Bảo Mật AI Không Phải Là Điểm Mù, Chúng Ta Chỉ Đang Bảo Vệ Những Điều Sai

Ngành công nghiệp an ninh mạng có một mẫu khi một công nghệ mới xuất hiện, chúng ta ngay lập tức bắt đầu xây tường xung quanh nó. Chúng ta đã làm như vậy với đám mây, chúng ta đã làm như vậy với các container, và bây giờ, chúng ta đang làm như vậy với AI, ngoại trừ lần này, những bức tường chúng ta xây dựng nằm ở những vị trí hoàn toàn sai.

Bước vào bất kỳ đánh giá bảo mật doanh nghiệp nào ngày nay, và bạn sẽ nghe thấy những ưu tiên giống nhau: bảo mật mô hình AI, bảo vệ dữ liệu đào tạo, xác thực đầu ra, và triển khai các đồng pilot được hỗ trợ bởi AI. Các nhà cung cấp đang chạy đua để bán các công cụ “bảo mật AI” tập trung độc quyền vào các điều khiển cấp mô hình, chẳng hạn như các thanh chắn, phòng thủ tiêm lệnh, và các nền tảng giám sát mô hình.

Nhưng những kẻ tấn công đang sử dụng các tích hợp AI của bạn như những con đường cao tốc vào mọi thứ khác.

Diện Mạo Tấn Công Thật Sự Không Ai Đang Theo Dõi

Một mẫu mà chúng ta quan sát nhất quán trên các môi trường doanh nghiệp cho thấy một câu chuyện đáng lo ngại về các đội bảo mật đầu tư nặng vào việc bảo mật môi trường phát triển AI của họ: kiểm soát truy cập mô hình, khuôn khổ quản trị dữ liệu, công cụ bảo mật MLOps. Điều này mang lại sự tự tin sai lầm rằng AI của họ đã được “khóa lại.”

Nhưng khi bạn ánh xạ diện mạo tấn công thực sự, bạn sẽ thấy các rô-bốt trò chuyện AI thường giữ các token OAuth cho hàng chục nền tảng SaaS, các khóa API với quyền truy cập đám mây quá mức, và các mối quan hệ tin cậy danh tính có thể tạo ra các đường dẫn trực tiếp từ một lần tiêm lệnh đơn giản đến cơ sở hạ tầng sản xuất. Các mô hình bản thân có thể được bảo mật, nhưng các hệ sinh thái mà chúng tồn tại thường rộng mở, và đây không phải là một trường hợp ngoại lệ.

Các doanh nghiệp hiện sử dụng trung bình 130+ ứng dụng SaaS, với các tích hợp AI bao gồm các nhà cung cấp danh tính, cơ sở hạ tầng đám mây, cơ sở dữ liệu và các hệ thống kinh doanh quan trọng. Mỗi tích hợp là một đường dẫn tấn công tiềm năng, và mỗi kết nối API là một ranh giới tin cậy mà các kẻ tấn công đang tích cực thăm dò.

Vấn đề không phải là các công cụ bảo mật AI của chúng ta bị hỏng. Đó là chúng ta đang bảo mật các thành phần riêng lẻ trong khi các kẻ tấn công đang khai thác các kết nối giữa chúng.

Tại Sao Bảo Mật Tập Trung Vào Mô Hình Là Sai

Cách tiếp cận hiện tại đối với bảo mật AI hoạt động trên một sự hiểu lầm cơ bản về cách các cuộc tấn công hiện đại hoạt động. Chúng ta đối xử với AI như một tài sản độc lập cần được bảo vệ, tương tự như cách chúng ta có thể bảo mật một cơ sở dữ liệu hoặc ứng dụng web. Nhưng AI trong sản xuất không tồn tại trong sự cô lập. Đó là một nút trong một đồ thị phức tạp của các danh tính, quyền, API và luồng dữ liệu.

Hãy xem xét một triển khai AI doanh nghiệp điển hình. Bạn có một tác nhân AI với quyền truy cập vào Google Workspace của mình. Nó được kết nối với Salesforce thông qua API. Nó được tích hợp với Slack để nhận thông báo. Nó kéo dữ liệu từ các bucket S3 của AWS. Nó được xác thực thông qua Okta hoặc Azure AD. Nó kích hoạt các quy trình làm việc trong ServiceNow.

Bảo mật AI truyền thống tập trung vào mô hình bản thân: tư thế bảo mật, xác thực lệnh, an toàn đầu ra. Nhưng các kẻ tấn công tập trung vào các tích hợp: những gì họ có thể tiếp cận thông qua các tài khoản dịch vụ bị xâm phạm, nơi họ có thể chuyển hướng thông qua các thao túng API, những ranh giới tin cậy nào họ có thể vượt qua thông qua các tích hợp bị khai thác.

Cuộc tấn công không bắt đầu hoặc kết thúc với mô hình AI. Mô hình chỉ là điểm vào.

Các Đường Dẫn Tấn Công Không Tôn Trọng Ranhh Giới Sản Phẩm

Đây là nơi hầu hết các tổ chức bị kẹt. Họ đã triển khai các công cụ bảo mật mà mỗi công cụ cung cấp khả năng hiển thị vào một miền riêng. Một công cụ theo dõi các quyền truy cập đám mây. Một công cụ khác theo dõi các cấu hình SaaS. Một công cụ thứ ba quản lý quản trị danh tính. Một công cụ thứ tư xử lý quản lý lỗ hổng.

Mỗi công cụ cho bạn thấy một mảnh của câu đố. Không có công cụ nào cho bạn thấy cách các mảnh kết nối.

Theo Gartner, các tổ chức hiện sử dụng trung bình 45+ công cụ bảo mật. Tuy nhiên, mặc dù đầu tư khổng lồ này, các kẻ tấn công vẫn đang thành công trong việc tạo chuỗi các cấu hình sai trên các miền này vì không có công cụ nào có thể nhìn thấy toàn bộ đường dẫn tấn công.

Một kẻ tấn công không cần tìm thấy một lỗ hổng quan trọng trong mô hình AI của bạn. Họ chỉ cần tìm một chuỗi. Có thể đó là một vai trò IAM bị cấu hình sai được gắn vào dịch vụ AI của bạn, có quyền truy cập vào một bucket S3, chứa các thông tin đăng nhập cho một ứng dụng SaaS có quyền truy cập quản trị vào môi trường sản xuất của bạn.

Mỗi cấu hình sai riêng lẻ có thể đạt điểm “trung bình” hoặc “thấp” trong các công cụ bảo mật của bạn. Nhưng khi được kết nối chuỗi? Đó là một sự暴露 quan trọng. Và nó hoàn toàn vô hình nếu bạn đang xem xét từng miền bảo mật riêng biệt.

Yêu Cầu Quản Lý Phơi Nhiễm

Đây là lý do tại sao cuộc trò chuyện cần chuyển từ “bảo mật AI” sang quản lý phơi nhiễm liên tục cho các môi trường tích hợp AI.

Không đủ để hỏi liệu các mô hình AI của chúng ta có an toàn hay không. Các đội bảo mật cần hiểu những gì một kẻ tấn công có thể thực sự tiếp cận nếu họ xâm phạm một tài khoản dịch vụ AI. Họ cần khả năng hiển thị vào cách các cấu hình sai trên các hệ thống đám mây, SaaS và danh tính có thể được kết nối chuỗi. Họ cần biết cách các tích hợp AI đang thay đổi diện mạo tấn công của họ theo thời gian thực. Và họ cần ưu tiên các rủi ro dựa trên khả năng tấn công thực tế, không chỉ dựa trên các điểm số nghiêm trọng.

Hầu hết các chương trình bảo mật vẫn ưu tiên các rủi ro riêng lẻ, sử dụng các điểm số CVSS và các danh sách kiểm tra tuân thủ hoàn toàn bỏ qua việc liệu một lỗ hổng có thực sự có thể khai thác trong môi trường cụ thể của bạn hay không.

Khoảng cách này thậm chí còn rõ ràng hơn với các hệ thống AI vì chúng thay đổi liên tục. Các tích hợp mới được thêm vào hàng tuần. Các quyền thay đổi. Các kết nối API thay đổi. Diện mạo tấn công của bạn từ tháng trước không phải là diện mạo tấn công của bạn ngày hôm nay, nhưng đánh giá bảo mật của bạn có thể vẫn như vậy.

Cái Gì Bảo Mật Nhận Biết Đường Dẫn Tấn Công Thật Sự Trông Như Thế Nào

Bảo mật AI trong sản xuất đòi hỏi một cách tiếp cận cơ bản khác, và nó phụ thuộc vào bốn sự thay đổi chính trong tư duy.

Thứ nhất, bạn cần khả năng hiển thị thống nhất trên các miền bảo mật. Ngừng yêu cầu mỗi công cụ bảo mật hoạt động trong một silo riêng. Các công cụ bảo mật đám mây, quản trị danh tính, quản lý SaaS và quét lỗ hổng của bạn đều nắm giữ các mảnh của câu đố đường dẫn tấn công. Chúng cần chia sẻ dữ liệu theo thời gian thực để bạn có thể thấy cách các cấu hình sai kết nối chuỗi.

Thứ hai, hãy chấp nhận mô phỏng đường dẫn tấn công liên tục. Đừng chờ đợi các cuộc kiểm tra thâm nhập hoặc các cuộc tập trận đội đỏ để khám phá các đường dẫn có thể khai thác. Liên tục kiểm tra cách một kẻ tấn công có thể di chuyển qua môi trường của bạn, tập trung vào khả năng khai thác thực tế hơn là dựa vào các điểm số nghiêm trọng lý thuyết.

Thứ ba, hãy ưu tiên dựa trên ngữ cảnh. Một bucket S3 bị cấu hình sai không quan trọng chỉ vì nó là công khai. Nó quan trọng nếu nó là công khai và chứa các thông tin đăng nhập và những thông tin đăng nhập đó có quyền truy cập đặc biệt, và chúng có thể tiếp cận được từ một tài sản暴露 trên internet. Ngữ cảnh quan trọng hơn bất kỳ điểm số riêng lẻ nào.

Thứ tư, hãy chuyển hướng tới việc khắc phục trước. Bằng thời điểm đội SOC của bạn đang điều tra một cảnh báo, bạn đã mất đi thời gian phản hồi quý giá. Phòng thủ hiện đại đòi hỏi khả năng đóng các đường dẫn có thể khai thác trước khi chúng được vũ khí hóa, không phải sau khi một sự cố xảy ra.

Cảnh Báo Chúng Ta Không Thể Bỏ Qua

Khi AI trở nên nhúng vào mọi lớp của ngăn xếp doanh nghiệp, diện mạo tấn công đang mở rộng nhanh hơn các đội bảo mật có thể lý luận về nó theo cách thủ công. Chúng ta đang thêm các tích hợp AI với tốc độ 10 lần so với tốc độ chúng ta bảo mật chúng.

Nếu bạn đang bảo mật AI trong sự cô lập, bảo vệ mô hình trong khi bỏ qua hệ sinh thái mà nó hoạt động, bạn đã bị bỏ lại phía sau. Các kẻ tấn công không nghĩ về các công cụ, họ nghĩ về các đường dẫn. Họ không khai thác các lỗ hổng riêng lẻ. Họ kết nối chuỗi các cấu hình sai trên toàn bộ môi trường của bạn.

Các doanh nghiệp sẽ bảo mật AI thành công không phải là những doanh nghiệp có nhiều công cụ bảo mật AI nhất. Họ sẽ là những doanh nghiệp hiểu rằng bảo mật AI là không thể tách rời với quản lý phơi nhiễm trên toàn bộ diện mạo tấn công của họ.

Bảo mật mô hình là điều kiện tiên quyết. Điều quan trọng là hiểu những gì một kẻ tấn công có thể tiếp cận khi họ xâm phạm một tích hợp AI. Cho đến khi các đội bảo mật có thể trả lời liên tục, theo thời gian thực, trên toàn bộ môi trường của họ, họ không bảo mật AI. Họ chỉ hy vọng những bức tường họ xây dựng đang ở đúng vị trí.