Эксперт по безопасности Крис Кребс о TikTok, искусственном интеллекте и ключе к выживанию (часть 2)

Это первая часть серии, состоящей из двух частей. Прочтите первую часть здесь.

Недавно компания VentureBeat встретилась (виртуально) с Крисом Кребсом, который ранее был первым директором Агентства кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США (DHS), а с недавних пор — директором по государственной политике в SentinelOne. Он был одним из основателей Krebs Stamos Group, приобретенной SentinelOne. Кребс также является сопредседателем рабочей группы по кибербезопасности США при Институте Аспена.

Во второй части виртуального интервью VentureBeat Кребс подчеркивает необходимость улучшения организациями кибер- и физической безопасности своей инфраструктуры. Он также делится своим мнением о том, почему растет число атак на цепочки поставок, уделяя особое внимание здравоохранению и производству. Кребс также объясняет, как генеративный ИИ должен укреплять и улучшать безопасность, ориентированную на человека, чтобы оказать влияние.

Ниже приводится вторая половина интервью VentureBeat с Крисом Кребсом:

VentureBeat: Как бы вы рассмотрели стратегии национальной безопасности, связанные с кибер- и физической безопасностью, с акцентом на инфраструктуру? в Ежегодная оценка угроз разведывательного сообщества США в 2024 году В только что опубликованном докладе упоминается, что Россия особенно хороша в атаках на инфраструктуру.

Кребс: У нас есть ряд клиентов, с которыми мы работаем в сфере производства систем управления, а также в секторах жесткого производства, и поэтому я помогаю им продумать, как выглядит текущая картина угроз.

Но я думаю, что мы, вероятно, делаем немного больше, чем другие, — это оглядываемся назад, как вы упомянули, на Россию, поэтому мы поговорим о Sandworm и ГРУ, группе военной разведки. Они были очень, очень эффективны за последние несколько лет. Именно они в 2015, 2016 годах обрушили украинскую сеть. Об этом рассказывает Энди Гринберг в своей книге «Песчаный червь». А затем они сделали еще несколько вещей, NotPetya, а затем кое-что произошло на Ближнем Востоке, а затем даже недавно они продемонстрировали некоторые действительно интересные возможности на мероприятиях Hitachi Micro SCADA.

И то, что я продолжаю видеть, — это действительно интересная ступенька расширения возможностей и сложности. Итак, особенно в случае с последним, жить за счет земли в системах управления SCADA действительно продвинуто. И я такой: какой сейчас год? Это как 2023, 2024 год. Где они были в 2015, 2016 году? Как мы думаем, где они будут в 2027 году? И именно об этом я заставляю задуматься многих членов моей команды. Основываясь на этой сюжетной линии, как мы думаем, куда они пойдут? Какова здесь сфера возможного? Давайте начнем работать с нашими клиентами и заказчиками, чтобы начать закрывать как можно больше поверхностей атак и целые классы потенциальных уязвимостей. И я думаю, что это приведет вас к другому мышлению. Когда SentinelOne недавно представила наш новый бренд на открытии продаж, я был просто вне себя от нашего девиза: «Защита завтрашнего дня». Потому что, когда я работал в CISA, нашим девизом было: «Защитить сегодня, обеспечить безопасность завтра».

И вся концепция здесь в этом взгляде; вы можете обсуждать ту чушь, которую мы видим каждый день, прямо сейчас, в течение всего дня. Ты всегда будешь бороться с этим. Но если вы не посвятите хотя бы часть своего дня, недели размышлениям о том, куда собираются плохие парни и где вы хотите быть через два года, и начнете планировать и реализовывать эту стратегию, вы всегда буду бороться с сегодняшними вещами.

VentureBeat: Как обстоят дела с китайской целевой инфраструктурой?

Кребс: Также интересно, что китайцы произвели такой сдвиг в своей стратегии ориентации на инфраструктуру. Более десяти лет речь шла о краже интеллектуальной собственности и коммерческом шпионаже, почти до такой степени, что шутка заключалась в том, что они ушли, потому что украли все. Больше нечего воровать. Но очевидно, что это совсем другое. И это гораздо более серьезная ситуация, поскольку их предварительное размещение в критической инфраструктуре США также связано с их военными планами. А президент Си заявил своему военному руководству, что он хочет иметь не обязательно решение, но возможность вторгнуться и захватить Тайвань к 2027 году.

Частично это, очевидно, будет связано с получением позиций в критической инфраструктуре в зоне действия ИНДОПАКОМ. Но что больше всего беспокоит в некоторых сообщениях о «Вольт-Тайфуне» и других сообщениях, так это то, что они были обнаружены здесь, в критической инфраструктуре США, в местах, которые не имеют прямой связи с военной поддержкой. Итак, это не логистика, не оборонно-промышленная база, не армия США. Это гражданская критическая инфраструктура.

И это доходит до причины. И почему это почти элемент TikTok, да? Есть часть безопасности данных, а есть часть операции влияния. И это лишь дальнейшее проявление более широкой стратегии, которая не всегда связана с технической атакой. Речь идет о психологических проявлениях физического нападения. И россиянам это удается вполне хорошо.

И китайцы начинают перенимать эту стратегию. И нам снова нужно немного больше заботиться о завтрашнем дне, думать о том, куда идут плохие парни, выходить из наших очень технических, ориентированных только на кибертехнологии мыслей о технологиях и о том, каковы риски. Честно говоря, риски, связанные с воздействием киберфизических систем на человека и атаками на киберфизические системы, вероятно, намного, намного выше.

Каждый руководитель сейчас должен думать: «Хорошо, как мои системы могли стать целью вторжения китайцев на Тайвань? Как я мог вляпаться в это? Как я мог, честно говоря, прямо сейчас оказаться втянутым в срыв выборов в США в 2024 году?» Речь идет не только о системах голосования. «Есть ли что-то еще, чем я владею, чем управляю, на что можно нацелиться и что может оказать какое-то влияние?» И это, опять же, требует совершенно иного уровня мышления, чем повседневное, и выводит многих людей из зоны комфорта.

Но отличным примером здесь является компания Change Healthcare, которая, я думаю, полностью оценила роль, которую они играют в системе здравоохранения и содействуют этому переходу между плательщиками и практикующими врачами. Вам действительно нужно выйти и сказать: «Хорошо, если бы меня нацелили и нокаутировали, каковы были бы реальные общие последствия?» И я думаю, что мы слишком спим за рулем, думая о следующем квартале и о том, как мы выступаем.

В.Б.: Согласны ли вы с оценкой, что злоумышленники ищут слабые цепочки поставок, где, скажем, жизнь висит на волоске от здравоохранения, чтобы понять, что они могут потребовать непомерно большие выкупы?

Итак, особенно в сфере здравоохранения, я думаю, что вполне разумно думать об этом таким образом, что на эти организации оказывается большое давление, связанное с необходимостью платить.

Я думаю, более вероятно, что благодаря достаточному количеству повторений и нападок они обнаружили, что здравоохранение действительно уязвимо: много устаревших технологий, мало инвестиций, и что организация платит, когда находится под принуждением, из-за жизни и смерти. Вы можете начать смотреть на организации, которые имеют схожий профиль: огромные поместья, множество устаревших систем, возможно, плохое управление идентификацией и гигиеной, а также плохое управление уязвимостями. И каковы тогда последствия атаки и отключения от сети?

И мы видим это также в производстве. В отчете Сторожевой башни за 2023 год говорится, что производство на самом деле было атаковано больше, чем здравоохранение. Но то же самое и с производством: простои на заводе или в цеху оказывают реальное влияние на прибыль. Итак, я думаю, что это своего рода тенденция, которую я буду продолжать наблюдать. На самом деле речь идет о том, когда вы их запираете, а бизнес отключен; вот где плохие парни пользуются владельцами бизнеса и операторами.

Что касается программ-вымогателей, защита улучшается. Улучшается обнаружение, смягчение последствий и восстановление. Рубрик и другие внесли некоторые нововведения в область восстановления. Я советник Рубрика, поэтому просто отмечу это. Но существуют неизменяемые резервные копии, а не просто ленты или другие резервные копии, которые могут быть скомпрометированы. Итак, я думаю, мы видим, что, возможно, верхняя часть суммы выплат увеличилась, но я думаю, что количество выплат пропорционально, вероятно, уменьшается при шифровании.

Выплаты, вероятно, связаны с вымогательством данных отчасти из-за ужесточения нормативных требований, а также просто из-за репутации, данных клиентов и тому подобного. И это то, о чем я бы действительно посоветовал политикам, подобным тем, кто работает в Белом доме, подумать об этом, когда вы действительно хотите провести рыночное вмешательство. Вы думаете о запрете платежей; посмотрите, о каких выплатах здесь идет речь. Мы говорим о запрете платежей по шифрованию и дешифрованию? Мы говорим о запретах на оплату вымогательства и удаления данных? И в игре задействованы просто разные факторы и стимулы, а также разные доступные средства защиты и вещи, которыми могут заниматься правоохранительные органы, военные и кибер-командование.

В.Б.: А как насчет генеративного искусственного интеллекта в контексте обеспечения большего человеческого понимания? Вы упомянули о том, что вы не слишком увлечены технологиями, а больше сосредоточены на человеческом факторе. Какую вы видите роль искусственного интеллекта в обеспечении большей безопасности, ориентированной на человека?

Кребс: Ген ИИ в целом, я думаю, переоценен. И это не только я. Я имею в виду, что сейчас поступает множество отчетов, и отделы продаж говорят: «Эй, давайте здесь снизим ожидания. Мы не совсем те, кем мы думали стать». И затем, если вы посмотрите, особенно с кибер-перспективы, враждебное использование искусственного интеллекта еще не сочетается с некоторыми ужасными историями. Я имею в виду, что в отчете OpenAI Microsoft, опубликованном пару недель назад, говорилось о трех основных видах использования искусственного интеллекта злоумышленниками прямо сейчас: социальная инженерия и написание более качественных фишинговых писем. Второе – исследование целей и личного состава. И третье — это просто автоматизация базовых задач. И чего нам ожидать в будущем? Разработка вредоносного ПО, но до этого еще далеко. Интеллектуальные имплантаты, которые находятся еще дальше. Я имею в виду, что сейчас я считаю, что защита опережает нападение. На самом деле мы неплохо справляемся с использованием ИИ поколения, по крайней мере, для хороших парней; у нас есть собственная технология в SentinelOne с искусственным интеллектом Purple и поиском угроз. Это должно стать общедоступным через несколько недель.

Я думаю, что (ИИ) значительно упрощает задачу. Таким образом, вам не обязательно знать, как написать правило YARA для поиска угроз. Вы можете задать вопрос на естественном языке, например: «Эй, найдите мне какие-нибудь доказательства того, что у меня может быть компромисс с песчаными червями», как будто это невероятно доступно. А потом, когда трансформер говорит: «Эй, вот еще два или три похожих вопроса, которые вы, возможно, захотите попросить меня поискать». И в конечном итоге все это будет автоматизировано. Так что, по моему мнению, это действительно преимущество для хороших парней, потому что оно устраняет некоторые сложности и действительно технические барьеры и делает его намного, намного более доступным для всех.