Umjetna inteligencija dramatično je skratila vrijeme potrebno napadačima da razotkriju i zaobiđu zakrpe – sa tjedana na svega tri dana. Kibernetičke bande i državno sponzorirane skupine sve češće koriste modele strojnog učenja kako bi "rastavile" nove zakrpe, pronašle gdje se nalaze ranjivosti i razvile gotove eksploite prije nego što većina organizacija uopće stigne ažurirati sustave.
„Napadači danas mogu reverzno inženjerirati zakrpu unutar 72 sata. Ako korisnik ne primijeni zakrpu u tom razdoblju, ostaje izložen”, upozorio je Mike Riemer, viši potpredsjednik za mrežnu sigurnost i terenski CISO u Ivantiju.
DEF CON 33 to je zorno pokazao: istraživači skupine AmberWolf izveli su potpune zaobilaske autentifikacije u rješenjima Zscaler, Netskope i Check Pointa, iskoristivši ranjivosti koje su mjesecima nakon objave ostale nezaštićene.
Središnja meta svih napada je kernel – „sveta krava” operacijskog sustava koja upravlja memorijom, procesima i hardverom. Tko kompromitira kernel, stječe potpunu kontrolu nad uređajem, a posljedično i nad čitavom mrežom. Zato Ivanti u verziji Connect Secure 25.X donosi čitav niz zaštita na razini jezgre:
• prelazak na 64-bitni Oracle Linux 9 s pojačanim SELinux pravilima; • Secure Boot uz TPM i RSA šifriranje te cjelovito šifriranje diska; • de-privilegiranje procesa – uklanjanje root pristupa gdje god je moguće; • novi, moderni web poslužitelj i ugrađeni WAF.
„U posljednjih godinu dana snažno smo pogurali strategiju Secure by Design i ubrzali trogodišnji plan na 18 mjeseci”, kaže Riemer. Interni i neovisni penetracijski testovi, dodaje, zasad nisu pronašli proboj: „Napadači obično odustanu nakon otprilike tri dana.”
Ring model zakrpa – testni, rani i produkcijski prsten – pokazao se ključnim odgovorom na AI-pojačanu brzinu eksploata. Automatizirano uvođenje zakrpa tim redoslijedom postiže 99 % uspješnosti unutar 24 sata na flotama i do 100 000 računala, dok prosječno otkrivanje napada i dalje traje 43 dana.
Statistika dodatno pojačava hitnost: 76 % ranjivosti koje koriste današnji ransomware napadi prijavljeno je između 2010. i 2019. godine, što znači da napadači i dalje uspješno iskorištavaju stare propuste.
Industrija zato prelazi na sigurnije metode nadzora kernela bez narušavanja stabilnosti:
• eBPF u Linuxu omogućuje duboki uvid u sustav iz korisničkog prostora; • Endpoint Security Framework kod Applea radi slično za macOS; • Microsoftov WISP postavlja nova pravila svim sigurnosnim alatima za Windows.
Veliki dobavljači poput CrowdStrikea i Palo Alto Networksa već grade svoje proizvode na eBPF-u, što potvrđuje da je pomak prema dubljoj, ali sigurnijoj vidljivosti postao industrijska norma. „Ako želite zaštititi sustav od loših aktera, morate djelovati na razini kernela”, poručio je Alex Ionescu, direktor tehnoloških inovacija u CrowdStrikeu.
Za organizacije to znači tri hitna koraka:
- Automatski zakrpati – mjesečni ciklusi su zastarjeli.
- Provjeriti planove dobavljača o eBPF/ESF/WISP migracijama.
- Slojevito braniti sustav: od SELinux profila i kontrole privilegija do više-faktorske autentifikacije i segmentacije mreže.
„Transformacija na razini kernela više nije opcija; to je pitanje opstanka”, zaključuje Riemer. „AI nam je skratio rok za reakciju na samo 72 sata – i taj će se rok ubuduće vjerojatno još smanjivati.”