Mythos असल में क्या करता है, और हर सिक्योरिटी लीडर को इस पर क्यों ध्यान देना चाहिए?
बेंगलुरु: साइबर सिक्योरिटी इंडस्ट्री दशकों से एक बुनियादी सोच के साथ काम कर रही है: डिफेंडर हमेशा अटैकर्स से तेज़ नहीं हो सकते, लेकिन उनके पास आमतौर पर ज़्यादा विज़िबिलिटी और जवाब देने के लिए ज़्यादा समय होता है। यह सोच अब टूटने लगी है।
अप्रैल 2026 में, एंथ्रोपिक ने प्रोजेक्ट ग्लासविंग और क्लाउड मिथोस प्रीव्यू पेश किया, जो एक AI-पावर्ड सिस्टम है जो अपने आप कमज़ोरियों की पहचान कर सकता है, एक्सप्लॉइट करने की क्षमता को वैलिडेट कर सकता है, और काम करने वाला एक्सप्लॉइट कोड बना सकता है। जबकि हेडलाइंस में मिली कमज़ोरियों की संख्या पर ध्यान दिया गया, ज़्यादा ज़रूरी कहानी कहीं और है। चुनौती अब कमज़ोरियों को ढूंढना नहीं है। चुनौती है कि उन्हें हथियार बनाने से पहले उन पर जवाब दिया जाए।
सालों से, कमज़ोरियों की खोज इंसानी कोशिशों से रुकी हुई है। सिक्योरिटी रिसर्चर्स, एथिकल हैकर्स और क्रिमिनल एक्टर्स को सॉफ्टवेयर में कमज़ोरियों की पहचान करने में काफी समय और रिसोर्स खर्च करने पड़े हैं। मिथोस जैसे AI सिस्टम उस कोशिश को काफी कम कर देते हैं। वे मुश्किल अटैक पाथ के बारे में सोच सकते हैं, हाइपोथीसिस बना सकते हैं, उन्हें टेस्ट कर सकते हैं, और ऐसी स्पीड से एक्सप्लॉइट कर सकते हैं जो पहले सोची भी नहीं जा सकती थी।
यह साइबर अटैक की इकोनॉमिक्स में एक बड़ा बदलाव दिखाता है।
जो बात इस डेवलपमेंट को खास बनाती है, वह यह है कि जो कमज़ोरियाँ सामने आ रही हैं, वे खास एप्लीकेशन में छिपी हुई छोटी-मोटी कमियाँ नहीं हैं। कई ऐसी टेक्नोलॉजी में मौजूद हैं जो मॉडर्न डिजिटल इंफ्रास्ट्रक्चर का आधार हैं। कुछ सालों, और कुछ मामलों में दशकों तक ऑटोमेटेड टेस्टिंग, सिक्योरिटी रिव्यू और प्रोडक्शन इस्तेमाल से बची रही हैं।
मतलब साफ है: अटैक सरफेस अचानक बड़ा नहीं हुआ है, लेकिन कमज़ोरियों को खोजने और उन्हें हथियार बनाने की हमारी क्षमता बहुत तेज़ी से बढ़ी है।
साइबर सिक्योरिटी कम्युनिटी अक्सर सफलता को खोजी गई कमज़ोरियों या रिलीज़ किए गए पैच की संख्या से मापती है। हालाँकि, वे मेट्रिक्स तेज़ी से नाकाफी होते जा रहे हैं। असली रिस्क खोज और सुधार के बीच के गैप में है।
हाल की इंडस्ट्री रिसर्च से पता चलता है कि एक्सप्लॉइट कोड अक्सर ऑर्गनाइज़ेशन के फिक्स डिप्लॉय करने से पहले ही उपलब्ध हो जाता है। जैसे-जैसे AI कमज़ोरी रिसर्च और एक्सप्लॉइट डेवलपमेंट दोनों को तेज़ करेगा, यह गैप और बढ़ने की संभावना है। प्रैक्टिकल तौर पर, ऑर्गनाइज़ेशन जल्द ही खुद को ऐसी स्थितियों का सामना करते हुए पा सकते हैं जहाँ किसी कमज़ोरी का पता चलने के कुछ ही घंटों में पता लगाया जा सकता है, उसे वैलिडेट किया जा सकता है और हथियार बनाया जा सकता है।
इससे सिक्योरिटी लीडर्स को रिस्क के बारे में सोचने का तरीका बदल जाता है।
पुराने तरीके जो वल्नरबिलिटी काउंट या थ्योरेटिकल सीवियरिटी स्कोर को प्रायोरिटी देते हैं, अब काफी नहीं हैं। सिक्योरिटी टीमों को इस बात पर फोकस करने की ज़रूरत है कि उनके खास एनवायरनमेंट में असल में क्या एक्सप्लॉइट किया जा सकता है। एक क्रिटिकल वल्नरबिलिटी जो इनएक्सेसिबल है, वह एक मॉडरेट वल्नरबिलिटी की तुलना में तुरंत कम रिस्क पैदा कर सकती है जिसे आसानी से एक सफल अटैक में जोड़ा जा सकता है।
दूसरे शब्दों में, वॉल्यूम से ज़्यादा कॉन्टेक्स्ट मायने रखता है।
एडवांस्ड AI-ड्रिवन सिक्योरिटी रिसर्च के आने से यह भी याद दिलाना चाहिए कि साइबर सिक्योरिटी तेज़ी से मशीन-बनाम-मशीन कॉन्टेस्ट बनती जा रही है। अटैकर ऑटोमेशन अपना रहे हैं। डिफेंडर्स को भी ऐसा ही करना होगा।
इसका मतलब इंसानी एक्सपर्टीज़ को बदलना नहीं है। बल्कि, इसका मतलब है इसे इंटेलिजेंस से बढ़ाना जो रियल टाइम में रिस्क को लगातार आइडेंटिफाई, प्रायोरिटी और वैलिडेट कर सके। जो ऑर्गनाइज़ेशन समय-समय पर असेसमेंट और लंबे रेमेडिएशन साइकिल पर डिपेंड रहते हैं, वे खुद को ऐसी स्पीड से काम करते हुए पा सकते हैं जो अब थ्रेट लैंडस्केप से मैच नहीं करती।
चैलेंज सिर्फ इंडिविजुअल एंटरप्राइजेज तक ही सीमित नहीं है।
बड़ी टेक्नोलॉजी कंपनियों ने प्रोजेक्ट ग्लासविंग जैसे इनिशिएटिव के ज़रिए कोलेबोरेट करना शुरू कर दिया है। ये कोशिशें एनकरेजिंग और ज़रूरी हैं। फिर भी साइबर सिक्योरिटी की मजबूती सिर्फ़ बड़े क्लाउड प्रोवाइडर्स और मल्टीनेशनल कॉर्पोरेशन्स तक ही सीमित नहीं हो सकती। ज़रूरी इंफ्रास्ट्रक्चर ऑपरेटर्स, हेल्थकेयर इंस्टीट्यूशन्स, एजुकेशनल ऑर्गनाइज़ेशन्स और पब्लिक-सेक्टर एंटिटीज़ को भी एक जैसे बदलते खतरों का सामना करना पड़ता है, अक्सर बहुत कम रिसोर्सेज़ के साथ।
यहीं पर पब्लिक-प्राइवेट कोलेबोरेशन ज़रूरी हो जाता है।
आज साइबर सिक्योरिटी एक ज़रूरी मामले में पब्लिक हेल्थ जैसी है: इकोसिस्टम के एक हिस्से में कोई कमी तेज़ी से कई दूसरे हिस्सों पर असर डाल सकती है। कोई भी अकेला वेंडर, सरकारी एजेंसी या टेक्नोलॉजी प्रोवाइडर अकेले इस चुनौती को हल नहीं कर सकता। जैसे-जैसे AI कैपेबिलिटीज़ आगे बढ़ेंगी, कलेक्टिव इंटेलिजेंस शेयरिंग, तेज़ वल्नरेबिलिटी डिस्क्लोज़र प्रोसेस और कोऑर्डिनेटेड रिस्पॉन्स मैकेनिज़्म और भी ज़रूरी होते जाएँगे।
सिक्योरिटी लीडर्स के लिए, तीन प्रायोरिटीज़ सबसे ऊपर हैं।
पहला, वल्नरेबिलिटी वॉल्यूम के बजाय एक्सप्लॉइटेबल एक्सपोज़र पर फ़ोकस करें। यह समझना कि असल में किस पर अटैक किया जा सकता है, यह जानने से ज़्यादा ज़रूरी है कि कितनी वल्नरेबिलिटीज़ हैं।
दूसरा, रिस्पॉन्स टाइमलाइन को कम करें। रेमेडिएशन के लिए ट्रेडिशनल हफ़्तों तक चलने वाला तरीका, अब सही ठहराना मुश्किल होता जा रहा है, जब कुछ ही घंटों में एक्सप्लॉइट्स जेनरेट हो सकते हैं।
तीसरा, कंटीन्यूअस वैलिडेशन को अपनाएँ। सिक्योरिटी असेसमेंट्स को अब पीरियोडिक एक्सरसाइज़ के तौर पर नहीं देखा जा सकता। उन्हें लंबा होना चाहिए।