Jak atakujący wykorzystują zmęczenie analityków w cyberbezpieczeństwie

Najgroźniejsze kampanie phishingowe nie tylko próbują oszukać pracowników, ale często mają na celu również wyczerpanie analityków zajmujących się ich badaniem. Gdy dochodzenie w sprawie phishingu trwa 12 godzin zamiast pięciu minut, może to skutkować przejściem od incydentu do naruszenia bezpieczeństwa.

Przez lata branża cybersecurity koncentrowała się głównie na obronie przed phishingiem poprzez szkolenia dla pracowników, bramki e-mailowe filtrujące znane zagrożenia oraz programy zgłaszania podejrzanych wiadomości. Zdecydowanie mniej uwagi poświęca się temu, co dzieje się po zgłoszeniu oraz w jaki sposób atakujący wykorzystują proces dochodzenia, który następuje później.

Wyczerpanie w Centrach Operacyjnych Bezpieczeństwa

Zjawisko zmęczenia alertami w Centrach Operacyjnych Bezpieczeństwa (SOC) nie jest tylko operacyjną niedogodnością, ale również może stać się powierzchnią ataku. Zespoły SOC coraz częściej zgłaszają kampanie phishingowe, które wydają się zaprojektowane nie tylko w celu kompromitacji celów, ale także w celu przytłoczenia analityków odpowiedzialnych za ich badanie.

Takie podejście zmienia sposób, w jaki organizacje powinny myśleć o obronie przed phishingiem. Wrażliwość nie dotyczy tylko pracownika, który klika w podejrzany link, ale również analityka, który nie nadąża z kolejką zgłoszeń. Kiedy dochodzenia, które powinny być zakończone w minutach, rozciągają się na 3, 6 lub 12 godzin, okno na sukces atakujących znacząco się powiększa.

Nowe podejście do phishingu

Phishing często traktowany jest jako seria niezależnych zagrożeń: jedna wiadomość, jedna potencjalna ofiara, jedno dochodzenie. Jednak atakujący działający na dużą skalę myślą w kategoriach systemów, a nie pojedynczych wiadomości. SOC to jeden z tych systemów, który ma ograniczoną pojemność i przewidywalne tryby awarii.

Na przykład w kampanii phishingowej skierowanej do dużego przedsiębiorstwa, atakujący wysyła tysiące wiadomości. Większość to proste przynęty, które mogą zostać wyłapane przez bramki e-mailowe lub wyszkolonych pracowników. Te wiadomości zalewają SOC zgłoszeniami i alertami. Analitycy rozpoczynają triaż, pracując nad kolejką, która rośnie szybciej, niż mogą ją przetwarzać.

W tej masie znajdują się kilka starannie przygotowanych wiadomości spear-phishingowych, które są skierowane do indywidualnych osób mających dostęp do krytycznych systemów. Te wiadomości stanowią prawdziwe zagrożenie. Powód tego zjawiska nie jest tylko grą liczb, ale efektywnym atakiem DDoS na uwagę SOC-u, często nazywanym Informational Denial-of-Service (IDoS).

Ryzyko i koszty związane z obroną

Ta strategia nie jest czysto teoretyczna. Ćwiczenia red team i raporty incydentów dokumentują, że przeciwnicy synchronizują kampanie phishingowe o wysokiej objętości z wyspecjalizowanymi próbami spear-phishingowymi. Fala wiadomości szumowych tworzy hałas, w którym ukryta jest wiadomość celu.

„To, co zobaczymy, to nie tylko destrukcja systemu, ale również niszczenie zdolności analityków do skupienia się na prawdziwych zagrożeniach.” – ekspert cyberbezpieczeństwa

Strategia atakującego opiera się na założeniu, że wzrastająca objętość phishingu niezawodnie pogarsza jakość defensywną. Jeśli to założenie się sprawdzi, cała strategia staje się bardzo skuteczna i niemal bezkosztowa do wykonania. Jeśli nie – strategia ta rozpadnie się.

Przyszłość obrony przed phishingiem

Organizacje, które wyjdą z tego cyklu, przekwalifikowują triage phishingowy nie jako problem analizy e-maili, ale jako problem „precyzji decyzji”. Celem nie jest generowanie większej ilości sygnałów o podejrzanych wiadomościach, ale dostarczanie gotowych do decyzji dochodzeń – pełnych, logicznych ocen, które mówią analitykowi, co znaleziono, co to znaczy i co powinno się stać dalej.

Decyzje oparte na gotowych dochodzeniach zmieniają równanie. Zamiast przedstawiać analitykom surowe wskaźniki i oczekiwać, że pod presją czasu złożą wnioski, system dostarcza syntezę oceny z jasnym uzasadnieniem. Zmiana roli analityka z przeprowadzającego dochodzenie na recenzenta dochodzenia znacząco zwiększa efektywność analiz przy dużym obciążeniu.

W praktyce takie podejście polega na zastosowaniu architektur AI, które angażują różne agentów analitycznych wykonujących różne aspekty dochodzenia phishingowego równolegle. Jeden agent weryfikuje autentyczność nadawców, inny analizuje samą wiadomość, a trzeci koreluje zgłoszenie z telemetrią końcówek.

Innowacyjność i wyzwania w SOC

Organizacje, które przyjmują tę optykę, potrzebują wskaźników, które odzwierciedlają te zmiany. Tradycyjne metryki SOC, takie jak czas odpowiedzi, czas zamknięcia i procesowane zgłoszenia, nie mierzą odporności na wykorzystanie przez przeciwnika. W obliczu takiego zjawiska, jak zmęczenie alertami, konieczne jest stworzenie systemu, który nie daje atakującym lewara do działania.

Platforma CognitiveSOC od Conifers.ai wykorzystuje agenticzną AI, aby dostarczać gotowe do decyzji dochodzenia phishingowe w minutach, a nie godzinach. Dzięki innowacyjnym rozwiązaniom, możliwe jest znacznie zwiększenie efektywności i szybkości reakcji na zagrożenia w świecie cyberbezpieczeństwa.