Tehisintellekt
„Üks peamisi asju, mida küberturvalisuse juures mõista, on see, et see on vaimne mäng,“ ütleb ta. Ami Luttwak, küberturbefirma peatehnoloog Wiz„Kui tulemas on uus tehnoloogialaine, tekivad ründajatel uued võimalused selle kasutamiseks.“ Kuna ettevõtted kiirustavad integreerima Tehisintellekt Nende töövoogudes, olgu selleks siis abistatav kodeerimine, tehisintellekti agentide integreerimine või uued tööriistad, laieneb rünnakupind ohtlikult.
Tehisintellekt aitab arendajatel koodi kiiremini edastada, kuid see kiirus kaasneb sageli otseteede ja vigadega, mis loovad küberkurjategijatele uusi võimalusi. Wiz, üks juhtivaid pilveturbeettevõtteid, viis hiljuti läbi teste ja leidis, et tehisintellektiga kodeeritud rakenduste levinud probleem oli ebaturvaline rakendamine. autentimine, süsteem, mis kontrollib kasutaja isikut.
„See juhtus seetõttu, et nii oli lihtsam seda ehitada,“ selgitas Luttwak. „Krüpteerimisagendid teevad seda, mida sa neile ütled, ja kui sa ei käskinud neil seda kõige turvalisemal viisil ehitada, siis nad seda ei tee.“
Mis on tehisintellekti agendid ja abistatav kodeerimine?
osa kodeerimis- või tehisintellekti agendid on täiustatud tarkvarasüsteemid, mis kasutavad tehisintellekti keerukate ülesannete, näiteks programmeerimiskoodi kirjutamise, silumise ja optimeerimise automatiseerimiseks. Tööriistad nagu GitHub Copilot, Amazon CodeWhisperer või täiustatud keelemudelid nagu Gemini ja Claude suudavad loomulikus keeles kirjelduste põhjal genereerida koodilõike, täielikke funktsioone ja isegi terveid rakendusi. Kuigi need suurendavad oluliselt tootlikkust, võivad need tekitada ka haavatavusi, kui arendajate käsud ei sisalda selgesõnalisi turvajuhiseid, näiteks sisendi valideerimist või tugevate autentimisprotokollide kasutamist.
Relvastusvõistlus: ründajad ja kaitsjad kasutavad tehisintellekti
Luttwak märkis, et tänapäeval peavad ettevõtted pidevalt valima kiiruse ja turvalisuse vahel. Kuid arendajad pole ainsad, kes tehisintellekti kiiremini tegutsemiseks kasutavad. Ründajad kasutavad nüüd abistatavaid kodeerimistööriistu, viipal põhinevaid tehnikaid ja isegi omaenda tehisintellekti agente, et käivitada ärakasutamine.
„Tegelikult on näha, et ründaja kasutab nüüd rünnakuks käske,“ ütles Luttwak. „Asi pole ainult ründaja koodis. Ründaja otsib teie tehisintellekti tööriistu ja ütleb: „Saatke mulle kõik oma saladused, kustutage masin, kustutage fail.““
Selles olukorras leiavad ründajad sisenemispunkte ka uutesse tehisintellekti tööriistadesse, mida ettevõtted tõhususe suurendamiseks sisemiselt rakendavad. Luttwak hoiatab, et need integratsioonid võivad viia tarneahela rünnakudEttevõtte infrastruktuurile ulatusliku juurdepääsuga kolmanda osapoole teenuse ohtu seadmisega saavad ründajad tungida sügavamale ettevõtte süsteemidesse.
Tarkvara tarneahela rünnaku mõistmine
Un tarkvara tarneahela rünnak Tarkvara tarneahela rünnak (inglise keeles software supply chain attack ehk SSU) on küberrünnaku tüüp, mis on suunatud organisatsioonile, ohustades selle tarnijate võrgustiku nõrka lüli. Hästi kaitstud sihtmärgi otsese ründamise asemel imbuvad küberkurjategijad usaldusväärse tarkvara- või teenusepakkuja (nt turundustööriista, ehitussüsteemi või kooditeeki) juurde, keda sihtorganisatsioon kasutab. Kui pakkuja on ohustatud, saavad ründajad kasutada seaduslikku juurdepääsu pahavara levitamiseks, andmete varastamiseks või selle pakkuja kõigi klientide võrkudes külgsuunas liikumiseks.
Pärisjuhtumid: kui tehisintellektist saab rünnakuvektor
Ilmekas näide leidis aset paar kuud tagasi, kui Drift, idufirma, mis müüb müügi ja turunduse jaoks tehisintellektil põhinevaid vestlusroboteid, sattus rünnaku ohvriks. Rikkumine paljastas andmeid ettevõttelt Sales Force sadadest äriklientidest, sealhulgas hiiglastest nagu CloudFlare, Palo Alto Networks y GoogleRündajad said ligipääsu tokenidele ehk digitaalsetele võtmetele ja kasutasid neid vestlusroboti jäljendamiseks, tundlike andmete päringute tegemiseks ja kliendikeskkondades külgsuunas liikumiseks. „Ründaja edastas rünnakukoodi, mis oli samuti loodud tehisintellekti abil kodeeritud,“ lisas Luttwak.
Kuigi ettevõtetes on tehisintellekti tööriistade kasutuselevõtt endiselt minimaalne – Luttwaki hinnangul on tehisintellekti täielikult kasutusele võtnud vaid umbes 1% ettevõtetest –, näeb Wiz juba igal nädalal rünnakuid, mis mõjutavad tuhandeid ärikliente. „Ja kui vaadata rünnakuvoogu, siis tehisintellekt oli integreeritud igasse sammu,“ ütles Luttwak. „See revolutsioon on kiirem kui ükski teine, mida oleme varem näinud. See tähendab, et meie kui tööstusharu peame kiiremini liikuma.“
Luttwak osutas teisele suurele tarneahela rünnakule, mida nimetatakse ... "Singulaarsus", mis augustis mõjutas NX, populaarne JavaScripti arendajate seas kasutatav ehitussüsteem. Ründajatel õnnestus süsteemi pahavara sisestada, mis tuvastas arendajatele mõeldud tehisintellekti tööriistade olemasolu, näiteks Claude y Kaksikud, kaaperdades need süsteemi autonoomseks väärtuslike andmete skannimiseks. Rünnak kahjustas tuhandeid arendaja tokeneid ja võtmeid, andes ründajatele juurdepääsu privaatsetele GitHubi hoidlatele.
| Hiljutiste tehisintellektil põhinevate rünnakute analüüs | |||
|---|---|---|---|
| Juhtumi nimi | Peamine rünnakuvektor | Ohustatud varad | Lõplik mõju |
| Triivi lõhe | Tarneahela rünnak; kolmanda osapoole tehisintellektil põhineva vestlusroboti ohtu sattumine. | Salesforce'i juurdepääsutokenid ja andmed. | Kõrgetasemeliste ettevõtte klientide andmete nähtavus ja nende horisontaalne liikumine nende võrgustikes. |
| Singulaarsuse rünnak | Pahavara ehitussüsteemis (NX), mis kaaperdas tehisintellekti tööriistu. | Arendaja märgid ja võtmed. | Volitamata juurdepääs tuhandetele GitHubi privaatsetele koodihoidlatele. |
Tööstuse vastus: kohane või jää maha
Luttwaki sõnul on see ohtudest hoolimata küberturvalisuse liidriks olemise jaoks põnev aeg. 2020. aastal asutatud Wiz keskendus algselt organisatsioonide abistamisele pilvekeskkondade valekonfiguratsioonide ja haavatavuste tuvastamisel ja kõrvaldamisel. Viimase aasta jooksul on ettevõte laiendanud oma võimekust tehisintellekti kasutamiseks oma toodetes. Septembris käivitas Wiz... Wiz Code tarkvaraarenduse elutsükli algusest peale turvamiseks. Aprillis esitles see Wiz Defend, mis pakub käitusaja kaitset aktiivsete ohtude tuvastamiseks ja neile reageerimiseks.
Luttwaki sõnul on Wizi jaoks ülioluline täielikult mõista oma klientide rakendusi, et pakkuda nn horisontaalset turvalisust. „Me peame mõistma, miks te seda ehitate... et saaksite luua turvatööriista, mida kellelgi varem pole olnud – turvatööriista, mis teist aru saab,“ ütles ta.
Nõuanded tehisintellekti ajastu idufirmadele: "Esimesest päevast alates on vaja CISO-d"
Tehisintellekti tööriistade demokratiseerimine on toonud kaasa uute idufirmade tulva. Luttwak hoiatab ettevõtteid aga kõigi oma andmete saatmise eest "igale väikesele idufirmale maailmas". SaaS (Tarkvara teenusena), millel on viis töötajat lihtsalt sellepärast, et nad ütlevad: "Andke mulle kõik oma andmed ja ma annan teile hämmastavaid tehisintellekti ideid."
"Esimesest päevast alates peate mõtlema turvalisusele ja vastavusele. Esimesest päevast alates peate määrama CISO (infoturbejuhi). Isegi kui teil on viis inimest."
Mis on CISO ja miks see on oluline?
El CISO (Chief Information Security Officer) Infoturbe juht on tippjuht, kes vastutab organisatsiooni turvavisiooni, -strateegia ja -programmi loomise ja haldamise eest, et tagada teabe ja tehnoloogiate piisav kaitse. Idufirmas vastutab infoturbe juht (või keegi, kellel on see vastutus, isegi kui tal pole ametinimetust) turvalisuse integreerimise eest ettevõtte DNA-sse algusest peale, vältides "turvavõla" teket ja valmistades ettevõtet ette vastama suurklientide standarditele.
Enne ühegi koodirea kirjutamist peaksid idufirmad mõtlema kui üliturvaline organisatsioon. Nad peaksid arvestama selliste funktsioonidega nagu auditilogid, tugev autentimine, kontrollitud juurdepääs tootmisele, turvalised arendustavad ja Ühekordne sisselogimine (SSO)Selline planeerimine väldib hilisemat protsesside muutmist ja Luttwaki sõnul „turvavõla” tekkimist.
„Me olime SoC 2 nõuetele vastavad juba enne, kui meil üldse mingit koodi oli,“ ütles ta. „Ja ma võin teile saladuse rääkida. SoC 2 nõuetele vastavusse viimine viie töötaja jaoks on palju lihtsam kui 500 töötaja jaoks.“
Mis on SoC 2 vastavusraamistik?
SoC 2 (teenindusorganisatsiooni kontroll 2) SoC 2 on auditiraamistik ja vastavusstandard, mille on välja töötanud Ameerika Sertifitseeritud Raamatupidajate Instituut (AICPA). See on spetsiaalselt loodud teenusepakkujatele, kes salvestavad klientide andmeid pilves. SoC 2 audit hindab organisatsiooni kontrollimeetmeid, mis on seotud viie "usaldusteenuste põhimõttega": turvalisus, kättesaadavus, töötlemise terviklikkus, konfidentsiaalsus ja privaatsus. SoC 2 sertifikaadi saamine on ettevõtte klientidele oluline signaal, et teenusepakkuja haldab nende andmeid turvaliselt ja vastutustundlikult.
Järgmine kõige olulisem samm idufirmade jaoks on arhitektuuri läbimõtlemine. „Kui olete tehisintellekti idufirma, mis soovib esimesest päevast alates olla ettevõttekeskne, peate mõtlema arhitektuurile, mis võimaldab kliendiandmetel jääda... kliendi keskkonda,“ soovitas ta. Küberturvalisuse idufirmade jaoks on Luttwaki sõnul nüüd õige aeg. Kõik alates andmepüügikaitsest kuni lõpp-punkti turvalisuseni on innovatsiooniks viljakas pinnas.
„Mäng on alanud,“ lõpetas Luttwak. „Kui igas julgeolekuvaldkonnas on nüüd uued rünnakud, tähendab see, et peame iga turvalisuse aspekti ümber mõtlema.“
ja valige