خواندن ۴ دقیقه·۲ روز پیش

نقش عوامل مختلف دفاعی در زمانه ظهور فناوری‌های حمله مبتنی بر هوش مصنوعی

یک نگاه انتقادی به امنیت سایبری در عصر مهاجمان تقویت‌شده با AI

سال‌ها صنعت امنیت سایبری بر این فرض بنا شده بود که اگر ابزارهای دفاعی بیشتری خریداری کنیم، امنیت بیشتری خواهیم داشت. فایروال‌ها، EDRها، SIEMها، IDSها، WAFها و ده‌ها محصول دیگر به سازمان‌ها فروخته شدند؛ اما ظهور فناوری‌های حمله مبتنی بر هوش مصنوعی یک سؤال جدی ایجاد کرده است: آیا مدل فعلی دفاع سایبری هنوز کار می‌کند؟

واقعیت این است که AI الزاماً حملات جدیدی خلق نکرده؛ بلکه اقتصاد حمله را تغییر داده است. امروز مهاجم می‌تواند سریع‌تر کدنویسی کند، سریع‌تر شناسایی کند، سریع‌تر اصلاح کند و سریع‌تر مقیاس بگیرد. این تغییر سرعت، مهم‌ترین مسئله عصر جدید است.

افسانه ابزار دفاعی به‌عنوان ناجی

یکی از بزرگ‌ترین مشکلات امنیت مدرن، وابستگی بیش از حد به محصولات امنیتی است. بسیاری از سازمان‌ها تصور می‌کنند خرید EDR یا XDR به معنی حل مسئله کشف تهدید است. اما واقعیت بسیار پیچیده‌تر است.

ابزارها تنها Sensor هستند؛ آنچه اهمیت دارد، نحوه استفاده از داده‌های آن‌هاست.

اگر سازمانی هزاران Endpoint مجهز به EDR داشته باشد اما:

* Detection Engineering نداشته باشد

* Use Case مناسب نداشته باشد

* Incident Response بالغ نداشته باشد

* Threat Hunting نداشته باشد

در عمل فقط حجم عظیمی از Telemetry تولید کرده است.

هوش مصنوعی این ضعف را آشکارتر کرده است؛ زیرا مهاجم اکنون می‌تواند سریع‌تر از گذشته رفتار خود را تغییر دهد.

آیا EDR دیگر ارزش دارد؟

پاسخ کوتاه: بله.

پاسخ دقیق‌تر: بله، اما نه به شکلی که قبلاً فکر می‌کردیم.

EDR هنوز دید ارزشمندی از:

* Process Creation

* Memory Behavior

* Command Line

* Registry Changes

* User Context

* Process Tree

فراهم می‌کند.

اما مشکل اینجاست که بسیاری از حملات مدرن دیگر صرفاً Malware محور نیستند.

Living off the Land، سوءاستفاده از ابزارهای قانونی، حملات Identity محور، Abuse سرویس‌های Cloud و حملات Fileless باعث شده‌اند که داشتن Visibility دیگر معادل داشتن Detection نباشد.

بنابراین EDR نمرده است؛ بلکه از قهرمان اصلی به یکی از اجزای اکوسیستم دفاعی تبدیل شده است.

هاردنینگ؛ قهرمان فراموش‌شده

در سال‌های اخیر صنعت امنیت بیشتر بر Detection تمرکز کرده تا Prevention.

اما ظهور AI یک سؤال سخت مطرح می‌کند:

اگر مهاجم بتواند هزاران Variant جدید بسازد، آیا منطقی نیست ابتدا سطح حمله را کوچک کنیم؟

سازمانی که:

* Local Admin Everywhere دارد

* PowerShell نامحدود دارد

* Segmentation ضعیف دارد

* Credential Hygiene ضعیف دارد

عملاً EDR را مجبور می‌کند هر روز بجنگد.

هاردنینگ جذاب نیست و داشبورد رنگی ندارد ودموی بازاریابی ندارد.

اما هنوز یکی از مؤثرترین روش‌های کاهش ریسک است.

مقوله Detection Engineeng مهم‌تر از Detection Product شده است

در گذشته بسیاری از سازمان‌ها به دنبال Signatureهای بیشتر بودند.امروز سؤال باید عوض شود.

به جای:

«چگونه Mimikatz را کشف کنیم؟»

باید پرسید:

چگونه Credential Access Behavior را کشف کنیم؟

به جای:

چگونه ransomware.exe را پیدا کنیم؟

باید پرسید:

«چگونه رفتار Encryption + Discovery + Privilege Escalation را پیدا کنیم؟»

AI باعث شده Detection Engineering از یک فعالیت جانبی به یک قابلیت حیاتی تبدیل شود.

مشکل واقعی: بحران سرعت

بزرگ‌ترین مزیت AI برای مهاجم، کیفیت نیست؛ سرعت است.

قبلاً:

Recon > Development > Test > Fix

ممکن بود هفته‌ها طول بکشد.

امروز:

Recon > AI Prompt > Generate > Revise > Deploy

ممکن است ساعت‌ها طول بکشد.

این تغییر باعث شده:

MTTD اهمیت بیشتری پیدا کند.

MTTR اهمیت بیشتری پیدا کند.

Automation اهمیت بیشتری پیدا کند.

سازمانی که Incident Response آن چند روز طول بکشد، حتی با بهترین ابزارها نیز آسیب‌پذیر خواهد بود.

Threat Hunting؛ لوکس یا ضرورت؟

سال‌ها Threat Hunting در بسیاری از سازمان‌ها به عنوان فعالیتی لوکس دیده می‌شد.

اما اگر مهاجم بتواند سریع‌تر Variant تولید کند و Signatureها را دور بزند، Hunting دیگر انتخاب نیست.

مشکل اینجاست:

بسیاری از Huntingها هنوز:

* IOC محور هستند

* Rule محور هستند

* Dashboard محور هستند

در حالی که مهاجم AI محور، رفتارش سریع‌تر از Ruleها تغییر می‌کند.

بنابراین Hunting باید:

* Hypothesis Driven شود

* Behavior Centric شود

* Data Driven شود

نقش Identity در دفاع مدرن

بسیاری از سازمان‌ها هنوز Endpoint-centric فکر می‌کنند.

در حالی که مهاجمان مدت‌هاست Identity-centric شده‌اند.

وقتی:

* Credential Theft

* Session Hijacking

* OAuth Abuse

* Token Theft

رشد می‌کند، تمرکز صرف بر Endpoint اشتباه است.

هویت به تدریج به مرکز دفاع تبدیل می‌شود.

آیا XDR پاسخ نهایی است؟

بسیاری XDR را پاسخ مشکلات EDR معرفی می‌کنند.اما باید محتاط بود.

XDR اگر صرفاً«جمع کردن Telemetry بیشتر»

باشد، مشکل حل نمی‌شود.

مسئله اصلی همچنان:

* Correlation

* Context

* Prioritization

* Response

است.

XDR بدون Detection Maturity می‌تواند فقط نسخه گران‌تر EDR باشد.

نقش انسان؛ حذف یا تغییر؟

بحث رایج این است که AI جای تحلیلگران امنیت را می‌گیرد.

اما احتمالاً سؤال درست این است:

آیا تحلیلگری که از AI استفاده نکند حذف می‌شود؟

به نظر می‌رسد مدل آینده چیزی شبیه این باشد:

Human + Automation + Agents

نه Human Alone

نه AI Alone

سازمان‌هایی که این ترکیب را نسازند، احتمالاً با افزایش سرعت حملات دچار مشکل خواهند شد.

جمع‌بندی

هوش مصنوعی باعث نشده ابزارهای دفاعی بی‌ارزش شوند؛ بلکه ضعف‌های آن‌ها را آشکارتر کرده است.

EDR هنوز لازم است.

SIEM هنوز لازم است.

Threat Hunting هنوز لازم است.

اما هیچ‌کدام به‌تنهایی کافی نیستند.

دفاع مدرن دیگر مسابقه خرید ابزار نیست.

مسابقه ساختن اکوسیستم دفاعی است.

شاید مهم‌ترین سؤال امروز این نباشد که:

«چه ابزاری بخریم؟»

بلکه این باشد:

«چقدر سریع می‌توانیم ببینیم، بفهمیم و واکنش نشان دهیم؟»

هوش مصنوعی

روزبه نوروزی

شاید از این پست‌ها خوشتان بیاید

روزبه نوروزی

خواندن ۴ دقیقه·۲ روز پیش

نقش عوامل مختلف دفاعی در زمانه ظهور فناوری‌های حمله مبتنی بر هوش مصنوعی

یک نگاه انتقادی به امنیت سایبری در عصر مهاجمان تقویت‌شده با AI

افسانه ابزار دفاعی به‌عنوان ناجی

ابزارها تنها Sensor هستند؛ آنچه اهمیت دارد، نحوه استفاده از داده‌های آن‌هاست.

اگر سازمانی هزاران Endpoint مجهز به EDR داشته باشد اما:

* Detection Engineering نداشته باشد

* Use Case مناسب نداشته باشد

* Incident Response بالغ نداشته باشد

* Threat Hunting نداشته باشد

در عمل فقط حجم عظیمی از Telemetry تولید کرده است.

هوش مصنوعی این ضعف را آشکارتر کرده است؛ زیرا مهاجم اکنون می‌تواند سریع‌تر از گذشته رفتار خود را تغییر دهد.

آیا EDR دیگر ارزش دارد؟

پاسخ کوتاه: بله.

پاسخ دقیق‌تر: بله، اما نه به شکلی که قبلاً فکر می‌کردیم.

EDR هنوز دید ارزشمندی از:

* Process Creation

* Memory Behavior

* Command Line

* Registry Changes

* User Context

* Process Tree

فراهم می‌کند.

اما مشکل اینجاست که بسیاری از حملات مدرن دیگر صرفاً Malware محور نیستند.

بنابراین EDR نمرده است؛ بلکه از قهرمان اصلی به یکی از اجزای اکوسیستم دفاعی تبدیل شده است.

هاردنینگ؛ قهرمان فراموش‌شده

در سال‌های اخیر صنعت امنیت بیشتر بر Detection تمرکز کرده تا Prevention.

اما ظهور AI یک سؤال سخت مطرح می‌کند:

اگر مهاجم بتواند هزاران Variant جدید بسازد، آیا منطقی نیست ابتدا سطح حمله را کوچک کنیم؟

سازمانی که:

* Local Admin Everywhere دارد

* PowerShell نامحدود دارد

* Segmentation ضعیف دارد

* Credential Hygiene ضعیف دارد

عملاً EDR را مجبور می‌کند هر روز بجنگد.

هاردنینگ جذاب نیست و داشبورد رنگی ندارد ودموی بازاریابی ندارد.

اما هنوز یکی از مؤثرترین روش‌های کاهش ریسک است.

مقوله Detection Engineeng مهم‌تر از Detection Product شده است

در گذشته بسیاری از سازمان‌ها به دنبال Signatureهای بیشتر بودند.امروز سؤال باید عوض شود.

به جای:

«چگونه Mimikatz را کشف کنیم؟»

باید پرسید:

چگونه Credential Access Behavior را کشف کنیم؟

به جای:

چگونه ransomware.exe را پیدا کنیم؟

باید پرسید:

«چگونه رفتار Encryption + Discovery + Privilege Escalation را پیدا کنیم؟»

AI باعث شده Detection Engineering از یک فعالیت جانبی به یک قابلیت حیاتی تبدیل شود.

مشکل واقعی: بحران سرعت

بزرگ‌ترین مزیت AI برای مهاجم، کیفیت نیست؛ سرعت است.

قبلاً:

Recon > Development > Test > Fix

ممکن بود هفته‌ها طول بکشد.

امروز:

Recon > AI Prompt > Generate > Revise > Deploy

ممکن است ساعت‌ها طول بکشد.

این تغییر باعث شده:

MTTD اهمیت بیشتری پیدا کند.

MTTR اهمیت بیشتری پیدا کند.

Automation اهمیت بیشتری پیدا کند.

سازمانی که Incident Response آن چند روز طول بکشد، حتی با بهترین ابزارها نیز آسیب‌پذیر خواهد بود.

Threat Hunting؛ لوکس یا ضرورت؟

سال‌ها Threat Hunting در بسیاری از سازمان‌ها به عنوان فعالیتی لوکس دیده می‌شد.

اما اگر مهاجم بتواند سریع‌تر Variant تولید کند و Signatureها را دور بزند، Hunting دیگر انتخاب نیست.

مشکل اینجاست:

بسیاری از Huntingها هنوز:

* IOC محور هستند

* Rule محور هستند

* Dashboard محور هستند

در حالی که مهاجم AI محور، رفتارش سریع‌تر از Ruleها تغییر می‌کند.

بنابراین Hunting باید:

* Hypothesis Driven شود

* Behavior Centric شود

* Data Driven شود

نقش Identity در دفاع مدرن

بسیاری از سازمان‌ها هنوز Endpoint-centric فکر می‌کنند.

در حالی که مهاجمان مدت‌هاست Identity-centric شده‌اند.

وقتی:

* Credential Theft

* Session Hijacking

* OAuth Abuse

* Token Theft

رشد می‌کند، تمرکز صرف بر Endpoint اشتباه است.

هویت به تدریج به مرکز دفاع تبدیل می‌شود.

آیا XDR پاسخ نهایی است؟

بسیاری XDR را پاسخ مشکلات EDR معرفی می‌کنند.اما باید محتاط بود.

XDR اگر صرفاً«جمع کردن Telemetry بیشتر»

باشد، مشکل حل نمی‌شود.

مسئله اصلی همچنان:

* Correlation

* Context

* Prioritization

* Response

است.

XDR بدون Detection Maturity می‌تواند فقط نسخه گران‌تر EDR باشد.

نقش انسان؛ حذف یا تغییر؟

بحث رایج این است که AI جای تحلیلگران امنیت را می‌گیرد.

اما احتمالاً سؤال درست این است:

آیا تحلیلگری که از AI استفاده نکند حذف می‌شود؟

به نظر می‌رسد مدل آینده چیزی شبیه این باشد:

Human + Automation + Agents

نه Human Alone

نه AI Alone

سازمان‌هایی که این ترکیب را نسازند، احتمالاً با افزایش سرعت حملات دچار مشکل خواهند شد.

جمع‌بندی

هوش مصنوعی باعث نشده ابزارهای دفاعی بی‌ارزش شوند؛ بلکه ضعف‌های آن‌ها را آشکارتر کرده است.

EDR هنوز لازم است.

SIEM هنوز لازم است.

Threat Hunting هنوز لازم است.

اما هیچ‌کدام به‌تنهایی کافی نیستند.

دفاع مدرن دیگر مسابقه خرید ابزار نیست.

مسابقه ساختن اکوسیستم دفاعی است.

شاید مهم‌ترین سؤال امروز این نباشد که:

«چه ابزاری بخریم؟»

بلکه این باشد:

«چقدر سریع می‌توانیم ببینیم، بفهمیم و واکنش نشان دهیم؟»

هوش مصنوعی

روزبه نوروزی

شاید از این پست‌ها خوشتان بیاید