AI теперь стал полноценной поверхностью кибератак

Введение

Microsoft сообщает, что AI больше не является только инструментом повышения продуктивности для злоумышленников — он встраивается во весь жизненный цикл атаки. Это важно, потому что организации теперь сталкиваются с атаками, которые запускаются быстрее, легче дорабатываются и эффективнее масштабируются, особенно в phishing и компрометации identity.

Что нового

Последний анализ Microsoft в области безопасности выделяет несколько важных тенденций:

• AI уже встроен, а не только появляется: Злоумышленники используют AI для разведки, создания malware, phishing, закрепления и активности после компрометации.
• Phishing становится значительно эффективнее: По данным Microsoft, phishing-кампании с поддержкой AI могут достигать 54% CTR, по сравнению примерно с 12% у традиционных кампаний.
• Identity остаётся главной целью: Атакующие сочетают качественные приманки, сгенерированные AI, с инфраструктурой adversary-in-the-middle, предназначенной для обхода MFA.
• Киберпреступность индустриализируется: Microsoft указала на Tycoon2FA, связанный с Storm-1747, как на phishing-платформу по подписке, поддерживавшую обход MFA в огромных масштабах.
• Нарушение инфраструктуры атак остаётся критически важным: Microsoft Digital Crimes Unit недавно изъяла 330 доменов, связанных с Tycoon2FA, в координации с Europol и отраслевыми партнёрами.

Почему это важно для IT-администраторов

Главный вывод для команд безопасности заключается в том, что AI повышает точность атакующих, а не только их объём. Более качественная локализация, более убедительные сообщения, имперсонация в стиле deepfake и более быстрая итерация malware сокращают время между выбором цели и успешной компрометацией.

Для администраторов это повышает риски в следующих областях:

• Email phishing и business email compromise
• Обход MFA и кража session token
• Разработка malware с помощью AI
• Недостаточная видимость software agents и AI-enabled tools
• Боковое перемещение после компрометации и сортировка данных

Microsoft также предупреждает, что экосистема agents и цепочка поставок ПО станут крупной поверхностью атаки. Организациям, у которых нет чёткого учёта развернутых приложений, agents и identities, может быть сложно быстро обнаруживать злоупотребления.

Рекомендуемые следующие шаги

Командам безопасности и администраторам Microsoft 365 стоит рассмотреть следующие действия:

1. Пересмотреть защиту от phishing с более сильной email-защитой, пользовательской отчётностью и программами симуляции.
2. Усилить защиту identity за счёт проверки устойчивости MFA, защиты token, Conditional Access и политик риска входа.
3. Улучшить инвентаризацию активов и agents, чтобы команды безопасности знали, какие software, automation и AI-connected services развернуты.
4. Отдать приоритет detection and response для перехвата сессий, аномальных входов и поведения после компрометации.
5. Использовать интегрированную threat intelligence из Microsoft Defender и связанных инструментов безопасности для отслеживания меняющихся тактик злоумышленников.

Главное

Посыл Microsoft ясен: AI меняет экономику киберпреступности, делая продвинутые тактики дешевле, быстрее и проще для масштабирования. Для IT- и security-руководителей ответ должен быть сосредоточен на безопасности identity, лучшей видимости и более быстром обнаружении, чтобы не отставать от угроз, усиленных AI.