Γνωρίζει ο οργανισμός σας πόσο χρόνο χρειάζεται για να γίνει εκμετάλλευση μιας νεοανακαλυφθείσας ευπάθειας στο διαδίκτυο; Τα τρέχοντα δεδομένα υποδηλώνουν ότι το παράθυρο είναι πλέον περίπου τρεις ώρες. Αυτό το χρονοδιάγραμμα δεν είναι αποτέλεσμα μιας ξαφνικής ανόδου της ανθρώπινης ιδιοφυΐας μεταξύ των επιτιθέμενων. Είναι το αποτέλεσμα του αυτοματισμού. Συγκεκριμένα, είναι το αποτέλεσμα μιας νέας γενιάς μοντέλων τεχνητής νοημοσύνης που μετατρέπουν την αργή, χειροκίνητη διαδικασία αναζήτησης σφαλμάτων σε μια υπηρεσία υψηλής ταχύτητας ευρείας κατανάλωσης.
Πρόσφατα πέρασα ένα βράδυ εξετάζοντας τα σημεία αναφοράς απόδοσης (benchmarks) για το GLM 5.2, ένα μοντέλο ανοιχτών βαρών (open-weight) που κυκλοφόρησε από την κινεζική εταιρεία Zhipu AI. Αυτό δεν είναι απλώς άλλο ένα μεγάλο γλωσσικό μοντέλο. Σε συγκεκριμένες δοκιμές, ξεπέρασε κορυφαία μοντέλα όπως το GPT-5.5 και το Claude 4.8 Opus της Anthropic στον εντοπισμό ευπαθειών λογισμικού. Το πιο εντυπωσιακό στοιχείο είναι το κόστος. Το GLM 5.2 μπορεί να βρει μια ευπάθεια για περίπου 0,17 δολάρια. Όταν η τιμή ενός exploit πέφτει στο κόστος μιας χούφτας συνδετήρων, τα παραδοσιακά αμυντικά μαθηματικά καταρρέουν.
Οι ομάδες ασφαλείας συχνά λειτουργούν υπό την παραδοχή ότι βρίσκονται σε έναν δίκαιο αγώνα δρόμου ενάντια σε ανθρώπινους επιτιθέμενους. Αυτό είναι λάθος. Βρισκόμαστε πλέον σε έναν αγώνα δρόμου ενάντια σε εξαιρετικά βελτιστοποιημένες μηχανές συμπερασμάτων που δεν κοιμούνται, δεν απαιτούν μισθό και μπορούν να μεταφορτωθούν για να εκτελεστούν σε ιδιωτικό υλικό. Αυτή η μετατόπιση είναι ιδιαίτερα εμφανής στην πρόσφατη κυκλοφορία του Tulongfeng, ή "Dragon Saber", από την 360 Security Technology. Αυτό το εργαλείο φέρεται να έχει ήδη εντοπίσει πάνω από 3.400 ευπάθειες. Αυτές δεν είναι ακαδημαϊκές ασκήσεις. Αυτά είναι αξιοποιήσιμα σημεία εισόδου σε εταιρικές και κρίσιμες υποδομές.
Στο παρελθόν, τα exploits υψηλού επιπέδου ήταν προνόμιο κρατικών παραγόντων ή εξελιγμένων εγκληματικών συνδικάτων επειδή απαιτούσαν ακριβή ανθρώπινη εργασία. Η Margaret Cunningham από την Darktrace επισημαίνει ότι η αξιοπιστία σε ένα μοντέλο πρέπει να σταθμίζεται έναντι του κόστους και της ευκολίας ανάπτυξης. Τόσο οι επιτιθέμενοι όσο και οι αμυνόμενοι λαμβάνουν οικονομικές αποφάσεις. Εάν ένα μοντέλο είναι αρκετά καλό και δεν κοστίζει σχεδόν τίποτα για να τρέξει, γίνεται μια διάχυτη απειλή, ανεξάρτητα από το αν είναι το απόλυτα καλύτερο μοντέλο στην αγορά.
Από την άποψη του κινδύνου, αυτό αλλάζει το περιβάλλον απειλών από στοχευμένα χτυπήματα σε μια συνεχή, αυτοματοποιημένη καταιγίδα. Οι επιτιθέμενοι δεν χρειάζεται πλέον να επιλέγουν προσεκτικά τους στόχους τους. Μπορούν να στρέψουν ένα μοντέλο όπως το GLM 5.2 σε κάθε δημόσια διεύθυνση IP και να περιμένουν τα αποτελέσματα. Το κόστος για τον επιτιθέμενο είναι αμελητέο. Το κόστος για τον αμυνόμενο, όσον αφορά την απόκριση σε περιστατικά και τον μετριασμό της παραβίασης δεδομένων, παραμένει καταστροφικό. Αυτό είναι το αρχιτεκτονικό παράδοξο που αντιμετωπίζουμε σήμερα. Ένα αμυντικό σύστημα πολλών εκατομμυρίων δολαρίων μπορεί να παρακαμφθεί από ένα σενάριο (script) που χρησιμοποιεί μια σάρωση ευπαθειών αξίας δεκαεπτά σεντς.
Ένα σημαντικό πλεονέκτημα μοντέλων όπως το GLM 5.2 είναι η φύση τους ως ανοιχτά βάρη (open-weight). Σε αντίθεση με τα μοντέλα που βρίσκονται πίσω από ένα API cloud με έδρα τις ΗΠΑ, ένα μοντέλο ανοιχτών βαρών μπορεί να εγκατασταθεί σε τοπικούς διακομιστές. Αυτό είναι ένας κρίσιμος παράγοντας για οργανισμούς που διαχειρίζονται ευαίσθητα δεδομένα ή κρίσιμες υποδομές. Ο John Gallagher από τη Viakoo σημειώνει ότι για την επιχειρησιακή τεχνολογία (OT), η κυριαρχία των δεδομένων είναι πρωταρχικό μέλημα. Η αποστολή ιδιόκτητων χαρτών δικτύου ή πηγαίου κώδικα σε μια τεχνητή νοημοσύνη που βασίζεται στο cloud για ανάλυση είναι απαγορευτική για πολλές εταιρείες που δίνουν έμφαση στην ασφάλεια.
Εκ σχεδιασμού, αυτά τα κινεζικά μοντέλα επιτρέπουν στους αμυνόμενους να πραγματοποιούν τη δική τους ανακάλυψη ευπαθειών χωρίς να διαρρέουν δεδομένα σε τρίτους. Αυτό δημιουργεί μια σπάνια ευκαιρία για ισοτιμία. Ένας αμυνόμενος μπορεί να χρησιμοποιήσει το ίδιο μοντέλο που χρησιμοποιεί ένας επιτιθέμενος για να βρει μια τρύπα στο κύτος πριν το πλοίο φύγει από την αποβάθρα. Ωστόσο, αυτό λειτουργεί μόνο εάν ο οργανισμός έχει την ευελιξία να εφαρμόζει διορθώσεις (patches) τόσο γρήγορα όσο το μοντέλο βρίσκει τα σφάλματα. Οι περισσότεροι δεν την έχουν. Αυτό μας οδηγεί στο πρόβλημα του χρέους ασφαλείας (security debt).
Ο Chris Inglis, πρώην Εθνικός Διευθυντής Κυβερνοχώρου των ΗΠΑ, βλέπει το χρέος ασφαλείας σε τρεις διακριτές κατηγορίες. Η πρώτη αποτελείται από γνωστές ευπάθειες που έχουν υπάρχουσες διορθώσεις αλλά παραμένουν ανεκμετάλλευτες. Η δεύτερη κατηγορία περιλαμβάνει άγνωστες ευπάθειες που είναι εύκολα ανιχνεύσιμες από σύγχρονα εργαλεία. Η τρίτη κατηγορία είναι η σφαίρα των zero-day exploits και των πολύπλοκων αλυσίδων επιθέσεων.
Δεν χρειαζόμαστε μοντέλα αιχμής για να βρούμε σφάλματα στις δύο πρώτες κατηγορίες. Τα εμπορικά μοντέλα είναι ήδη ικανά να ξεπερνούν τις περισσότερες εταιρικές άμυνες. Αυτός είναι ο λόγος για τον οποίο η άνοδος των κινεζικών μοντέλων υψηλής απόδοσης είναι τόσο ανησυχητική. Διαπρέπουν στην εύρεση των "εύκολων στόχων" που αποτελούν την πλειονότητα του χρέους ασφαλείας. Όταν ένας οργανισμός αγνοεί ένα CVE τριών ετών, ουσιαστικά αφήνει την μπροστινή πόρτα ξεκλείδωτη σε μια γειτονιά όπου κάθε κλέφτης έχει ένα αντικλείδι.
Η κρυπτογράφηση λειτουργεί ως ένα αδιάρρηκτο ψηφιακό χρηματοκιβώτιο, αλλά είναι άχρηστη εάν ο επιτιθέμενος έχει τα κλειδιά. Ομοίως, μια ισχυρή περίμετρος είναι άχρηστη εάν μια τεχνητή νοημοσύνη βρει μια κακώς ρυθμισμένη υπηρεσία που παρακάμπτει το τείχος προστασίας (firewall). Η πραγματικότητα είναι ότι οι περισσότερες παραβιάσεις δεν συμβαίνουν λόγω ενός εξελιγμένου zero-day. Συμβαίνουν επειδή ένα μοντέλο βρήκε ένα βαρετό, προβλέψιμο σφάλμα σε ένα παλιό λογισμικό (legacy software) που δεν είχε ποτέ προτεραιότητα για διόρθωση.
Δεδομένα από τη Semgrep δείχνουν ότι το GLM 5.2 πέτυχε βαθμολογία F1 39% σε δοκιμές εύρεσης σφαλμάτων. Αυτό είναι ένα αξιοπρεπές μέτρο για ένα LLM. Ωστόσο, ένα μοντέλο είναι μόνο ένα μέρος ενός προγράμματος ασφαλείας. Η Cunningham τονίζει ότι η προέλευση ενός μοντέλου είναι συχνά λιγότερο σημαντική από τον τρόπο με τον οποίο μια ομάδα ασφαλείας το ενσωματώνει στις καθημερινές της λειτουργίες. Εάν ένα εργαλείο βρει 100 σφάλματα αλλά η ομάδα ασφαλείας έχει τη δυνατότητα να διορθώσει μόνο πέντε, το εργαλείο δεν έχει βελτιώσει πραγματικά την κατάσταση ασφαλείας. Απλώς αύξησε τον θόρυβο.
Προληπτικά μιλώντας, ο στόχος θα πρέπει να είναι η μείωση του χρόνου μεταξύ ανακάλυψης και αποκατάστασης. Πρέπει να απομακρυνθούμε από την ιδέα της περιμέτρου του δικτύου ως τάφρου κάστρου. Σε μια εποχή επιθέσεων που καθοδηγούνται από την τεχνητή νοημοσύνη, πρέπει να υιοθετήσουμε μια αρχιτεκτονική μηδενικής εμπιστοσύνης (zero trust). Σκεφτείτε το zero trust ως έναν πορτιέρη VIP κλαμπ σε κάθε εσωτερική πόρτα. Ακόμα κι αν ένας επιτιθέμενος χρησιμοποιήσει ένα σφάλμα που ανακαλύφθηκε από AI για να μπει μέσα στο κτίριο, θα πρέπει να βρει κάθε επόμενη πόρτα κλειδωμένη και να απαιτεί ξεχωριστά διαπιστευτήρια. Αυτό περιορίζει την εμβέλεια της ζημιάς από οποιοδήποτε μεμονωμένο exploit.
Για να γεφυρωθεί το χάσμα μεταξύ της τεχνικής πραγματικότητας και του επιχειρηματικού αντίκτυπου, οι οργανισμοί θα πρέπει να επικεντρωθούν στα ακόλουθα βήματα:
Πρόσφατα ανέλυσα ένα περιστατικό όπου μια μεσαίου μεγέθους εταιρεία χτυπήθηκε από ransomware. Το σημείο εισόδου ήταν ένας ξεχασμένος διακομιστής VPN που εκτελούσε λογισμικό από το 2019. Ο επιτιθέμενος χρησιμοποίησε ένα αυτοματοποιημένο εργαλείο για να βρει την ευπάθεια που δεν είχε διορθωθεί. Αυτή δεν ήταν μια εξελιγμένη επιχείρηση. Ήταν μια κοινή επίθεση. Εάν αυτή η εταιρεία είχε αφιερώσει έστω και λίγες ώρες τρέχοντας έναν βασικό σαρωτή βασισμένο σε LLM ενάντια στη δική της περίμετρο, θα είχε δει τις προειδοποιητικές ενδείξεις. Η ασφάλεια δεν αφορά πλέον το να είσαι τέλειος. Αφορά το να είσαι ταχύτερος από τα αυτοματοποιημένα εργαλεία που σαρώνουν το δίκτυό σου αυτή τη στιγμή.
Πηγές: NIST Cybersecurity Framework, MITRE ATT&CK, Semgrep LLM Security Report, Reuters Report on 360 Security Technology.
Αποποίηση ευθύνης: Αυτό το άρθρο προορίζεται μόνο για ενημερωτικούς και εκπαιδευτικούς σκοπούς και δεν αντικαθιστά έναν επαγγελματικό έλεγχο κυβερνοασφάλειας ή μια υπηρεσία απόκρισης σε περιστατικά.



Η από άκρη σε άκρη κρυπτογραφημένη λύση ηλεκτρονικού ταχυδρομείου και αποθήκευσης στο cloud παρέχει τα πιο ισχυρά μέσα ασφαλούς ανταλλαγής δεδομένων, εξασφαλίζοντας την ασφάλεια και το απόρρητο των δεδομένων σας.
/ Εγγραφείτε δωρεάν