最近発表されたAnthropicのAIモデルであるMythosについて話し合う必要があります。このモデルの強力な技術がサイバー攻撃を強化する能力について業界が動揺しています。Cloud Security Allianceが対話を始めました。
AIと脆弱性検出の融合は、従来のルールが消滅し予測が不可能になる特異点に向かって何年も進んでいます。その地点はAnthropicのClaude Mythosとともに到来します。
Mythosの力は脆弱性検出と脆弱性悪用の間の時間を排除します。以前は別個だった2つのイベントは、現在事実上同時に発生しており、1つの単一イベントに折りたたまれています。
Project Glasswing:一時的な窓
現在のところ、AnthropicはそのProject Glasswing内に制限されたMythosを一般的な使用から遠ざけています。その意図は、主要なソフトウェアプロバイダーがMythosを使用して独自の脆弱性を見つけ、顧客のためにそれらを修正する時間を与えることです。また、防御者に不可避なMythos由来の攻撃の大混乱に対抗するために防御を再編成する時間を与えます。
この「偽りの戦争」は永遠には続かず、すべての脆弱性がProject Glasswingで修正されるわけではありません。遅かれ早かれ、Mythosは複数の敵対者の手に渡るでしょう:国家行為体、犯罪集団、ハクティビスト、および楽しみのために問題を引き起こす非行青年です。これは来たるべき嵐です。異なる動機を持つ、より多くの悪い行為者からの、これまで見たことのないペースでの、より多くの重複する攻撃です。
確実に知っていることは、現在のサイバーセキュリティ防御では対処できず、圧倒されるということだけです。CISOはProject Glasswingが提供する短い休息を利用して、できるだけよく準備する必要があります。
セキュリティチームがこの将来に備えるのを支援するために、Cloud Security Allianceは『AI脆弱性の嵐』:『Mythos対応』セキュリティプログラムの構築を開発して公開しました。このレポートは解決策を提供しませんが、読者が何が来るのか、そして準備のために何をしなければならないのかを理解するのに役立つでしょう。
Mythosはサイバーセキュリティの本質を根本的には変わりません。それは主に攻撃のペースにおける段階的な変化をもたらし、最大の単一の変化は攻撃者への非対称的な優位性が劇的に増加することです。サイバーセキュリティ自体は変わりません。ただ、新しい凶暴なペースに対処する必要があります。ベストプラクティスは根本的には同じままですが、その重要性はより重要になります。
「基本に焦点を当て、環境をさらに堅牢化する」とCSAレポートの著者は述べています。「セグメンテーション、出口フィルタリング、多要素認証、および多層・幅広い防御はすべて攻撃者の難易度を増します。」そこには新しいものは何もありませんが、多くの企業はそれを適切に実行していません。急速にそれを効果的に実行し始める必要があります。
パッチの問題
これはおそらくリソースの再調整が必要になります。セキュリティの基本は変わりませんが、詳細は変わります。パッチ処理は極めて重要になります。より多くのパッチが存在し、防御者はパッチが実装される前の猶予期間を仮定することはできなくなります。しかし、パッチの頻度における従来の制限は残るため、これは大きな問題になります。
サイバーセキュリティスタッフはMythosの巻き添え被害になります。既存のスタッフレベルは増加するワークロードに対して苦戦します。「リーダーはこの移行の人的コストについて冷徹に見る必要があります」とレポートは警告しています。「セキュリティチームはジレンマに陥っています。AIは同時に、彼らが対応しなければならない脆弱性の量、彼らの組織が出荷しているコードの量、および攻撃面を加速させ拡大しています。」
AIでAIと戦う
結果は、セキュリティチームの疲弊と離職の増加になるでしょう。主要な解決策は、圧力を軽減するために人員を増やすことです。しかし、経済的な理由とボードの抵抗が問題になるかもしれません。より小さな問題ですが、それでも必要なのは、防御内でのAIと自動化のより強力な使用です。火に火で対抗する必要があります。これはセキュリティチームの圧力を軽減しますが、同時にMythosが発見する可能性のある新しい脆弱性で攻撃面をさらに増加させます。
「攻撃者に先立って脆弱性を見つけるためにLLM駆動エージェントを使用することを含む、開発プロセスで自動セキュリティ評価を一貫して実施する」とレポートは提案しています。「防御者が攻撃者のスピードに合わせてギャップを閉じ始めるのを可能にするために、サイバー労働力全体にAIエージェントを導入する。」
異なる動機を持つ多くの攻撃者からの非常に多くの攻撃の新たな可能性があることは、「バックアップ」機能や要件に関する言及がないことは、おそらく驚くべきことです。レポートがこれに最も近いのは、「脆弱性解決による運用ダウンタイムに対するリスク許容度を再評価して、より短い敵対者のタイムラインを考慮する」という提案です。
しかし、金銭的に動機づけられた攻撃の増加を予想する場合、ワイパーを含む直接的に損傷を与える攻撃の使用の増加も予想すべきであり、防御者は将来、組織が大規模なデータ破壊にどう対処するかを評価すべきです。
同時AI駆動攻撃への準備
レポートが助言していることは、「同じ週内に発生する複数の同時の重大度の高いインシデントに関するテーブルトップ演習を実施する。高レベルの重大インシデント向けのプレイブックを用意する。可能な限り修復機能を自動化する方法を検討する。セグメンテーション、出口フィルタリング、ゼロトラストアーキテクチャ、フィッシング耐性MFA、およびシークレットローテーションなどの軽減制御を検証および有効にして、悪用後の影響を制限する。サプライチェーンは影響を受けるでしょう。」
適応する必要があるのは、サイバーセキュリティの周辺における新しいペースです。これは複雑で混乱しています。なぜなら、これがどの程度または何らかの方法で必要かについて、誰もが完全に理解していないからです。CSAレポートは、何を期待するか、どう反応するかについての幅広い概要を提供する、開始するのに良い場所です。これはサイバーセキュリティへの変更ではなく、必要なリソースの再調整と再強調です。
窓は閉じています
これが早く行われるほど、私たちはより安全になります。これは単なるMythosへの応答ではなく、サイバーセキュリティの新しいバリエーションの始まりです。今後の数ヶ月間で、他のAI開発者からの、より多く、そしてさらに強力なMythosのようなモデルがあるでしょう。
「年末までに、Mythosレベルの機能は任意の攻撃者の手に渡るでしょう」と電気自動車メーカーRivianのCISO、Mike Johnsonは述べた。「すべてのCISOに言いたいことは、本気で取り組む時が来ました。予期せず閉じるチャンスのウィンドウがあるので、開始を待たないでください。」
