Tekoälyturvallisuus ei ole rikki, puolustamme vain väärää asiaa

Kyberturva-alalla on tapana, kun uusi teknologia ilmestyy, rakentaa välittömästi sen ympärille muureja. Teimme tämän pilvessä, teimme tämän kontteja käyttäen, ja nyt teemme tämän tekoälyllä, paitsi että tämän kerran muurit, joita rakennamme, ovat täysin väärässä paikassa.

Käyessäsi missä tahansa yrityksen tietoturva-arvioinnissa tänä päivänä, kuulet samat prioriteetit: tekoälymallien turvallisuuden varmistaminen, koulutusdatan suojaaminen, tulostusten validointi ja tekoälyvoimien käyttöönotto. Toimittajat kilpailevat myydäkseen “tekoälyturvallisuustyökaluja”, jotka keskittyvät yksinomaan mallitasolla oleviin valvontaan, kuten kaiteisiin, ohjelmointipuolustuksiin ja mallinseurantaplattoihin.

Mutta hyökkääjät käyttävät tekoäly-integraatioita moottoriteina kaikkeen muuhun.

Todellinen hyökkäyspinta, jota kukaan ei ole seuraamassa

Yksi malli, jota havaitsemme johdonmukaisesti yritysympäristössä, kertoo huolestuttavan tarinan tietoturva ryhmistä, jotka panostavat voimakkaasti tekoäly-kehitysympäristönsä turvallisuuteen: mallin pääsytunnukset, datanhallintakehykset, MLOps-turvallisuustyökalut. Tämä antaa virheellisen luottamuksen, että heidän tekoälynsä on “lukittu”.

Mutta kun kartoitset todellisen hyökkäyspinnan, näet, että tekoäly-keskustelubotit usein pitävät OAuth-tunnuksia kymmeniin SaaS-alustoihin, API-avaimia, joilla on liialliset pilvi-oikeudet, ja identiteettien luottamussuhteita, jotka voivat luoda suoran polun yksinkertaisesta ohjelmointipuolustuksesta tuotantoinfrastruktuuriin. Mallit itsessään saattavat olla turvallisia, mutta ekosysteemit, joissa ne elävät, ovat usein avoimia, eikä tämä ole reunatapaus.

Yritykset käyttävät keskimäärin 130+ SaaS-sovellusta, ja tekoäly-integraatiot kattavat identiteettitoimittajat, pilvi-infrastruktuurin, tietokannat ja liiketoimintakriittiset järjestelmät. Kukin integraatio on potentiaalinen hyökkäysreitti, ja jokainen API-yhteys on luottamuksen raja, jota hyökkääjät aktiivisesti tutkivat.

Ongelma ei ole siinä, että tekoälyturvallisuustyökalumme ovat rikkoontuneita. Se on siinä, että turvalliset yksittäiset komponentit hyökkääjien hyväksikäyttöä yhteyksiä niiden välillä.

Miksi mallikeskeinen turvallisuus ei ole oikein

Nykyinen tekoälyturvallisuuden lähestymistapa perustuu perustavanlaatuiseen väärinkäsitykseen siitä, miten modernit hyökkäykset toimivat. Käsittelemme tekoälyä erillisenä omaisuutena, jota on suojeltava, samalla tavalla kuin suojelisimme tietokantaa tai web-sovellusta. Mutta tekoäly tuotannossa ei ole erillään. Se on solmu monimutkaisessa identiteettien, oikeuksien, API:en ja tietovirtojen verkossa.

Tarkastele tyypillistä yrityksen tekoäly-käyttöönottoa. Sinulla on tekoäly-agentti, jolla on pääsy Google Workspaceen. Se on yhdistetty Salesforceen API:en kautta. Se on integroitu Slackiin ilmoitusten lähettämiseksi. Se hakee tietoja AWS S3-bucketista. Se on todennettu Okta- tai Azure AD: n kautta. Se laukaisee työnkulkuja ServiceNow:ssa.

Perinteinen tekoälyturvallisuus keskittyy itse malliin: sen turvallisuusasema, ohjelmointipuolustus, tulostus turvallisuus. Mutta hyökkääjät keskittyvät integraatioihin: mihin he voivat päästä minkä tahansa palvelun tunnuksilla, mihin he voivat siirtyä API-manipulaatioiden kautta, mitkä luottamuksen rajat he voivat ylittää hyväksikäyttämällä integraatioita.

Hyökkäys ei ala eikä lopu tekoäly-mallissa. Malli on vain sisäänpääsy.

Hyökkäysreitit eivät kunnioita tuotteen rajoja

Tässä kohtaa useimmat organisaatiot jäävät jumiin. He ovat käyttöönotettaneet turvallisuustyökaluja, jotka antavat näkyvyyden yksittäiseen alueeseen. Yksi työkalu seuraa pilvi-oikeuksia. Toinen seuraa SaaS-konfiguraatioita. Kolmas hallinnoi identiteettien hallintaa. Neljäs hoitaa haavoittuvuuden hallintaa.

Jokainen työkalu näyttää sinulle palan puzzlesta. Mikään niistä ei näytä, miten palat liittyvät toisiinsa.

Gartnerin mukaan organisaatiot käyttävät keskimäärin 45+ turvallisuustyökalua. Vaikka tämä on valtava panostus, hyökkääjät onnistuvat ketjuamalla määritysvirheitä näiden alueiden yli, koska yksikään työkalu ei voi nähdä koko hyökkäysreittiä.

Hyökkääjän ei tarvitse löytää kriittistä haavoittuvuutta tekoälymallissasi. He vain tarvitsevat ketjun. Ehkä se on väärin määritelty IAM-rooli, joka on liitetty tekoäly-palveluusi, jolla on oikeudet S3-bucketiin, joka sisältää tunnistetietoja SaaS-sovellukseen, jolla on pääsy tuotantoympäristöösi.

Jokainen yksittäinen määritysvirhe saattaa saada “keskitasoisen” tai “matalan” turvallisuustyökaluissasi. Mutta ketjutettuna? Se on kriittinen altis. Ja se on täysin näkymätön, jos tarkastelet jokaista turvallisuusaluetta erillisesti.

Altistumisen hallinnan imperatiivi

Tämä on syystä, miksi keskusteluun on siirryttävä “tekoälyturvallisuudesta” jatkuvaan uhka-altistumisen hallintaan tekoäly-integroituissa ympäristöissä.

Ei riitä kysyä, ovatko tekoälymallimme turvallisia. Turvallisuusjoukkueiden on ymmärrettävä, mitä hyökkääjä voi todella tavoittaa, jos he rikkoavat tekoäly-palvelun. Heidän on oltava selville, miten määritysvirheet pilvi-, SaaS- ja identiteettijärjestelmissä voivat olla ketjutettuina. Heidän on oltava tietoisia, miten tekoäly-integraatiot muuttavat heidän hyökkäyspintaansa reaaliajassa. Ja heidän on priorisoitava riskejä todellisen hyökkäävyyden perusteella, ei vain vakavuuspisteiden perusteella.

Useimmat turvallisuusohjelmat priorisoivat edelleen riskejä erillisesti, käyttäen CVSS-pisteitä ja vaatimusten täyttämistä, jotka täysin jättävät huomiotta, onko haavoittuvuus todella hyökkäävissä teidän tiettyyn ympäristöön.

Miten hyökkäysreittitietoinen turvallisuus näyttää oikeasti

Tekoälyturvallisuuden varmistaminen tuotannossa vaatii perustavanlaatuista muutosta, ja se tulee neljästä avainmuutoksesta ajattelussa.

Ensinnäkin, tarvitset yhdistetyn näkyvyyden turvallisuusalueiden yli. Lopeta kunkin turvallisuustyökalun toimiminen omassa eristetyssä ympäristössään. Pilviturvallisuus, identiteettien hallinta, SaaS-hallinta ja haavoittuvuuden hallinta -kaikki nämä työkalut pitävät osaa hyökkäysreitin palapelistä. Niiden on jaettava tietoja reaaliajassa, jotta voit nähdä, miten määritysvirheet ketjutetaan.

Toiseksi, omaksu jatkuva hyökkäysreitin simulaatio. Älä odota, että penentrointitestausta tai punaisen joukkueen harjoituksia, jotta löydät hyökkäävissä olevia polkuja. Testaa jatkuvasti, miten hyökkääjä voi liikkua ympäristössäsi, keskittyen todelliseen hyökkäävyyteen teoreettisten vakavuuspisteiden sijaan.

Kolmanneksi, priorisoi asiayhteyden perusteella. Virheellisesti määritelty S3-bucketti ei ole kriittinen vain siksi, että se on julkinen. Se on kriittinen, jos se on julkinen ja sisältää tunnistetietoja ja nämä tunnistetiedot ovat ylivoimaisia ja ne ovat saatavilla internetissä olevasta kohteesta. Asiayhteys on tärkeämpää kuin mikään yksittäinen pisteytys.

Neljänneksi, siirry ennaltaehkäisevään korjaamiseen. Kun turvallisuusjoukkueesi tutkii hälytystä, olet jo menettänyt arvokasta reagointiaikaa. Nykyaikainen puolustus vaatii kykyä sulkea hyökkäävissä olevia polkuja ennen kuin ne ovat aseistettu, ei vasta tapahtuman jälkeen.

Varoitus, jota emme voi jättää huomiotta

Kun tekoäly upotetaan jokaiseen kerrokseen yrityksen pinossa, hyökkäyspinta laajenee nopeammin kuin turvallisuusjoukkueet voivat manuaalisesti ajatella siitä. Lisäämme tekoäly-integraatioita 10 kertaa nopeammin kuin turvallisuutta.

Jos turvallisuudessa tekoäly on erillään, suojelet mallia ja jätät ekosysteemin, jossa se toimii, huomiotta, olet jo jäljessä. Hyökkääjät eivät ajattele työkaluissa, he ajattelevat poluissa. He eivät hyökkää yksittäisiin haavoittuvuuksiin. He ketjuttavat määritysvirheitä koko ympäristössäsi.

Yritykset, jotka turvallisuudessa tekoälyä onnistuneesti, eivät ole niitä, joilla on eniten tekoälyturvallisuustyökaluja. Ne ovat niitä, jotka ymmärtävät, että tekoälyturvallisuus on erottamaton altistumisen hallinnasta koko hyökkäyspinnassa.

Malliturvallisuus on perusvaatimus. Se, mitä on tärkeää, on ymmärtää, mitä hyökkääjä voi tavoittaa, jos he rikkoavat tekoäly-integraation. Kunnes turvallisuusjoukkueet voivat vastata tähän jatkuvasti, reaaliajassa, koko ympäristössä, he eivät turvallisuutta tekoälyä. He vain toivovat, että muurit, jotka he ovat rakentaneet, ovat oikeassa paikassa.