Connect with us

Myslitelé

Bezpečnost AI není rozbitá, pouze bráníme nesprávné věci

mm
Published
Updated

Průmysl kybernetické bezpečnosti má vzorec, kdykoli se objeví nová technologie, okamžitě začneme kolem ní stavět zdi. Učinili jsme to s cloudem, učinili jsme to s kontejnery a nyní to děláme s AI, kromě toho, že tento krát stavíme zdi na úplně špatných místech.

Vstup do jakéhokoli podnikového bezpečnostního přezkumu dnes a uslyšíte stejné priority: zabezpečení modelů AI, ochrana trénovacích dat, ověřování výstupů a nasazování AI poháněných kopilotů. Dodavatelé spěchají prodávat “bezpečnostní nástroje AI”, které se zaměřují výhradně na kontroly na úrovni modelu, jako jsou zábrany, obrany proti vstřikování podnětů a platformy pro monitorování modelů.

Ale útočníci používají vaše AI integrace jako dálnice do všeho ostatního.

Skutečná útočná plocha, kterou nikdo nesleduje

Jeden vzorec, který jsme pozorovali napříč podnikovými prostředími, vypráví znepokojivý příběh o bezpečnostních týmech, které investují značně do zabezpečení svých vývojových prostředí AI: kontroly přístupu k modelům, rámce pro správu dat, bezpečnostní nástroje MLOps. To dává falešnou důvěru, že jejich AI je “zamčená.”

Ale když namapujete skutečnou útočnou plochu, vidíte, že AI chatboty často drží OAuth tokeny pro desítky SaaS platforem, API klíče s nadměrnými oprávněními cloudu a vztahy důvěry, které mohou vytvořit přímé cesty od jednoduché injekce podnětu k produkční infrastruktuře. Modely samy o sobě mohou být zabezpečené, ale ekosystémy, ve kterých žijí, jsou často široce otevřené a toto není okrajový případ.

Podniky nyní používají v průměru 130+ SaaS aplikací, s AI integracemi pokrývajícími poskytovatele identity, cloudovou infrastrukturu, databáze a podnikově kritické systémy. Každá integrace je potenciální útočná cesta a každá API připojení je hranice důvěry, kterou útočníci aktivně prošetřují.

Problém není v tom, že naše bezpečnostní nástroje AI jsou rozbité. Je to v tom, že zabezpečujeme jednotlivé komponenty, zatímco útočníci využívají spojení mezi nimi.

Proč bezpečnost zaměřená na modely postrádá smysl

Současný přístup k bezpečnosti AI funguje na fundamentálním nedorozumění, jak moderní útoky fungují. Léčíme AI jako samostatný aktivum, které potřebuje ochranu, podobně jako bychom mohli zabezpečit databázi nebo webovou aplikaci. Ale AI v produkci neexistuje v izolaci. Je to uzel v komplexním grafu identit, oprávnění, API a toků dat.

Zvažte typické podnikové nasazení AI. Máte AI agenta s přístupem k vašemu Google Workspace. Je připojen k Salesforce prostřednictvím API. Je integrován se Slackem pro oznámení. Čerpá data z AWS S3 kbelíků. Je ověřen prostřednictvím Okta nebo Azure AD. Aktivuje pracovní postupy v ServiceNow.

Tradiční bezpečnost AI se zaměřuje na samotný model: jeho bezpečnostní postoje, validaci podnětů, bezpečnost výstupu. Ale útočníci se zaměřují na integrace: co mohou dosáhnout prostřednictvím kompromitovaných služeb účtů, kde mohou provést API manipulace, které hranice důvěry mohou překročit prostřednictvím využitých integrací.

Útok nezačíná ani nekončí s modelem AI. Model je pouze vstupní bod.

Útočné cesty nedbají na hranice produktů

Zde je místo, kde se většina organizací zasekne. Nasadili bezpečnostní nástroje, které každý poskytuje přehled do jediné domény. Jeden nástroj monitoruje cloudová oprávnění. Další sleduje konfigurace SaaS. Třetí spravuje řízení identity. Čtvrtý řeší správu zranitelností.

Každý nástroj vám ukáže svou část puzzle. Žádný z nich vám neukáže, jak se části propojují.

Podle Gartner, organizace nyní používají v průměru 45+ bezpečnostních nástrojů. Přestože je tato masivní investice, útočníci úspěšně spojují nesprávné konfigurace napříč těmito doménami, protože žádný jediný nástroj nemůže vidět kompletní útočnou cestu.

Útočník nemusí najít kritickou zranitelnost ve vašem modelu AI. Stačí najít řetězec. Možná je to nesprávně nakonfigurovaná role IAM připojená k vašemu AI službě, která má oprávnění k S3 kbelíku, který obsahuje přihlašovací údaje k SaaS aplikaci, která má administrativní přístup k vaší produkční infrastruktuře.

Každá jednotlivá nesprávná konfigurace může mít skóre “střední” nebo “nízké” ve vašich bezpečnostních nástrojích. Ale spojené dohromady? To je kritické ohrožení. A je zcela neviditelné, pokud se díváte na každou bezpečnostní doménu izolovaně.

Imperativ řízení expozice

To je důvod, proč se musí změnit konverzace z “bezpečnosti AI” na nepřetržité řízení expozice hrozeb pro AI integrovaná prostředí.

Nestačí se ptát, zda jsou naše modely AI zabezpečené. Bezpečnostní týmy potřebují pochopit, co útočník může skutečně dosáhnout, pokud kompromituje AI službu účtu. Potřebují přehled o tom, jak nesprávné konfigurace napříč cloudem, SaaS a systémy identity by mohly být spojeny. Potřebují vědět, jak AI integrace mění jejich útočnou plochu v reálném čase. A potřebují priorizovat rizika na základě skutečné útočnosti, ne pouze na základě skóre závažnosti.

Většina bezpečnostních programů stále priorizuje rizika izolovaně, pomocí skóre CVSS a kontrolních seznamů shody, které zcela ignorují, zda je zranitelnost skutečně využitelná ve vašem konkrétním prostředí.

Tato mezera je ještě více zdůrazněna u systémů AI, protože se neustále mění. Nové integrace jsou přidávány týdně. Oprávnění se vyvíjí. API připojení se mění. Vaše útočná plocha z minulého měsíce není vaší útočnou plochou dnes, ale vaše bezpečnostní hodnocení pravděpodobně ano.

Co skutečně znamená bezpečnost vědomá o útočné cestě

Zabezpečení AI v produkci vyžaduje fundamentálně odlišný přístup a spočívá ve čtyřech klíčových posunech myšlení.

První, potřebujete sjednocený přehled napříč bezpečnostními doménami. Přestaňte požadovat, aby každý bezpečnostní nástroj fungoval ve své vlastní izolaci. Vaše cloudová bezpečnost, správa identity, správa SaaS a skenování zranitelností všechny drží kusy puzzle útočné cesty. Musí sdílet data v reálném čase, abyste mohli vidět, jak se nesprávné konfigurace spojují.

Druhý, přijměte nepřetržité simulace útočné cesty. Nečekejte na penetrační testy nebo cvičení červeného týmu, abyste objevili využitelné cesty. Nepřetržitě testujte, jak by útočník mohl projít vaším prostředím, zaměřující se na skutečnou využitelnost spíše než na teoretické skóre závažnosti.

Třetí, priorizujte na základě kontextu. Nesprávně nakonfigurovaný S3 kbelík není kritický jen proto, že je veřejný. Je kritický, pokud je veřejný a obsahuje přihlašovací údaje a tyto přihlašovací údaje mají privilegovaný přístup a jsou dosažitelné z internetově exponovaného aktiva. Kontext matters více než jakýkoli jednotlivý skóre.

Čtvrtý, přesuňte se k preventivní opravě. Do té doby, než váš SOC tým bude vyšetřovat upozornění, už jste ztratili cenný čas reakce. Moderní obrana vyžaduje schopnost uzavřít využitelné cesty, než budou zneužity, ne až po incidentu.

Varování, které nemůžeme ignorovat

Jakmile se AI stane součástí každého vrstvy podnikového stacku, útočná plocha se rozšiřuje rychleji, než bezpečnostní týmy mohou manuálně rozumět. Přidáváme AI integrace desetkrát rychleji, než je zabezpečujeme.

Pokud zabezpečujete AI izolovaně, chráníte model, zatímco ignorujete ekosystém, ve kterém funguje, jste již pozadu. Útočníci nemyslí v nástrojích, myslí v cestách. Nemyslí na jednotlivé zranitelnosti. Spojují nesprávné konfigurace napříč celým vaším prostředím.

Podniky, které úspěšně zabezpečí AI, nebudou ty, které mají nejvíce bezpečnostních nástrojů AI. Budou to ty, které chápou, že bezpečnost AI je neodlučitelná od řízení expozice napříč celou útočnou plochou.

Bezpečnost modelu je základní podmínkou. Co matters je pochopit, co útočník může dosáhnout, když kompromituje AI integraci. Dokud bezpečnostní týmy nemohou odpovědět na tuto otázku nepřetržitě, v reálném čase, napříč celým prostředím, nezabezpečují AI. Pouze doufají, že zdi, které postavili, jsou na správných místech.

Related Topics:
mm

Piyush Sharma, spoluzakladatel a CEO Tuskira, přináší více než dvě desetiletí odborných znalostí v oblasti kybernetické bezpečnosti, které jsou podpořeny bakalářským titulem v oboru počítačových věd a MBA. Jako sériový podnikatel s dvěma úspěšnými výstupy zastával Piyush významné produktové a obchodní vedení role, včetně Symantec & Tenable. Také působil jako CEO a spoluzakladatel Accurics, který byl později získán společností Tenable Inc. Jako uznávaný vynálezce drží Piyush více než tucet patentů v oblasti kybernetické bezpečnosti, což demonstruje jeho inovativní příspěvky k tomuto oboru.