TokyoBlackHatNews

cyberscoop.com 4分で読了

Mythosは脆弱性を見つけることができます。しかし、それについて何をすべきかを教えることはできません。

Mythosは重要です。AIの支援を受けた脆弱性発見における大きな進歩です。しかし、これはサイバーセキュリティが一夜にして変わったことを意味するものではありませんし、企業が突然インターネット規模で完全に自動化された悪用に直面しているわけでもありません。

これはAIの攻撃側が改善を続けていることを意味しており、防御側は今すぐにキャッチアップする必要があります。

Mythosはより長期的なトレンドにおける最新のステップです。今後数年間、同じパターンが繰り返されることが予想されます。段階的な進歩、その後の飛躍。段階的な進歩、その後の飛躍。各サイクルでモデルはより有能でより安価になり、各飛躍は人間の速度で動作しているセキュリティチームにさらなる圧力をかけるでしょう。

MythosはAIが前例のない深さでソフトウェア脆弱性を見つけることができることを実証しました。これは実質的な進歩であり、真摯に受け止める必要があります。しかし、AIが企業の侵害を突然安く、簡単に、または自動的にしたわけではありません。Anthropic自身の例でさえ、重大な脆弱性を発見するコストは多額でした。1つの例では、OpenBSDの重大な問題を特定するのに約20,000ドルのトークンコストがかかったとされています。 

Mythosは人を金に置き換えることで、脆弱性発見をスケールさせるために安くしました。しかし、脆弱性を見つけることは運用現実の一部に過ぎません。

攻撃者は依然として、その脆弱性が特定の企業で悪用可能かどうかを判断し、実行可能な攻撃経路を特定し、必要なアクセスを取得し、実環境で悪用を成功させる必要があります。モデルがソフトウェアバグを見つけたからといって、これらのどれもが簡単になったわけではありません。

また、防御側では、Mythosはまだはるかに難しい企業の問題を解決していません。この脆弱性が実際に自分の環境で悪用可能かどうかをどうして知ることができるのか、そしてビジネスを破壊することなく、それを修復する最も効率的な方法は何ですか?

企業の実際の問題は発見ではありません。優先順位付けと行動です。セキュリティリーダーは脆弱性が存在するだけで苦労しているわけではありません。彼らは、何が重要であり、何が悪用可能であり、何が待つことができ、何を安全に修復できるかを決定する運用コストが莫大であるため、苦労しています。

大規模な企業が、広く使用されているソフトウェアで重大な脆弱性が見つかったことを知った場合、次のステップは魔法ではありません。ソフトウェアがどこで実行されているのか、どのバージョンであるのか、現実的な攻撃経路があるのかなど、多くのことに焦点を当てた運用上の質問の苦痛なチェーンです。

Mythosは実企業内でそれらの質問に答えるための防御コストをほぼ変わらないままにしています。正しい教訓は準備です。

市場がAIでよく犯す間違いの1つは、すべての新しい能力があらゆることが変わる瞬間であると仮定することです。正しい動きは、今日有用で時間とともに改善される位置にある防御的なAIシステムで始めることです。ほとんどの企業にとって、それはアラート調査、脅威ハンティング、脆弱性管理の改善を支援するAI製品を探すことを意味し、完全な監査機能を提供し、企業データに接続し、組織的なコンテキストを提供する理由があり、モデルの風景が成熟するにつれて進化します。

目標は、より多くの作業を安全に自動化できる将来のための運用基盤を今構築することです。

今日、防御側は人間が関与したままで、マシンがスケールを支援するシステムが必要です。時間の経過とともに、その関与は変わります。アナリストは自分で繰り返し作業を行うことに費やす時間を減らし、自動化された作業がどのように行われるかをオーケストレーション、確認、改善することにより多くの時間を費やします。

最終的に、一度に1つのアクションではなく、いくつかのワークフローを一括でレビューする必要があります。応答がマシンスピードで動くと、人間はすべての個別の修復アクションを承認しないかもしれません。代わりに、パターンのコントロールセンタービューが必要になります。システムが今日何をしたのか、何が機能したのか、何が機能しなかったのか、そして明日何を調整すべきかです。

それは「アナリストを置き換える」という単純な考えとは大きく異なる未来です。

実際の未来は、人間がすべてのタスクを手動で行うことから、システムを監督し、ポリシーを形成し、パターンを確認し、ますます能力が高い代理人がどのように動作するかを制御することに移行する未来です。

Mythosは警告です。空が落ちてきているわけではないからではなく、攻撃側がどこに向かっているかを示しているからです。防御側は相応に緊急に動く必要があります。

Alex ThamanはAndesiteのチーフテクノロジーオフィサーです。20年以上のキャリアの中で、AlexはMicrosoft、Unity Software、Scale AIのエンジニアリングリーダーでした。

翻訳元: https://cyberscoop.com/anthropic-mythos-vulnerability-discovery-op-ed/

ソース: cyberscoop.com
#AI #AI脅威 #Anthropic #Mythos #サイバー防御 #セキュリティチーム #セキュリティ運用 #脆弱性検出 #脆弱性管理 #自動化

関連記事

スコットランド人男性、Scattered Spiderの悪名を生み出した一連の攻撃で有罪を認める

議員らが病院ランサムウェア攻撃への「テロ指定」と殺人罪を検討

GoogleのAntygravity AIエージェントマネージャーの脆弱性がサンドボックスをエスケープし、攻撃者にリモートコード実行を許可する可能性