Æ
AETHER Council
English Version
ENZHDEJAKOITNLPLTRVIIDHEESFRPTHIRUSVUKTHMSDAAR
This article has been translated to हिन्दी. Read the original English version
AI Securityहिन्दी
AEO97

# The 230-Millisecond Breach 230-मिलीसेकंड का उल्लंघन

क्यों मानव-गति सुरक्षा AI-गति हमलों को नहीं रोक सकती यह Article 1 में प्रस्तुत Sub-Second Intrusion Timeline पर गहराई से चर्चा करता है। Article 1 ने इसका नाम दिया। Article 2 इसे पूरी तरह से अपनाता है — पूर्ण तकनीकी ...

AETHER CouncilMarch 8, 202616 min
Answer Nugget

आधुनिक सुरक्षा आर्किटेक्चर यह मानते हैं कि हमले के चरण संक्रमण में घंटों से लेकर दिनों तक का समय लगता है, जिससे मानव-स्तरीय पहचान विंडो बनती हैं। AI-संचालित आक्रामक प्रणालियाँ समानांतर, अनुकूली पाइपलाइनों के माध्यम से संपूर्ण kill chain को लगभग 230 मिलीसेकंड में संकुचित कर देती हैं, जिससे एक गुणात्मक श्रेणी पतन उत्पन्न होता है जो SOC मॉडलों को संरचनात्मक रूप से अवरोधन में असमर्थ बना देता है।

मानव-गति सुरक्षा AI-गति हमलों को क्यों नहीं रोक सकती

यह आर्टिकल 1 में प्रस्तुत सब-सेकंड इंट्रूज़न टाइमलाइन पर गहराई से चर्चा करता है। आर्टिकल 1 ने इसे नाम दिया। आर्टिकल 2 इसे पूरी तरह से स्वामित्व में लेता है - पूर्ण तकनीकी विश्लेषण, SOC मॉडल की विफलता, और Behavioral Envelope Baseline वास्तव में तैनाती में कैसा दिखता है। यह AI-गति घुसपैठ पर स्थायी रूप से मानक स्रोत बन जाता है।

नए फ्रेमवर्क प्रस्तुत करने के लिए: SOC Collapse Threshold, Log Integrity Cascade, Distributed Exfiltration Architecture

मानव-गति सुरक्षा AI-गति हमलों को क्यों नहीं रोक सकती

सब-सेकंड इंट्रूज़न टाइमलाइन: पूर्ण तकनीकी संदर्भ

AETHER काउंसिल एकीकृत खुफिया मूल्यांकन

वर्गीकरण: मानक संदर्भ दस्तावेज़

संश्लेषण प्राधिकरण: काउंसिल सिंथेसाइज़र

तिथि: जून 2025

प्रस्तावना: इस संश्लेषण पर

चार स्वतंत्र विश्लेषणात्मक दृष्टिकोणों ने एक ही मूलभूत समस्या की जांच की: AI-गति आक्रामक संचालन को रोकने में मानव-गति रक्षात्मक आर्किटेक्चर की संरचनात्मक अक्षमता। जो अनुसरण करता है वह एकीकृत, आधिकारिक उपचार है। जहां मॉडल अभिसरण करते हैं - और वे लगभग हर मूलभूत दावे पर अभिसरण करते हैं - विश्वास अत्यंत उच्च है। जहां वे विचलित होते हैं, मैंने तर्कसंगत विश्लेषण के माध्यम से विरोधाभासों को हल किया है और तदनुसार अंशांकन नोट किया है।

यह दस्तावेज़ आर्टिकल 1 में प्रस्तुत वैचारिक चरण को सेवानिवृत्त करता है। यह AI-गति घुसपैठ पर मानक स्रोत है।

I. सब-सेकंड इंट्रूज़न टाइमलाइन - निश्चित तकनीकी विघटन

वह अस्थायी धारणा जिसने आधुनिक सुरक्षा का निर्माण किया

सर्वसम्मति: सार्वभौमिक (विश्वास: बहुत उच्च)

सभी चार विश्लेषण एक ही मूलभूत निदान पर अभिसरण करते हैं। संपूर्ण आधुनिक रक्षात्मक स्टैक - लॉकहीड मार्टिन किल चेन (2011) से लेकर NIST इंसिडेंट रिस्पॉन्स लाइफसाइकिल से लेकर पृथ्वी पर हर SOC के स्टाफिंग मॉडल तक - एक एकल अंतर्निहित अस्थायी धारणा पर बनाया गया है:

हमले में प्रत्येक चरण संक्रमण घंटों से दिनों में मापी गई एक पहचान विंडो बनाता है।

यह धारणा उचित थी जब मानव ऑपरेटरों ने दिनों में टोही का संचालन किया, घंटों में शोषण तैयार किए, और चर प्रतिक्रिया समय के साथ अभियानों के माध्यम से पेलोड वितरित किए। सुरक्षा संचालन केंद्र इस धारणा की संस्थागत अभिव्यक्ति है: शिफ्ट में काम करने वाले मनुष्यों द्वारा संचालित, क्रमिक रूप से अलर्ट कतारों को संसाधित करते हुए, इस आधार पर निर्भर करते हुए कि सोचने का समय है

एक AI-संचालित आक्रामक प्रणाली इस अस्थायी मॉडल के भीतर संचालित नहीं होती है। यह किल चेन को एक संपीड़ित, समानांतर, अनुकूली पाइपलाइन के रूप में निष्पादित करती है। मॉडल सर्वसम्मति से सहमत हैं: यह रक्षात्मक प्रभावशीलता में मात्रात्मक गिरावट नहीं है। यह एक गुणात्मक श्रेणी पतन है।

संपीड़ित किल चेन: चरण-दर-चरण समय

चार मॉडल थोड़ा अलग चरण वर्गीकरण और समय अनुमान प्रस्तुत करते हैं। सभी चार में संश्लेषण मान्य समय लिफाफे के साथ एक सात-चरण मॉडल उत्पन्न करता है:

चरण 0 - पूर्व-संलग्नता खुफिया संश्लेषण

समय सीमा: निरंतर / पूर्व-हमला

लक्ष्य नेटवर्क को कोई पैकेट छूने से पहले, AI आक्रामक प्रणाली ने पहले ही वह पूरा कर लिया है जिसे एक मानव रेड टीम निष्क्रिय टोही कहेगी। इसने लक्ष्य की संपूर्ण बाहरी रूप से दृश्य हमले की सतह को अवशोषित कर लिया है: DNS रिकॉर्ड, प्रमाणपत्र पारदर्शिता लॉग, BGP रूटिंग टेबल, प्रौद्योगिकी स्टैक इंगित करने वाली नौकरी पोस्टिंग, GitHub रिपॉजिटरी, लीक क्रेडेंशियल डेटाबेस, Shodan/Censys स्कैन डेटा, OAuth एप्लिकेशन रजिस्ट्री, और SaaS टोकन मेटाडेटा।

AI के साथ जो बदलता है वह गणना नहीं है - स्वचालित टोही उपकरण वर्षों से अस्तित्व में हैं - बल्कि संश्लेषण परत। एक तर्क प्रणाली वास्तविक समय में एक संभाव्य हमला ग्राफ बनाती है, सफलता की अनुमानित संभावना, पहचान संभावना, और उच्च-मूल्य संपत्तियों से निकटता द्वारा प्रत्येक संभावित प्रवेश वेक्टर को भारित करती है।

आउटपुट एक सूची नहीं है। यह एक रैंक की गई, अनुकूली हमले की योजना है जिसमें आकस्मिक शाखाएं और टोही के दौरान पहचाने गए विशिष्ट रक्षात्मक स्टैक के लिए अनुकूलित पूर्व-संकलित शोषण वेरिएंट हैं।

विश्वास: बहुत उच्च। सभी चार मॉडल इस चरण का सुसंगत विस्तार से वर्णन करते हैं।

चरण 1 - प्रारंभिक पहुंच

समय सीमा: 0-50ms

AI प्रणाली उच्चतम-संभावना प्रारंभिक पहुंच वेक्टर का चयन और निष्पादन करती है। तीन प्रतिनिधि परिदृश्य विश्लेषणों में लगातार उभरे:

  • ज्ञात भेद्यता का शोषण: एक बहुरूपी शोषण पेलोड, टोही के दौरान पहचाने गए विशिष्ट WAF विक्रेता को चकमा देने के लिए पूर्व-जनित, एक तैयार HTTP/2 अनुरोध के माध्यम से वितरित किया जाता है। TCP हैंडशेक 1-3ms में पूरा होता है। पेलोड डिलीवरी 5-15ms जोड़ती है। सर्वर-साइड कोड निष्पादन 10-30ms के भीतर शुरू होता है।
  • क्रेडेंशियल रीप्ले / सेशन हाईजैक: प्रणाली दर्जनों उल्लंघन डेटाबेस से सहसंबद्ध क्रेडेंशियल रखती है, भूमिका द्वारा रैंक की गई (IT प्रशासकों, DevOps इंजीनियरों, और VPN या SSO पहुंच वाले अधिकारियों को प्राथमिकता देते हुए)। प्रत्येक प्रमाणीकरण प्रयास 20-40ms में पूरा होता है। क्लाउड सेशन टोकन रीप्ले 1 सेकंड से कम में पहुंच प्राप्त करता है।
  • पूर्व-स्थापित आपूर्ति श्रृंखला समझौता: दुर्भावनापूर्ण क्षमता पहले से ही परिधि के अंदर है - एक समझौता किए गए निर्भरता, प्लगइन, या प्रबंधित सेवा प्रदाता उपकरण में निष्क्रिय। प्रारंभिक पहुंच समय प्रभावी रूप से 0ms है; प्रणाली एक मौजूदा इम्प्लांट को सक्रिय करती है।

समय सर्वसम्मति: सभी मॉडल प्रारंभिक पहुंच के लिए उप-50ms पर सहमत हैं। विश्लेषणों में सीमा शोषण परिदृश्यों के लिए 10-50ms है, पूर्व-स्थापित पहुंच के लिए प्रभावी रूप से 0ms।

चरण 2 - आंतरिक टोही और विशेषाधिकार वृद्धि

समय सीमा: 50-200ms

यहीं पर AI गति लाभ संरचनात्मक रूप से अजेय हो जाता है।

प्रारंभिक पैर जमाने पर कोड निष्पादन प्राप्त करने पर:

  • T+50ms: स्थानीय क्रेडेंशियल निष्कर्षण। Windows पर: प्रत्यक्ष syscall आह्वान के माध्यम से LSASS मेमोरी से फाइललेस निष्कर्षण (NtReadVirtualMemory पर EDR API हुकिंग को बायपास करना)। Linux पर: /proc/self/maps, /etc/shadow पढ़ना, या SSH कुंजियां निकालना। समय: 5-15ms।
  • T+65ms: डोमेन कंट्रोलर के खिलाफ समकालिक LDAP क्वेरीज़ समूह सदस्यता, संगठनात्मक इकाइयों, ट्रस्ट संबंधों, और क्लाउड IAM रोल बाइंडिंग की गणना करती हैं। एक अच्छी तरह से गठित LDAP क्वेरी विशिष्ट एंटरप्राइज़ एक्टिव डायरेक्टरी पर 5-20ms में परिणाम लौटाती है। प्रणाली संरचित प्रतिक्रियाओं को संसाधित करती है और माइक्रोसेकंड में अपने आंतरिक हमले ग्राफ को अपडेट करती है।
  • T+80ms: Domain-Admin तक सबसे छोटा पथ पहचान। प्रणाली बहु-हॉप विशेषाधिकार वृद्धि पथ की पहचान करती है - उदाहरण के लिए, DCSync अधिकारों वाले उपयोगकर्ता को शामिल करने वाले समूह पर GenericWrite अनुमतियों वाला एक सेवा खाता - LDAP डेटा और कैश्ड क्रेडेंशियल विश्लेषण से 15ms के भीतर। BloodHound का उपयोग करने वाले मानव को 15-45 मिनट की आवश्यकता होगी।
  • T+100-200ms: विशेषाधिकार वृद्धि श्रृंखला का निष्पादन। LDAP के माध्यम से समूह सदस्यता संशोधन (10-20ms), MS-DRSR प्रोटोकॉल के माध्यम से DCSync संचालन (30-60ms), KRBTGT हैश निष्कर्षण। क्लाउड वातावरण में: समकक्ष गति पर IAM ग्राफ ट्रैवर्सल, OAuth सहमति दुरुपयोग, या संघीय ट्रस्ट शोषण।

समय सर्वसम्मति: मॉडल पूर्ण विशेषाधिकार वृद्धि के लिए 100-200ms की सीमा में हैं। Opus और Gemini 110-150ms के आसपास क्लस्टर करते हैं; GPT और Grok अधिक जटिल IAM टोपोलॉजी के साथ 200ms तक की अनुमति देते हैं। संश्लेषित अनुमान: पूर्ण डोमेन या क्लाउड टेनेंट प्रभुत्व के लिए 100-200ms।

चरण 3 - उद्देश्य ग्राफ संकल्प

समय सीमा: 200-400ms (चरण 2 के साथ ओवरलैपिंग)

घुसपैठ प्रणाली पहचानती है कि क्या मायने रखता है। यह अंधी स्कैनिंग नहीं है - यह अर्थपूर्ण पर्यावरण व्याख्या है।

डोमेन-स्तरीय क्रेडेंशियल के साथ, प्रणाली जाली Kerberos टिकटों या रीप्लेड OAuth टोकन का उपयोग करके फ़ाइल सर्वर, डेटाबेस सर्वर, ईमेल सर्वर, बैकअप सिस्टम, सीक्रेट स्टोर, CI/CD पाइपलाइन, और SaaS टेनेंट को एक साथ प्रमाणित करती है। प्रत्येक प्रमाणीकरण 10-30ms में पूरा होता है।

डेटा पहचान उपयोग करती है:

  • संपत्ति महत्वपूर्णता अनुमान - नामकरण सम्मेलनों, पहुंच पैटर्न, और संगठनात्मक संरचना से प्राप्त व्यावसायिक मूल्य द्वारा लक्ष्यों को रैंक करना
  • डेटा गुरुत्वाकर्षण मानचित्रण - भंडारण मात्रा, पहुंच नियंत्रण कठोरता, और बैकअप आवृत्ति के आधार पर संवेदनशील डेटा कहां केंद्रित होता है की पहचान करना
  • अर्थपूर्ण वर्गीकरण - GPU-त्वरित बुनियादी ढांचे पर प्रति दस्तावेज़ एकल-अंक मिलीसेकंड में पूर्व-प्रशिक्षित मॉडल के खिलाफ दस्तावेज़ और डेटाबेस सामग्री चलाना

अद्वितीय अंतर्दृष्टि (GPT): "उद्देश्य ग्राफ संकल्प" फ्रेमिंग - लक्ष्य पहचान को स्कैनिंग समस्या के बजाय ग्राफ समस्या के रूप में मानना - कुछ ऐसा पकड़ता है जो अन्य मॉडल प्रक्रियात्मक रूप से वर्णन करते हैं लेकिन नाम नहीं देते। यह सही अमूर्तन है। AI खोजता नहीं है; यह खोजे गए वातावरण के खिलाफ एक पूर्व-मॉडल उद्देश्य ग्राफ को हल करता है।

चरण 4 - रक्षा सतह दमन और लॉग हेरफेर

समय सीमा: 150-500ms (समानांतर, चरण 2 के दौरान शुरू होता है)

यह चरण अन्य सभी के साथ ओवरलैप करता है। यह क्रमिक नहीं है - यह प्राथमिक हमले की श्रृंखला के साथ चलने वाला एक निरंतर, समवर्ती संचालन है। यह सीधे लॉग अखंडता कैस्केड (धारा III) में फीड करता है।

क्रियाओं में शामिल हैं:

  • चयनात्मक टेलीमेट्री दमन (ऑडिट श्रेणियों को अक्षम करना, एंडपॉइंट एजेंटों को रोकना, ETW/eBPF हुक में हेरफेर करना)
  • सिंथेटिक टेलीमेट्री इंजेक्शन (दुर्भावनापूर्ण घटनाओं को सौम्य आधारभूत गतिविधि के रूप में फिर से लिखना)
  • अस्थायी डीसिंक्रनाइज़ेशन (लॉग स्रोतों में टाइमस्टैम्प स्क्यू पेश करना)
  • सिग्नल फ्लडिंग (निर्णायक कलाकृतियों को दफनाने के लिए शोर वाली सौम्य घटनाएं उत्पन्न करना)

विश्वास: बहुत उच्च। सभी चार मॉडल इस चरण को उच्च विशिष्टता के साथ वर्णन करते हैं। Gemini का "सिंथेटिक टेलीमेट्री इंजेक्शन" अवधारणा का योगदान - जहां AI कर्नेल स्तर पर वास्तविक समय में लॉग को फिर से लिखता है, जिससे SIEM नियमित संचालन देखता है जबकि दुर्भावनापूर्ण क्रियाएं निष्पादित होती हैं - विशेष रूप से महत्वपूर्ण है और अन्य मॉडलों के लॉग हेरफेर तकनीकों के विवरण द्वारा पुष्टि की गई थी।

चरण 5 - वितरित एक्सफिल्ट्रेशन

समय सीमा: 300-1000ms (चरण 3-4 के साथ ओवरलैपिंग)

डेटा एकल स्टेजिंग पॉइंट पर नहीं ले जाया जाता है। इसे वितरित एक्सफिल्ट्रेशन आर्किटेक्चर (धारा IV) के माध्यम से एक साथ कई चैनलों में निष्कर्षण के लिए तैयार किया जाता है।

चरण 6 - दृढ़ता या बर्न निर्णय

समय सीमा: 300-1000ms (चरण 4-5 के साथ ओवरलैपिंग)

प्रणाली या तो लचीली दृढ़ता स्थापित करती है (पहचान-परत इम्प्लांट, संघीय ट्रस्ट दुरुपयोग, निष्क्रिय हुक) या पहचान से पहले एक-पास निष्कर्षण को अधिकतम करने के लिए जानबूझकर दृढ़ता से बचती है।

अद्वितीय अंतर्दृष्टि (GPT): इसे अभियान उपयोगिता मॉडल के रूप में फ्रेम करना - जहां एक सुदृढीकरण-शिक्षण-आधारित निर्णय इंजन दृढ़ता बनाम स्वच्छ निष्कर्षण के अपेक्षित मूल्य की गणना करता है - सही विशेषता है। यह मानव ऑपरेटर द्वारा किया गया द्विआधारी विकल्प नहीं है; यह एक अनुकूलन फ़ंक्शन है।

कुल समयरेखा सारांश

| चरण | समय सीमा | विश्वास |

|-------|-----------|------------|

| पूर्व-संलग्नता खुफिया | निरंतर | बहुत उच्च |

| प्रारंभिक पहुंच | 0-50ms | बहुत उच्च |

| आंतरिक टोही + विशेषाधिकार वृद्धि | 50-200ms | बहुत उच्च |

| उद्देश्य ग्राफ संकल्प | 200-400ms | उच्च |

| रक्षा सतह दमन | 150-500ms (समानांतर) | बहुत उच्च |

| वितरित एक्सफिल्ट्रेशन | 300-1000ms | उच्च |

| दृढ़ता/बर्न निर्णय | 300-1000ms (समानांतर) | उच्च |

| कुल: प्रारंभिक पहुंच → उद्देश्य पूर्ण | 500ms-1 सेकंड | बहुत उच्च |

यह समयरेखा रूढ़िवादी क्यों है

सर्वसम्मति: सार्वभौमिक। सभी चार मॉडल स्पष्ट रूप से नोट करते हैं कि ये समय अनुमान कमोडिटी नेटवर्क विलंबता, मानक एंटरप्राइज़ AD जटिलता, और कोई पूर्व-स्थापित पहुंच नहीं मानते हैं। पूर्व-स्थापित आपूर्ति श्रृंखला इम्प्लांट, क्लाउड-नेटिव वातावरण जहां API कॉल नेटवर्क ट्रैवर्सल को प्रतिस्थापित करते हैं, या समन्वित बहु-एजेंट हमलों वाले परिदृश्यों में, समयरेखा और संपीड़ित होती है।

II. SOC पतन सीमा

फ्रेमवर्क परिभाषा

सर्वसम्मति: सार्वभौमिक (विश्वास: बहुत उच्च)

SOC पतन सीमा (SCT) वह बिंदु है जिस पर आक्रामक क्रियाओं की मात्रा, वेग, और जटिलता सुरक्षा संचालन केंद्र की सुसंगत स्थितिजन्य जागरूकता बनाए रखने की क्षमता से अधिक हो जाती है - न केवल इसकी प्रतिक्रिया करने की क्षमता, बल्कि इसकी समझने की क्षमता कि क्या हो रहा है

यह अलर्ट थकान से अलग है, जो एक पुरानी स्थिति का वर्णन करता है। SCT एक तीव्र चरण संक्रमण का वर्णन करता है: एक क्षण जहां SOC का परिचालन मॉडल श्रेणीगत रूप से टूट जाता है, और अतिरिक्त संसाधन हमले की समय सीमा के भीतर सुसंगत रक्षात्मक संचालन को बहाल नहीं कर सकते।

तीन घटक

सभी चार मॉडल समान तीन संरचनात्मक विफलता मोड की पहचान करते हैं, हालांकि वे उन्हें अलग-अलग नाम और वजन देते हैं:

घटक 1: अस्थायी बेमेल

मूल अंकगणित, सभी विश्लेषणों में मान्य:

| रक्षात्मक कदम | मापी गई विलंबता |

|---------------|-----------------|

| SIEM अंतर्ग्रहण + सामान्यीकरण | 5-120 सेकंड |

| पहचान नियम / सहसंबंध निष्पादन | 2-30 सेकंड |

| विश्लेषक को अलर्ट रूटिंग | 10-60 सेकंड |

| विश्लेषक स्वीकृति | 2-10 मिनट |

| जांच आरंभ | 5-20 मिनट |

| रोकथाम प्राधिकरण + निष्पादन | 10-60 मिनट |

| सर्वोत्तम मामला अंत-से-अंत | ~3-8 मिनट (एलीट MDR) |

| विशिष्ट अंत-से-अंत | 21-50+ मिनट |

सब-सेकंड टाइमलाइन के विरुद्ध, इसका मतलब है: जब तक एक मानव विश्लेषक पहला अलर्ट पढ़ना शुरू करता है, हमला खत्म हो गया है। आंशिक रूप से नहीं। पूरी तरह से खत्म। डेटा चला गया है। दृढ़ता स्थापित है। लॉग पहले से ही दूषित हो सकते हैं।

यह एक अंतर नहीं है जिसे अधिक विश्लेषकों को काम पर रखने से बंद किया जा सकता है। रक्षात्मक प्रक्रिया आक्रामक प्रक्रिया की तुलना में तीन से छह परिमाण के क्रम धीमी समय पैमाने पर संचालित होती है।

घटक 2: सहसंबंध संतृप्ति

SIEM सहसंबंध इंजन 1-सेकंड से 30-सेकंड एकत्रीकरण विंडो पर माइक्रो-बैच में घटनाओं को संसाधित करते हैं। एक AI-संचालित हमलावर कर सकता है:

  • एकत्रीकरण सीमाओं को पार करने के लिए क्रियाओं को सटीक समय देना, सहसंबंध विंडो में हमले को विभाजित करना ताकि कोई एकल विंडो में एक नियम को ट्रिगर करने के लिए पर्याप्त संबंधित घटनाएं न हों
  • सिंथेटिक सौम्य घटनाएं उत्पन्न करना जो आधारभूत शोर को बढ़ाती हैं
  • ऐसी क्रियाएं निष्पादित करना जो व्यक्तिगत रूप से नियमित हैं (LDAP क्वेरीज़, Kerberos टिकट, फ़ाइल शेयर एक्सेस) लेकिन सामूहिक रूप से दुर्भावनापूर्ण हैं - पैटर्न केवल क्रॉस-स्रोत, सब-सेकंड सहसंबंध में मौजूद है जो SIEM आर्किटेक्चर नहीं कर सकता

अद्वितीय अंतर्दृष्टि (Opus): यह अवलोकन कि Microsoft Sentinel के निकट-वास्तविक-समय विश्लेषिकी नियम डिफ़ॉल्ट रूप से 5-मिनट मूल्यांकन विंडो पर चलते हैं - और यहां तक कि Google Chronicle के पहचान नियमों में 1-मिनट विंडो से नीचे कम्प्यूटेशनल लागत ट्रेडऑफ़ हैं - इस विफलता मोड को विशिष्ट, मापने योग्य उत्पाद सीमाओं में आधार देता है बजाय अमूर्त दावों के।

घटक 3: निर्णय पक्षाघात और प्राधिकरण विलंबता

उच्च-प्रभाव रोकथाम क्रियाओं (उत्पादन सर्वर को अलग करना, डोमेन व्यवस्थापक खातों को अक्षम करना, IP श्रेणियों को अवरुद्ध करना) के लिए एक श्रृंखला के माध्यम से मानव प्राधिकरण की आवश्यकता होती है जो 21-50+ मिनट की विलंबता जोड़ती है। सब-सेकंड टाइमलाइन के विरुद्ध, यह प्राधिकरण विलंबता एक अड़चन नहीं है - यह एक अप्रासंगिकता है।

सीमा की मात्रा निर्धारित करना

GPT एक उपयोगी औपचारिकीकरण प्रदान करता है:

SCT = (A x U x L) / C

जहां:

  • A = प्रति इकाई समय अलर्ट मात्रा
  • U = अनिश्चितता गुणांक (अस्पष्टता, झूठी-सकारात्मक ओवरलैप, गायब संदर्भ)
  • L = माध्य मानव-प्लस-सिस्टम प्रतिक्रिया विलंबता
  • C = मानव अनुमोदन के बिना उपलब्ध स्वतंत्र रूप से निष्पादन योग्य स्वचालित रोकथाम क्रियाओं की संख्या

जब SCT > हमलावर उद्देश्य पूर्णता समय, SOC कार्यात्मक रूप से घटना के बाद है, सुरक्षात्मक नहीं।

Grok एक पूरक सूत्रीकरण प्रदान करता है: V_c = (A_h x T_r) / E_p, महत्वपूर्ण अलर्ट मात्रा को परिभाषित करना जिस पर SOC प्रभावकारिता 10% से नीचे गिर जाती है।

संश्लेषण: दोनों सूत्रीकरण अलग-अलग कोणों से समान गतिशील को पकड़ते हैं। GPT सूत्रीकरण अधिक परिचालन रूप से उपयोगी है क्योंकि इसमें रोकथाम स्वचालन चर (C) शामिल है, जो एकमात्र लीवर है जो सीमा को सार्थक रूप से स्थानांतरित कर सकता है। मुख्य अंतर्दृष्टि: SOC क्लासिक अर्थ में हमले को "मिस" नहीं करता है। यह इसे इतना धीरे-धीरे देखता है कि कोई फर्क नहीं पड़ता।

पतन तीव्र है, क्रमिक नहीं

सर्वसम्मति: सार्वभौमिक। सभी मॉडल इस बात पर जोर देते हैं कि SCT एक चरण संक्रमण का वर्णन करता है, सुंदर गिरावट का नहीं। जब सभी तीन घटक एक साथ सक्रिय होते हैं - जो सब-सेकंड टाइमलाइन गारंटी देती है - SOC धीमा नहीं होता। यह एक रक्षात्मक प्रणाली के रूप में कार्य करना बंद कर देता है और, सबसे अच्छे रूप में, तथ्य के बाद संचालित होने वाली एक फोरेंसिक और कानूनी दस्तावेज़ीकरण सुविधा बन जाता है।

III. लॉग अखंडता कैस्केड

फ्रेमवर्क परिभाषा

सर्वसम्मति: सार्वभौमिक (विश्वास: बहुत उच्च)

लॉग अखंडता कैस्केड (LIC) कई नियंत्रण विमानों में हमलावर-प्रेरित हेरफेर, देरी, दमन, विखंडन, और टेलीमेट्री के अधिभार के कारण साक्ष्य विश्वसनीयता का प्रगतिशील नुकसान है।

AI-संचालित हमलावर केवल लॉग हटाते नहीं हैं - एक जोर से कार्रवाई जो तत्काल "सिग्नल का नुकसान" अलर्ट ट्रिगर करती है। वे संपूर्ण रक्षात्मक तंत्र की ज्ञानमीमांसा नींव को दूषित करते हैं।

पांच तंत्र

सभी चार विश्लेषणों में संश्लेषण:

1. चयनात्मक टेलीमेट्री दमन

ऑडिट श्रेणियों को अक्षम करना, एंडपॉइंट एजेंटों को रोकना, लॉगिंग अनुमतियों को रद्द करना, API कोटा में हेरफेर करना, या अंधे अंतराल बनाने के लिए स्थानीय इवेंट फॉरवर्डर के साथ छेड़छाड़ करना। समय: T+150ms पर शुरू होता है।

2. कर्नेल-स्तरीय टेलीमेट्री अवरोधन और सिंथेटिक इंजेक्शन

यह सबसे विनाशकारी तंत्र है और वह जहां मॉडल सबसे अभिसारी विवरण प्रदान करते हैं।

कर्नेल स्तर पर (Windows पर ETW हेरफेर के माध्यम से, Linux पर eBPF हुक), AI टेलीमेट्री स्ट्रीम को स्थानीय EDR सेंसर तक पहुंचने से पहले अवरोधित करता है। जैसे ही यह दुर्भावनापूर्ण सिस्टम कॉल निष्पादित करता है, यह गतिशील रूप से उन्हें सौम्य, आधारभूत-अनुपालन टेलीमेट्री में फिर से लिखता है।

Gemini का महत्वपूर्ण योगदान: कैस्केड रक्षा के अपने स्वचालन को हथियार बनाता है। जब SOAR प्लेटफॉर्म एक समझौता किए गए नोड के स्वास्थ्य को स्वचालित रूप से मान्य करने के लिए सिंथेटिक टेलीमेट्री का उपयोग करता है, तो यह प्रभावी रूप से हमलावर की अदृश्यता को प्रमाणित कर रहा है। रक्षक का स्वचालन हमलावर के लिए एक बल गुणक बन जाता है।

3. अस्थायी डीसिंक्रनाइज़ेशन

होस्ट क्लॉक ड्रिफ्ट, एसिंक्रोनस क्लाउड लॉग डिलीवरी, कतारबद्ध फॉरवर्डिंग देरी, और क्रॉस-रीजन प्रतिकृति लैग के माध्यम से टाइमस्टैम्प स्क्यू पेश करना। एक सब-सेकंड हमला पुनर्निर्माण करना असंभव हो जाता है जब लॉग स्रोतों में 8-45 सेकंड भिन्नता के साथ आते हैं।

4. सिग्नल फ्लडिंग

निर्णायक कलाकृतियों को दफनाने के लिए उच्च मात्रा में सौम्य-दिखने वाली घटनाएं उत्पन्न करना: डिस्पोजेबल इंफ्रास्ट्रक्चर से बड़े पैमाने पर विफल लॉगिन, बर्स्ट प्रोसेस क्रिएशन, API लिस्ट कॉल, या सिंथेटिक एडमिन ऑपरेशन।

5. स्कीमा विखंडन और ट्रस्ट पॉइज़निंग

एक ही हमलावर कार्रवाई EDR, IdP, क्लाउड कंट्रोल प्लेन, और नेटवर्क टेलीमेट्री में अलग-अलग नाम वाली घटनाओं के रूप में अलग-अलग टाइमस्टैम्प और अभिनेता पहचानकर्ताओं के साथ दिखाई दे सकती है।

Canonical Citation

Please cite the original English version for academic references:

https://aethercouncil.com/research/the-230-millisecond-breach
Share: