترل‌های احراز هویت دقیق‌تر، تأیید هویت IAM را برای تأیید اینکه موجودی که تماس می‌گیرد همان کسی است که می‌گوید، دو برابر کنید. فیلیپس برای تأیید هویت کسانی که برای اعتبارنامه‌ها، بازنشانی رمز عبور یا دسترسی از راه دور تماس می‌گیرند، به چندین شکل احراز هویت متکی است. او گفت: «ما به شدت تعداد افرادی را که می‌توانند رمز عبور یا بازنشانی چند عاملی را انجام دهند، کاهش دادیم. هیچ فردی نباید بتواند این کنترل‌ها را دور بزند.»

    از شناسایی تهدید مبتنی بر هوش مصنوعی برای شناسایی حملات در زمان واقعی استفاده کنید. هوش مصنوعی و یادگیری ماشینی (ML) در شناسایی ناهنجاری در مجموعه داده‌های بزرگ که در طول زمان نیز روی آنها آموزش می‌بینند، برتری دارند. شناسایی یک نقض احتمالی یا تلاش برای نفوذ و مهار آن در زمان واقعی هدف است. با بهبود مجموعه‌های داده حمله که روی آنها آموزش داده می‌شوند، تکنیک‌های هوش مصنوعی و ML همچنان بهبود می‌یابند.

      • شرکت‌ها نتایج قوی‌ای از SIEM مجهز به هوش مصنوعی و تجزیه و تحلیل هویت می‌بینند که بلافاصله تلاش‌های ورود مشکوک را شناسایی می‌کند و تفکیک را برای یک نقطه پایانی یا نقطه ورود معین اعمال می‌کند.
      • NOV از هوش مصنوعی برای تشخیص سوء استفاده از هویت و تهدیدات مبتنی بر اعتبارنامه در زمان واقعی استفاده می‌کند. فیلیپس به VentureBeat گفت که «ما اکنون هوش مصنوعی داریم که تمام گزارش‌های SIEM ما را بررسی می‌کند و حوادث یا [احتمال بالای] حوادث را شناسایی می‌کند. نه ۱۰۰% زمان واقعی، اما زمان تأخیر کوتاه.»

      امنیت نقطه پایانی، ابری و هویت را برای متوقف کردن حرکت جانبی متحد کنید. هسته اصلی اعتماد صفر تعریف تفکیک در سطح نقطه پایانی و شبکه به منظور مهار یک نقض در مرزهای بخش‌ها است. هدف ایمن نگه داشتن سیستم‌ها و زیرساخت‌های سازمانی است. با متحد کردن آنها، حملات فوق‌العاده سریع مهار می‌شوند و به صورت جانبی در سراسر شبکه گسترش نمی‌یابند.

        • تله‌متری هویت، ابر و نقطه پایانی را مرتبط کنید و از داده‌های ترکیبی برای شناسایی و افشای نفوذها، نقض‌ها و تهدیدهای نوظهور استفاده کنید.
        • دشمنان از آسیب‌پذیری‌ها برای به دست آوردن دسترسی اولیه سوء استفاده می‌کنند. پنجاه و دو درصد از آسیب‌پذیری‌های مشاهده شده به دسترسی اولیه مرتبط بودند که نیاز به ایمن‌سازی سیستم‌های در معرض خطر قبل از ایجاد یک جای پا توسط مهاجمان را تقویت می‌کند. این یافته نیاز به قفل کردن SaaS و صفحات کنترل ابری برای جلوگیری از دسترسی غیرمجاز و حرکت جانبی را برجسته می‌کند.
        • از تشخیص بدافزار به پیشگیری از سوء استفاده از اعتبارنامه تغییر دهید. این باید با ممیزی تمام حساب‌های دسترسی ابری، حذف آنهایی که دیگر مورد نیاز نیستند، آغاز شود.

        استفاده از هوش مصنوعی برای مسدود کردن حملات پرسرعت

        برای پیروزی در جنگ هوش مصنوعی، مهاجمان در حال مسلح کردن هوش مصنوعی برای راه‌اندازی حملات فوق‌العاده سریع هستند و در عین حال در حال ایجاد فیشینگ صوتی، جعل عمیق و کمپین‌های مهندسی اجتماعی برای دزدیدن هویت‌ها هستند. روش‌های فیلیپس برای متوقف کردن آنها، از جمله استفاده از تشخیص مبتنی بر هوش مصنوعی و لغو فوری نشانه‌ها برای از بین بردن جلسات دزدیده شده قبل از گسترش، مؤثر هستند.

        در مرکز استراتژی‌های فیلیپس و بسیاری دیگر از رهبران امنیت سایبری و فناوری اطلاعات، نیاز به اعتماد صفر وجود دارد. VentureBeat بارها و بارها شاهد این است که رهبران امنیتی که در مبارزه با حملات با سرعت ماشین موفق می‌شوند، کسانی هستند که از حداقل دسترسی ممتاز، تفکیک شبکه و نقطه پایانی، نظارت بر هر تراکنش و درخواست برای منابع و تأیید مداوم هویت‌ها حمایت می‌کنند.

        https://venturebeat.com/security/51-seconds-to-breach-how-cisos-are-fighting-back-against-lightning-fast-attacks/