Anthropic kondigde op 7 april Mythos Preview aan, maar verklaarde vervolgens dat het niet zou worden uitgebracht. Het model ontdekte duizenden voorheen onbekende kwetsbaarheden, stelde zonder menselijke tussenkomst werkende exploitketens samen en bracht fouten aan het licht die 27 jaar lang bij handmatige controles in OpenBSD onopgemerkt waren gebleven.

Dat weet je al. Je inbox staat er al weken vol mee. Iedereen heeft het erover wat Mythos betekent voor het aanvalsoppervlak.

Bijna niemand heeft het erover wat dit betekent voor de terugvorderbaarheid.

Dat is het gesprek dat gevoerd moet worden, want het verandert in één klap zowel de bestuursbesprekingen als de begrotingsbesprekingen en de verzekeringsbesprekingen.

Mythos is geen op zichzelf staand geval. Vijf maanden voor de aankondiging van de Mythos Preview maakte Anthropic de eerste door AI gecoördineerde spionagecampagne bekend. Een aan de Chinese staat gelieerde groep gebruikte Claude Code als operationele motor en richtte zich op ongeveer 30 organisaties. De AI voerde 80 tot 90 procent van het werk autonoom uit. Twee maanden daarvoor documenteerde Anthropic een cybercrimineel die Claude Code gebruikte om data-afpersingsoperaties uit te voeren tegen 17 organisaties in de overheidssector, de gezondheidszorg en hulpdiensten.

Anthropic verwacht dat andere laboratoria binnen 6 tot 18 maanden over vergelijkbare aanvallende mogelijkheden zullen beschikken. Onderzoekers van het Alan Turing Institute hebben erop gewezen hoe snel gecontroleerde modellen kunnen worden gekopieerd, aangepast of gedecodeerd zodra soortgelijke mogelijkheden in openbare ecosystemen beschikbaar komen.

Als je in je bestuursdocumenten geavanceerde AI nog steeds als een toekomstige bedreiging beschrijft, is het tijd om die PowerPoint-dia’s bij te werken. De technologie bestaat al. De enige variabele is de tijdlijn van de verspreiding ervan.

De reactie van Mythos heeft een blinde vlek

De discussie na Mythos verloopt volgens een voorspelbaar patroon. Als AI de tijdspanne tussen aanvallen verkort, hebben verdedigers behoefte aan door AI versnelde detectie, snellere waarschuwingen en meer geautomatiseerde reacties.

Die redenering klopt, voor zover je die kunt volgen. Detectie is belangrijk. Snelheid is belangrijk. Met dit soort advies vindt niemand het wiel opnieuw uit.

Maar het grootste deel van de discussie draait om twee factoren: hoe snel aanvallers te werk kunnen gaan en hoe snel verdedigers hen kunnen opsporen. De onderliggende aanname is dat het dichten van de detectiekloof het bedrijf in leven houdt.

We waren erbij toen die veronderstelling niet klopte.

Het herstelteam van Fenix24 heeft gezien dat organisaties met geavanceerde SOC’s, een uitgebreide EDR-dekking en snelle detectie toch wekenlang buiten werking waren. Hoewel de detectie naar behoren werkte, was Active Directory nog steeds onbruikbaar, waren back-ups versleuteld, waren de afhankelijkheidsrelaties onduidelijk en kon niemand met zekerheid zeggen wat er als eerste hersteld moest worden of hoe lang dat zou duren.

Het Britse AI Safety Institute heeft Mythos onafhankelijk getest en vastgesteld dat het bij 3 van de 10 pogingen een 32-stappen-simulatie van een inbraak in een bedrijfsnetwerk voltooide, een mijlpaal die geen enkel eerder model had bereikt. AISI merkte ook op dat de tests werden uitgevoerd in vereenvoudigde omgevingen zonder gelaagde beveiliging of menselijke reactieteams.

Bruce Schneier noemde Mythos „zowel onvermijdelijk als niet verrassend“ en stelde dat de echte lessen niet zijn veranderd. Organisaties hebben nog steeds behoefte aan een goede architectuur, het principe van minimale rechten, degelijke documentatie en voortdurende tests. Bain bracht een soortgelijk punt naar voren en merkte op dat uit AISI’s eigen tests bleek dat Mythos geen betrouwbare autonome aanvallen kon uitvoeren op goed beveiligde verdedigingssystemen en dat de meeste bedrijven moeten beginnen met het oplossen van oude problemen.

Ze hebben gelijk… maar er ontbreekt nog één essentieel punt.

Herstel.

Detectie laat zien dat er iets aan de hand is. Herstel bepaalt of het bedrijf weer op de been komt. De sector blijft deze twee zaken als afzonderlijke kwesties behandelen. Bij een daadwerkelijk incident vormen ze echter opeenvolgende fasen van dezelfde gebeurtenis. En het tweede deel krijgt al jaren te weinig aandacht en wordt te weinig getest in vergelijking met het eerste.

Een goed beveiligde omgeving maakt het voor aanvallers duurder, maar als uw herstelprocedures niet zijn getest, weet u misschien pas op het allerlaatste moment aan welke kant van die grens u zich bevindt.

De ruimte om te doen alsof het herstel vanzelf wel op gang komt, is verdwenen.

Drie gesprekken zijn nu nog eenvoudiger geworden

Mythos biedt een kans waarbij investeringen in herstel gemakkelijker te verkopen zijn dan in jaren het geval is geweest. Dit zijn de gesprekken die we op dit moment moeten voeren.

Het gesprek in de raad van bestuur

Vroeger vroegen besturen: „Kunnen onze systemen de aanval detecteren?“ Nu willen ze weten: „Kan het bedrijf zich hiervan herstellen?“

Die verschuiving biedt ruimte voor een discussie die de meeste beveiligingsprogramma’s tot nu toe hebben vermeden. De meeste beveiligingsteams kunnen met zekerheid rapporteren over detectiecijfers. Veel minder teams kunnen met hetzelfde vertrouwen rapporteren over herstelcijfers.

Als u uw hersteltijd nog nooit in een realistische situatie hebt getest (bijvoorbeeld wanneer Active Directory is gehackt, back-ups het doelwit zijn geworden of de communicatie is verstoord), geef dat dan aan en stel de test voor. Besturen reageren positiever op de mededeling „we hebben deze tekortkoming vastgesteld en zo kunnen we die verhelpen“ dan op het ontdekken van die tekortkoming tijdens een daadwerkelijk incident.

Het gesprek over verzekeringen

Verzekeraars op het gebied van cyberverzekeringen stellen steeds vaker vragen over het herstelvermogen, en niet alleen over preventieve maatregelen. In aanvraagformulieren wordt steeds vaker gevraagd naar de betrouwbaarheid van back-ups, geteste RTO’s en de volgorde van herstel.

Als u kunt aantonen dat uw herstelcapaciteit is getest (onwijzigbare back-ups, gevalideerd herstel, in kaart gebrachte afhankelijkheden, een gemeten hersteltijd), staat u sterker wat betreft dekkingsvoorwaarden, premies en uitsluitingen. Als u dat niet kunt, zullen de actuarissen van de verzekeraar die onzekerheid in de premie van uw polis doorberekenen.

Verschillende verzekeraars gaan er ook steeds vaker op over om als voorwaarde voor de dekking niet alleen bewijs van back-upprocessen te eisen, maar ook bewijs van hersteltests. Als uw verlenging eraan komt, is een getest herstelcijfer meer waard dan een groen dashboard.

De discussie over regelgeving

Volgens de openbaarmakingsregels van de SEC moeten belangrijke cyberbeveiligingsincidenten al binnen vier werkdagen worden gemeld. Hoe snel kunt u vaststellen of een incident belangrijk is als de systemen niet werken en de informatie onvolledig is?

DORA (voor iedereen met blootstelling aan de financiële sector in de EU) gaat nog een stap verder en verplicht organisaties om hun digitale operationele veerkracht aan te tonen door middel van scenario-gebaseerde tests. Het herstelvermogen is expliciet in de verordening vastgelegd, en niet slechts impliciet.

De koers is in alle rechtsgebieden duidelijk. Toezichthouders verschuiven hun aandacht van „had u een plan?“ naar „heeft u het getest en kunt u de resultaten aantonen?“ Een gedocumenteerd RTO dat nooit is gevalideerd, vormt niet alleen een operationeel risico, maar ook een risico op het gebied van naleving.

Wat komt er nu?

Het model dat op Mythos is gebaseerd, zal in alle opzichten beter zijn.

Dat is de ontwikkeling die elk pionierslaboratorium de afgelopen drie jaar heeft gepubliceerd, en niets bij Mythos wijst erop dat de curve afvlakt. Anthropic heeft ervoor gekozen deze gegevens niet vrij te geven. Het volgende laboratorium dat een vergelijkbaar vermogen bereikt, maakt misschien een andere keuze. Of het vermogen lekt uit. Of het wordt onafhankelijk gereproduceerd. De vraag over het inperken ervan is interessant, maar het is niet de vraag die je 's nachts wakker zou moeten houden.

Als aanvalsmiddelen gemeengoed en geautomatiseerd worden, moet je jezelf afvragen: „Wat gebeurt er als we eenmaal zijn aangevallen?“

De organisaties die deze volgende fase goed zullen doorstaan, zijn de organisaties die herstel behandelen als een technische discipline, met dezelfde nauwgezetheid die ze aan de dag leggen bij detectie en respons. Dat is wat het verschil maakt. Dat is eigenlijk altijd al zo geweest. Mythos en baanbrekende AI hebben simpelweg het laatste redelijke excuus weggenomen om hier niets aan te doen.

Veerkracht en herstel in een wereld na Mythos

De meeste aannames over veerkracht en herstelvermogen gaan bij een daadwerkelijke aanval niet op.

• "Onveranderlijke back-ups" blijken toch niet zo onveranderlijk te zijn.
• Niet alleen gegevens gaan verloren, maar ook de infrastructuur.
• Onvoldoende inventarisatie van bedrijfsmiddelen en afhankelijkheden leidt tot dagen- of wekenlange uitval.
• RTO’s en RPO’s zijn niet realistisch.

Analisten zetten alles op een rijtje als het gaat om de toekomst van veerkracht. Wilt u het stappenplan voor het ontwerpen en implementeren van echte cyberveerkracht? Download dan het nieuwe technische validatierapport van Omdia: Architect and Execute Resilience with Fenix24.

Weet waar je aan toe bent voordat er een inbreuk plaatsvindt

Fenix24 heeft onze beoordelingen, onze instrumenten en ons programma voor cyberweerbaarheid ontwikkeld op basis van de patronen die we hebben waargenomen bij meer dan 1.000 incidenten met datalekken.

Onze veerkrachtbeoordeling is ontwikkeld omdat standaardbeveiligingsbeoordelingen niet ingaan op wat er echt telt tijdens een ransomware-aanval. U hebt geen behoefte aan een standaardcontrole van uw perimeterbeveiliging of detectietools. U wilt weten of uw bedrijf de zwaarste dag kan doorstaan. Deze beoordeling, die wordt aangedreven door Argos99, ons veerkrachtplatform op bedrijfsniveau, biedt u ongeëvenaard inzicht in:

De veerkracht van back-ups. Zijn uw back-ups bestand tegen een aanvaller die de omgeving in kaart heeft gebracht en over bevoorrechte inloggegevens beschikt? Kunt u deze back-ups gebruiken om gegevens te herstellen wanneer de rest van de omgeving is gecompromitteerd?

In kaart brengen van afhankelijkheden en het vaststellen van de herstelvolgorde. Beschikt u over een actueel overzicht van welke onderdelen van welke andere onderdelen afhankelijk zijn, en is de volgorde van herstel gebaseerd op die onderlinge relaties of op aannames die nog door niemand zijn getest?

Herstel van de identiteitsinfrastructuur. Kunt u Active Directory helemaal opnieuw opbouwen? Hoe lang duurt dat? Kan uw team dat proces onder druk uitvoeren?

Operationeel herstelvermogen. Is het team in staat om het herstelproces te plannen en uit te voeren bij verstoorde communicatie en onvolledige informatie, en heeft iemand gemeten hoe lang dat duurt?

Analyse van de lacunes in het herstelproces. Waar schieten de plannen tekort? Welke lacunes brengen het grootste risico met zich mee? Wat moet als eerste worden aangepakt?

Klaar om te testen hoe goed u zich kunt herstellen? Plan vandaag nog uw veerkrachtbeoordeling. Neem contact met ons op via 423.305.7890 of stuur een e-mail naar info@fenix24.com.