Sila Özeren Hacioglu, Security Research Engineer la Picus Security, descrie modul în care o platformă demonstrată la BAS Summit transformă rapid o relatare despre grupuri ca FIN8 într-o simulare sigură pentru testarea apărării cibernetice. De la începuturile pen-test-urilor manuale, când totul se baza pe zile sau ore de muncă umană, până la avalanșa de modele generative de limbaj, necesitatea unui răspuns rapid a ajuns la fel de critică ca precizia. Tradicional, echipele de securitate alergau după indicatori și se bazau pe SLA-urile furnizorilor; acum, inteligența artificială promite să micșoreze acea fereastră de incertitudine, dar introduce și pericole noi, precum inventivitatea eronată sau generarea accidentală de cod periculos.
Problema primei abordări bazate pe LLM a fost tendința multora de a transforma generarea de cod într-un scurtcircuit: dai modelului un raport și soliciți un payload sau o campanie de emulare. Aceasta e rapidă, dar instabilă și potențial riscantă; modelele pot îmbina realitatea cu ficțiunea, inventând TTP-uri nefolosite de niciun grup sau propunând exploatări inexistente. Volkan Ertürk, CTO și cofondator la Picus, a semnalat că AI generativă necontrolată poate genera riscuri asemănătoare cu cele pe care ar trebui să le contracareze. Soluția propusă de Picus evită utilizarea AI pentru a crea malware și o transformă într-un orchestrator care folosește componente deja validate.
Platforma Smart Threat de la Picus se bazează pe o bibliotecă de amenințări dezvoltată și perfecționată timp de 12 ani de cercetare practică, îmbinată cu un grafic de cunoștințe care corelează comportamentele adversarilor cu acțiuni atomice sigure. În loc să ceri modelului să genereze un payload, îi soliciți să asocieze informațiile dintr-un raport cu TTP-urile din biblioteca internă și să recomande un plan de emulare construit din module sigure. În practică, sistemul funcționează printr-un set de agenți specializați: unul orchestrează fluxul de lucru, altul verifică și validează sursele, un altul compune lanțul de atac din acțiuni sigure, iar un validator examinează rezultatul pentru a elimina posibile halucinații. Această separare a rolurilor reduce erorile și înlătură necesitatea ca un singur model să realizeze totul.
Un exemplu practic prezentat la demonstrația de la BAS Summit implică FIN8. Fluxul pornește de la o singură adresă URL furnizată de utilizator; agentul de cercetare găsește linkuri conexe, evaluează credibilitatea surselor și sintetizează un raport de inteligență. Apoi sistemul deconstruiește comportamentul atacului, extrăgând succesiunea tacticilor și tehnicilor, nu doar indicatorii statici. În etapa critică de siguranță, modulele Picus consultă serverul MCP și asociază fiecare TTP identificat cu un modul benign din biblioteca proprie; astfel, o tehnică de tip credential dumping atribuită FIN8 va fi testată printr-un modul care reproduce efectul fără a compromite credențiale reale. La final, acțiunile sunt ordonate într-un lanț care reconstituie playbook-ul adversarului și un agent de validare se asigură că nu s-au inventat pași. Rezultatul este un profil de simulare gata de rulare, care include tacticile MITRE corespunzătoare și acțiunile Picus necesare pentru a evalua pregătirea organizației.
Pe lângă generarea acestor profile, Picus dezvoltă o interfață conversațională denumită Numi AI, menită să revoluționeze modul de interacțiune cu procesele de validare a securității. În loc să navighezi prin dashboard-uri complexe, poți exprima un intent la nivel înalt, de exemplu să blochezi amenințările care modifică configurațiile, iar sistemul va monitoriza mediul și te va alerta doar când o schimbare relevantă sau o amenințare emergentă încalcă acel intent. Prin combinarea inteligenței generate cu învățarea supravegheată care estimează eficiența controalelor pe dispozitive non-agent, platforma ajută echipele să distingă între vulnerabilitățile teoretice și riscurile reale pentru mediul lor specific și să prioritizeze remedierea în consecință. Într-un context în care actorii de amenințare evoluează rapid, a putea transforma un titlu de știre într-o strategie de apărare verificată în câteva ore nu mai este un lux, ci o necesitate practică.
Picus susține că AI ar trebui folosită pentru a organiza apărarea, nu pentru a genera atacuri, iar arhitectura lor bazată pe agenți demonstrează cum se poate obține viteză fără a deschide noi suprafețe de atac. Articolul original a fost contribuit de Sila Özeren Hacioglu și sponsorizat de Picus Security.
Numi AI, interfața conversațională menționată pentru gestionarea expunerii contextuale, ilustrează ideea centrală: tehnologia poate accelera reacția fără a renunța la controlul uman și la bibliotecile validate. Instrumentele care mapează TTP-urile la acțiuni sigure, precum modulele Picus sau referințele MITRE, convertesc informațiile din știri despre FIN8 în verificări practice. Cum crezi că ar trebui echilibrată viteza oferită de AI cu necesitatea validării umane în securitatea cibernetică?
Fii primul care comentează