Najnovejše poročilo Google Threat Intelligence Group je koristno, ker se izogiba karikaturi »kibernetskega tveganja AI«. Sporočilo je bolj praktično in bolj nelagodno: nasprotniki ne čakajo na nekakšno prihodnjo superinteligenco. Že zdaj uporabljajo današnje modele za pospeševanje raziskav ranljivosti, razvoj zlonamerne programske opreme, izvidovanje, goljufivo infrastrukturo in napade na komponente AI programske opreme.
Za vodstvo ključno vprašanje ni to, da AI nenadoma naredi vsakega napadalca briljantnega. Gre za to, da AI zmanjšuje trenje na različnih delih življenjskega cikla napada. Delo, ki je nekoč zahtevalo več časa, več ljudi ali večje strokovno znanje, je zdaj mogoče izvajati s pomočjo, ponavljati in skalirati. To spremeni ekonomiko napada.
Strateško tveganje ni v tem, da AI ustvarja povsem novo kibernetsko magijo. Tveganje je v tem, da navadno ofenzivno delo postane hitrejše, cenejše in lažje za industrializacijo.
Kaj je opazila skupina GTIG
Poročilo Google opisuje dozorevajoč premik od eksperimentalne rabe AI k bolj operativni rabi s strani akterjev groženj. Izstopa več vzorcev.
- AI-podprto odkrivanje ranljivosti in razvoj izkoriščanj. GTIG poroča, da akterji groženj uporabljajo AI kot multiplikator sil pri raziskavah ranljivosti, vključno z zero-day izkoriščanjem, ki je bilo po oceni Google razvito s pomočjo AI.
- AI-podprta zlonamerna programska oprema in izogibanje zaznavanju. Nasprotniki z modeli pomagajo pisati operativna orodja, generirati vabično logiko, ustvarjati obfuskacijo in podpirati polimorfno vedenje.
- AI-omogočena orchestracija napadov. Zlonamerna programska oprema, kot je PROMPTSPY, kaže, kako modeli lahko interpretirajo stanje naprave in vračajo strukturirane akcije ter se tako premikajo bližje avtonomnim operativnim zankam.
- Boljše izvidovanje in socialni inženiring. Modeli pomagajo napadalcem pri raziskovanju organizacij, kartiranju vlog in odnosov, prepoznavanju ciljnih okolij ter generiranju bolj verodostojnih vab.
- Industrializiran dostop do AI-storitev. Akterji gradijo vmesniško programsko opremo, proxy-storitve, sisteme za združevanje računov in avtomatizirane registracijske cevovode za pridobitev ali preprodajo dostopa do premium modelov v velikem obsegu.
- Napadi na same komponente AI. AI-ovijalniki, odprtokodne veščine, vtičniki, API-prehodi in odvisnosti CI/CD so vse privlačnejše začetne dostopne poti.
Nič od tega ne pomeni, da ima vsak napadalec zdaj napredne zmogljivosti. Pomeni pa, da se osnova premika. Napadalec z nižjimi stroški postane zmogljivejši, zmogljiv napadalec pa postane hitrejši.
Razlaga na ravni uprave
Mnoge organizacije še vedno razpravljajo o varnosti AI kot o temi tveganja modela: halucinacije, pristranskost, zasebnost, vbrizgavanje pozivov in skladnost s politikami. To ostaja pomembno. Toda poročilo GTIG kaže na širšo operativno realnost. AI je zdaj del napadalčevih orodij, vaš lastni AI ekosistem pa postaja del napadne površine.
To ustvarja dve povezani vprašanji za vodstvo:
- Kako AI spreminja hitrost in obliko napadov na nas?
- Koliko so izpostavljeni naša AI orodja, agenti, odvisnosti in poverilnice?
Če ta vprašanja niso vidna v varnostnem načrtu, organizacija verjetno obravnava AI kot inovacijski program, ne pa še kot operativno tveganje podjetja.
Kje začnejo tradicionalne kontrole kazati šibkost
Obstoječe kontrole so še vedno pomembne. Upravljanje popravkov, MFA, zaščita končnih točk, beleženje, varno kodiranje in upravljanje dobavne verige niso postali zastareli. Pravzaprav so postali še pomembnejši. Toda vedenje nasprotnikov, omogočeno z AI, bolj obremenjuje njihove šibke točke.
Na primer, upravljanje ranljivosti se ne more zanašati zgolj na mesečne rituale razvrščanja po prednostih, če napadalci z modeli lahko pospešijo razumevanje izkoriščanj. Kontrole identitete ne morejo predpostavljati, da bo kakovost lažnega ribolova ostala lahka za prepoznavanje. Upravljanje varnosti programske dobavne verige se ne more ustaviti pri »uporabljamo ugledne pakete«, ko so zlonamerne zahteve za vlečenje, zastrupljene odvisnosti in kompromitirani gradbeni sistemi zdaj del zgodbe AI platforme.
Vrzel pogosto ni odsotnost kontrol. Je pomanjkanje integracije med sprejemanjem AI, dobavno verigo programske opreme, identiteto, upravljanjem skrivnosti, inženiringom zaznavanja in odzivom na incidente.
AI agenti ustvarjajo problem dovoljenj
Razprava v poročilu o komponentah AI in ekosistemih agentov je posebej relevantna za podjetja, ki eksperimentirajo z avtonomnimi orodji. Agenti postanejo koristni, ko lahko uporabljajo orodja, berejo datoteke, kličejo API-je, izvajajo ukaze, posodabljajo vstopnice, poizvedujejo po bazah podatkov ali orchestrirajo delovne tokove. Ta ista dovoljenja ustvarjajo nov problem kontrol.
Če agent lahko opravi koristno delo, bo morda kompromitiranа odvisnost, zlonamerna veščina, nevaren vtičnik, veriga vbrizgavanja pozivov ali ukraden API-žeton zmogla povzročiti koristno škodo. Zato »varnosti agentov« ne bi smeli obravnavati kot noviteto. Je normalen problem privilegiranega dostopa z novimi vmesniki in hitrejšim izvajanjem.
Praktično upravljanje bi moralo zajemati:
- Dovoljenja orodij: agenti bi morali dobiti minimalna orodja, potrebna za nalogo, ne pa splošnega ključa za stavbo.
- Izvor odvisnosti: veščine, vtičniki, ovijalniki in modelni prehodi potrebujejo pregled vira, zaklepanje različic in varnostno pregledovanje.
- Izolacija skrivnosti: agenti ne bi smeli nenamerno podedovati širokega dostopa do okolja ali dolgožive produkcijske poverilnice.
- Meje izvajanja: dostop do datotek, izvajanje ukazov, omrežni klici in zunanje objavljanje bi morali biti zaprta z politiko in dnevniki.
- Nadzor: aktivnost agenta bi morala ustvarjati telemetrijo, ki jo varnostne ekipe dejansko lahko pregledajo.
Kaj storiti zdaj
Odgovor ni prepoved AI orodij. To bi bilo tako nerealistično kot strateško šibko. Odgovor je posodobitev modela groženj in bolj ekspliciten obrambni operativni model.
1. Osvežite model groženj za napadalce s pomočjo AI
Preglejte napadne poti, kjer je hitrost pomembna: sistemi, ki so dostopni prek interneta, tokovi obnovitve identitete, cevovodi za gradnjo programske opreme, službe za podporo, procesi finančnega odobravanja in privilegirano administrativno orodje. Vprašajte se, kaj se spremeni, ko napadalec lahko avtomatizira raziskave, generira kodo, preizkuša tovore in ustvarja verodostojna sporočila hitreje kot prej.
2. Popisite AI dobavno verigo programske opreme
Navedite AI-prehode, SDK-je, okvire agentov, vtičnike, veščine, ovijalniki, knjižnice pozivov, API-je modelov in integracije CI/CD, ki so v uporabi. Mnoge organizacije bodo ugotovile, da je njihovo AI-posestvo večje, kot kaže formalni arhitekturni diagram.
3. Obravnavajte pozive, orodja in veščine kot operativna sredstva
Pozivi niso le besedilo. V agentnih sistemih lahko pozivi določajo vedenje, rabo orodij, eskalacijsko logiko in dostop do podatkov. Veščine in vtičniki so programska oprema. Zaslužijo si pregled, odobritev, lastništvo in poti za povrnitev na prejšnje stanje.
4. Utrdite skrivnosti in storitvene račune okoli AI delovnih tokov
AI orodja se pogosto nahajajo blizu vrednih poverilnic: API-ključev, oblačnih žetonov, dostopa do repozitorijev, sistemov za sledenje nalogam, dokumentnih shramb in podatkov o strankah. Uporabite kratkoživečne poverilnice, obsežena dovoljenja in robustno beleženje. Predpostavljajte, da bodo napake nastale.
5. Izboljšajte zaznavanje za aktivnosti oblikovane z AI
Iščite nenormalno agregacijo API-jev, nenavadne klice modelov, sumljivo avtomatizacijo v razvijalskih okoljih, nove vzorce odhodnega omrežja, aktivnost računov z velikim obsegom in nepričakovano izvajanje orodij s strani agentov ali CI-poslov.
6. Izvedite vaje odzivanja na incidente za komponente AI
Ali lahko ekipa varno onemogoči agenta? Rotira API-ključe modelov? Prekliče dostop vtičnika? Ugotovi, kateri delovni tokovi so uporabljali kompromitirani paket? Ponovno zgradi iz zaupanja vrednih odvisnosti? Če ne, je načrt odzivanja nepopoln.
Ključno sporočilo za vodstvo
AI spreminja kibernetsko tveganje manj kot posamezno novo orožje in bolj kot platforma za produktivnost ofenzive. Pomaga napadalcem pisati, testirati, raziskovati, koordinirati in skalirati. Prav tako ustvarja nove tarče znotraj plasti AI programske opreme, ki jo mnoge organizacije sprejemajo hitreje, kot jo upravljajo.
Varnostni vodje bi se morali izogibati obema skrajnostma: zavračanju vprašanja kot hype ali obravnavanju tega kot znanstvene fantastike. Praktična srednja pot je boljša. Posodobite model groženj, zaščitite dobavno verigo AI, omejite dovoljenja agentov, nadzorujte novo telemetrijo in zagotovite, da odzivanje na incidente lahko deluje tako hitro kot nameščeni sistemi.
Skratka: če AI postaja del tega, kako podjetje deluje, mora postati tudi del tega, kako se podjetje brani.
Vir: Google Cloud Blog, »GTIG AI Threat Tracker: Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access«.