Únase a nuestros boletines diarios y semanales para obtener las últimas actualizaciones y contenido exclusivo sobre la cobertura de IA líder de la industria. Obtenga más información
Cincuenta y un segundos. Eso es todo lo que se necesita para que un atacante viole y se mueva lateralmente a través de su pink, sin ser detectada, utilizando credenciales robadas para evadir la detección.
Adam Meyers, vicepresidente senior de operaciones contrarias al adversario en Crowdstrikeexplicó a VentureBeat cuán rápido los intrusos pueden aumentar los privilegios y moverse lateralmente una vez que penetran en un sistema. “[T]La próxima fase generalmente implica alguna forma de movimiento lateral, y esto es lo que nos gusta calcular como tiempo de ruptura. En otras palabras, desde el acceso inicial, ¿cuánto tiempo lleva hasta que ingresan a otro sistema? El tiempo de ruptura más rápido que observamos fue de 51 segundos. Entonces, estos adversarios se están volviendo más rápido, y esto es algo que hace que el trabajo del defensor sea mucho más difícil “, dijo Meyers.
AI armada exigiendo una necesidad cada vez mayor de velocidad
La IA es de lejos el arma preferida de un atacante hoy. Es barato, rápido y versátil, lo que permite a los atacantes crear estafas de crías (phishing de voz) y lanzar ataques de ingeniería social en una fracción del tiempo que las tecnologías anteriores podrían.
Vishing está fuera de management debido en gran parte a los atacantes que se vuelven ajustados a su tradicción con IA. Crowdstrike Informe de amenaza international 2025 descubrió que Vishing explotó por 442% en 2024. Es el método de acceso inicial superior que los atacantes usan para manipular a las víctimas para revelar información confidencial, restablecer las credenciales y otorgar acceso remoto por teléfono.
“Vimos un aumento del 442% en el phishing basado en la voz en 2024. Esta es la ingeniería social, y esto es indicativo del hecho de que los adversarios están encontrando nuevas formas de obtener acceso porque … estamos en este nuevo mundo donde los adversarios tienen que trabajar un poco más duro o de manera diferente para evitar las herramientas de seguridad modernas de los puntos finales”, dijo Meyers.
Phishing también sigue siendo una amenaza. Meyers dijo: “Hemos visto que con los correos electrónicos de phishing, tienen una tasa de clics más alta cuando es contenido generado por IA, una tasa de clics del 54%, en comparación con el 12% cuando un humano está detrás de él”.
La pink china de cicada verde ha utilizado un generador de contenido impulsado por la IA para crear y ejecutar más de 5,000 cuentas falsas en las redes sociales para difundir la desinformación de las elecciones. El famoso grupo adversario Chollima de Corea del Norte está utilizando una IA generativa para crear perfiles falsos de LinkedIn de candidatos de trabajo de TI con el objetivo de infiltrarse en las empresas globales aeroespaciales, de defensa, software program y tecnología como empleados remotos.
CIO, CISO están encontrando nuevas formas de defenderse
Un signo de AI de la artesanía de IA de los atacantes seguros está madurando rápidamente es cuán exitosos son con los ataques basados en la identidad. Los ataques de identidad están superando el malware como el método de violación principal. El setenta y nueve por ciento de los ataques para obtener acceso inicial en 2024 estaban libres de malware, confiando en su lugar en credenciales robadas, phishing impulsado por IA y estafas de defake profundos. Uno de cada tres, o 35%, de intrusiones en la nube aprovechó credenciales válidas el año pasado.
“Los adversarios han descubierto que una de las formas más rápidas de obtener acceso a un entorno es robar credenciales legítimas o usar la ingeniería social. Traer malware a la empresa moderna que tiene herramientas de seguridad modernas es como tratar de traer una botella de agua al aeropuerto: TSA probablemente lo atrapará ”, explica Meyers.
“Encontramos una brecha en nuestra capacidad para revocar los tokens legítimos de la sesión de identidad en el lado de los recursos”, dijo Alex Philips, CIO de Nationwide Oilwell Varco (nov), a VentureBeat en una entrevista reciente. “Ahora tenemos una empresa de inicio que nos está ayudando a crear soluciones para nuestros recursos más comunes donde necesitaríamos revocar rápidamente el acceso. No es suficiente restablecer una contraseña o deshabilitar una cuenta. Tienes que revocar los tokens de sesión “.
Nov está luchando contra los ataques utilizando una amplia variedad de técnicas. Philips compartió lo siguiente como esencial para cerrar ataques cada vez más impulsados por la IA que dependen del engaño a través de credenciales e identidades robadas y robadas:
- “Zero Belief no solo es útil; Es obligatorio. Nos da una puerta de enlace de aplicación de la política de seguridad forzada que hace que los tokens de sesión robados sean inútiles “, aconseja a Philips. “El robo de token de la sesión de identidad es lo que se usa en algunos de los ataques más avanzados”. Con este tipo de ataques aumentando, Nov está endureciendo las políticas de identidad, aplicando el acceso condicional y encontrando formas rápidas de revocar tokens válidos cuando son robados.
- El consejo de Philips para sus compañeros que buscan cerrar ataques de identidad extremely rápido se centra en eliminar puntos individuales de fracaso. “Asegúrese de tener una separación de deberes; Asegúrese de que ninguna persona o cuenta de servicio pueda restablecer una contraseña, acceso multifactor y el acceso condicional de omitir. Ya han probado procesos para revocar tokens de sesión de identidad válidos ”, recomienda Philips.
- No pierdas el tiempo restableciendo las contraseñas; Revocar inmediatamente las tokens de sesión. “Restablecer una contraseña ya no es suficiente: debe revocar los tokens de sesión al instante para detener el movimiento lateral”, dijo Philips a VentureBeat.
Tres estrategias centrales para detener las violaciones de rayo
Los brotes de 51 segundos son un síntoma de una debilidad de gestión de identidad y acceso mucho más grande y severa (IAM) en las organizaciones. El núcleo de este desglose en IAM Safety supone que la confianza es suficiente para proteger su negocio (no lo es). Autenticar cada identidad, sesión y solicitud de recursos es. Asumiendo su empresa tiene Been Beated es el lugar para comenzar.
Lo que sigue son tres lecciones sobre el cierre de violaciones de rayo, compartidas por Philips y validadas por la investigación de CrowdStrike que muestra que estos ataques son la nueva normalidad de la IA armada:
Corte los ataques en la capa de autenticación primero, antes de que se propague la violación. Haga que las credenciales robadas y los tokens de sesión sean inútiles lo más rápido que pueda. Eso debe comenzar a identificar cómo acortar vidas de token e implementar la revocación en tiempo actual para detener a los atacantes a mitad del movimiento.
- Si aún no tiene uno, comience a definir un marco sólido y planifique cero confianza, un marco adaptado a su negocio. Lea más sobre el Marco de confianza cero en el estándar NISTun documento ampliamente referenciado entre los equipos de planificación de ciberseguridad.
- Duplique las técnicas de verificación de IAM con controles de autenticación más rigurosos para verificar que una entidad que llama es quiénes son. Philips se basa en múltiples formas de autenticación para verificar las identidades de las personas que llaman para credenciales, restos de contraseña o acceso remoto. “Redujimos drásticamente quién puede realizar contraseña o restablecimiento de múltiples factores. Ninguna persona debería poder evitar estos controles ”, dijo.
Use la detección de amenazas impulsada por la IA para detectar ataques en tiempo actual. La IA y el aprendizaje automático (ML) se destacan en la detección de anomalías en grandes conjuntos de datos en los que también entrenan con el tiempo. Identificar un posible intento de violación o intrusión y contenerlo en tiempo actual es el objetivo. Las técnicas de IA y ML continúan mejorando a medida que los conjuntos de datos de ataque están entrenados en mejoras.
- Las empresas están viendo resultados sólidos de SIEM e Identification Analytics con alimentación de IA que identifican inmediatamente los intentos de inicio de sesión sospechosos, aplicando la segmentación para un punto last o punto de entrada dado.
- Nov está aprovechando la IA para detectar el mal uso de la identidad y las amenazas basadas en credenciales en tiempo actual. Philips le dijo a VentureBeat que “ahora tenemos AI examinando todos nuestros registros de SIEM e identificando incidentes o [the] Alta probabilidad de incidentes. No es 100% en tiempo actual, sino tiempo corto “.
Unificar la seguridad del punto last, la nube y la identidad para detener el movimiento lateral. Core to Zero Belief está definiendo la segmentación en el punto last y el nivel de pink para contener una violación dentro de los límites de los segmentos. El objetivo es mantener seguros los sistemas empresariales e infraestructura. Al tenerlos unificados, los ataques de rayos se contienen y no se extienden lateralmente a través de una pink.
- Correlacione la identidad, la nube y la telemetría de punto last y use los datos combinados para identificar y exponer intrusiones, violaciones y amenazas emergentes.
- Los adversarios están explotando vulnerabilidades para obtener acceso inicial. El cincuenta y dos por ciento de las vulnerabilidades observadas estaban vinculadas al acceso inicial, lo que refuerza la necesidad de asegurar sistemas expuestos antes de que los atacantes establezcan un punto de apoyo. Este hallazgo subraya la necesidad de bloquear los planos de management SaaS y Cloud para evitar el acceso no autorizado y el movimiento lateral.
- Cambiar de la detección de malware a la prevención del abuso de credenciales. Eso debe comenzar con una auditoría de todas las cuentas de acceso a la nube, eliminando las que ya no son necesarias.
Usar AI para bloquear los ataques de alta velocidad
Para ganar la Guerra de la IA, los atacantes están armando la IA para lanzar ataques de rayos y al mismo tiempo creando visitando, defagas y campañas sociales de ingeniería para robar identidades. Los métodos de Phillips para detenerlos, incluido el empleo de la detección impulsada por la IA y revocar instantáneamente los tokens para matar sesiones robadas antes de que se propagen, están demostrando ser efectivas.
En el centro de Philips y muchas otras estrategias de seguridad cibernética y líderes de TI es la necesidad de cero confianza. Una y otra vez, VentureBeat ve a los líderes de seguridad que logran luchar contra los ataques a la velocidad de la máquina son aquellos que defienden el acceso menos privilegiado, la segmentación de la pink y los puntos finales, monitoreando cada transacción y solicitud de recursos, y verificando continuamente las identidades.
