Cyberangrep for én dollar: Hvorfor robuste forsvarsløsninger lønner seg

AI snur opp-ned på cyberkrigføring

For bare noen år siden tok det måneder å omsette en nyoppdaget programvarefeil til et reelt cyberangrep. I dag kan generativ AI, som nylig demonstrert gjennom Anthropics Project Glasswing, gjøre jobben på få minutter – ofte for under én dollar i skyregning.

Mens store språkmodeller (LLM-er) representerer en reell trussel, åpner de samtidig for nye forsvarsmuligheter. Ifølge Anthropic har deres forhåndsvisningsmodell Claude Mythos allerede hjulpet sikkerhetseksperter med å oppdage over tusen ukjente sårbarheter – inkludert feil i alle store operativsystemer og nettlesere. Selskapet koordinerer videre arbeidet med å lukke disse hullene.

Det er ennå uklart om AI-drevet feilfinning vil favorisere angripere eller forsvarere på lang sikt. Likevel viser tidligere erfaringer med automatisert sårbarhetsdeteksjon hvordan organisasjoner kan styrke forsvaret sitt.

Lærdom fra fuzzing-revolusjonen

På begynnelsen av 2010-tallet dukket det opp en ny type programvare som kunne angripe systemer med millioner av tilfeldige, feilformede inndata – en slags «ape ved tastaturet» som tilfeldigvis oppdaget sårbarheter. Verktøy som American Fuzzy Lop (AFL) avslørte kritiske feil i alle store nettlesere og operativsystemer.

I stedet for panikk reagerte sikkerhetsmiljøet med å industrialisere forsvaret. Google utviklet for eksempel OSS-Fuzz, et system som kontinuerlig kjører fuzz-testing på tusenvis av programvareprosjekter. Dette gjorde det mulig for utviklere å oppdage og fikse feil før de nådde sluttbrukere – i stedet for etter at angripere hadde utnyttet dem.

Eksperter forventer at AI-drevet feilfinning vil følge samme utvikling. Organisasjoner vil integrere slike verktøy i standard utviklingsprosesser, kjøre dem kontinuerlig og etablere nye sikkerhetsstandarder.

En ny ubalanse oppstår

Men det er en avgjørende forskjell mellom tradisjonell fuzzing og dagens AI-baserte metoder. Fuzzing krevde betydelig teknisk ekspertise for oppsett og drift – det var et verktøy for spesialister. En LLM, derimot, kan finne sårbarheter med bare en enkel tekstinstruksjon.

Dette skaper en skjevfordeling: Angripere trenger ikke lenger avansert kompetanse for å utnytte svakheter, mens robuste forsvarsløsninger fortsatt krever menneskelig gjennomgang og handling. Kostnaden for å finne feil nærmer seg null, men kostnaden for å fikse dem forblir høy.

AI bedre til å finne feil enn å fikse dem?

Peter Gutmann, forfatter av boken Engineering Security, bemerket en gang at «mange av dagens sikkerhetsteknologier bare er ‘sikre’ fordi ingen har brydd seg med å undersøke dem». Dette var før AI gjorde feilfinning dramatisk billigere.

Mye av dagens programvare – inkludert kritisk åpen kildekode som kommersiell programvare er avhengig av – blir vedlikeholdt av små team, deltidsansatte eller frivillige uten dedikerte sikkerhetsressurser. En feil i et slikt prosjekt kan få store konsekvenser.

Et eksempel er Log4j-sårbarheten fra 2021, der en kritisk feil i et loggningsbibliotek vedlikeholdt av noen få frivillige eksponerte hundrevis av millioner enheter. Ettersom Log4j var vidt utbredt, ble dette en av de mest omfattende programvarefeilene noensinne registrert.

Dette illustrerer et større problem: Kritiske programvareavhengigheter som aldri har blitt skikkelig gjennomgått. Med AI som nå gjør det enklere å finne svakheter, øker presset på utviklere og organisasjoner for å prioritere sikkerhetsrevisjoner.

«AI kan avsløre tusenvis av ukjente sårbarheter, men det krever fortsatt menneskelig ekspertise å forstå, prioritere og fikse dem.»

Hva kan organisasjoner gjøre?

• Integrer AI-verktøy i utviklingsprosessen: Bruk kontinuerlig feilfinning og automatiserte sikkerhetsskanninger for å oppdage svakheter tidlig.
• Styrk samarbeid med åpen kildekode: Mange kritiske avhengigheter mangler ressurser til sikkerhetsrevisjoner – støtte slike prosjekter eller delta aktivt i sikkerhetsarbeidet.
• Prioriter menneskelig gjennomgang: AI kan finne feil, men mennesker må vurdere alvorlighetsgrad og iverksette tiltak.
• Bygg robuste patch-prosesser: Ha systemer på plass for rask distribusjon av sikkerhetsoppdateringer før angripere kan utnytte svakhetene.