В тот момент он говорил не о Google, но очевидно, что даже Google все еще разбирается в ситуации.
Основной посыл Де Соузы — это то, что специалисты по безопасности годами пытались донести до руководителей, а теперь это стало насущным из-за ИИ: безопасность не может быть второстепенным вопросом. «По мере того как компании вступают на этот путь ИИ, им необходимо применять платформенный подход, — сказал он. — Безопасность — это не то, что можно прикрутить позже, и не то, что можно оставить на усмотрение сотрудников». Он особо предостерег от «теневого ИИ» — когда сотрудники обращаются к потребительским инструментам без организационного надзора — и утверждал, что компании должны с самого начала требовать от своих платформ безопасности, управления и возможности аудита. «Не существует стратегии ИИ без стратегии данных и стратегии безопасности. Они должны идти рука об руку».
Стоит отметить: он не продвигал исключительно Google Cloud. Когда я заметил, что его совет звучит как реклама Google, он возразил. По его словам, Google привержена подходу multicloud, и он привел аргументы, что компании, которые считают, что работают в одном облаке, почти наверняка ошибаются. «Даже если они выбирают одно облако, они полагаются на SaaS-приложения, есть деловые партнеры, которые могут использовать другие облака», — сказал он. «Важно, чтобы у компаний была согласованная политика безопасности во всех облаках, во всех моделях».
Он также утверждал, что ландшафт угроз изменился настолько фундаментально, что старые защитные модели слишком медленны. Он отметил, что среднее время между первоначальным взломом и переходом к следующему этапу атаки сократилось с восьми часов до 22 секунд, а поверхность атаки вышла далеко за пределы традиционного сетевого периметра. «В дополнение к вашему обычному активу у вас теперь есть модели. У вас есть конвейеры данных, используемые для обучения моделей. У вас есть агенты, у вас есть промпты. Все это необходимо защищать».
Одна из угроз, на которую указал Де Соуза и которая не получает достаточного внимания: агенты, перемещающиеся по внутренним системам компании, могут обнаружить забытые репозитории данных, о которых никто не вспоминал годами. «У многих организаций есть старые серверы SharePoint [и элементы управления доступом], которые они на самом деле не обновляли, но это не имело значения, потому что никто толком не знал, где они находятся. Но агенты, бродящие по вашему предприятию, найдут эти активы данных и раскроют хранящиеся на них данные».
Ответ, по его мнению, заключается в том, чтобы соответствовать скорости машины скоростью машины. «Мы наблюдаем появление защиты, полностью основанной на ИИ и агентах, где организации могут запускать агентов, управляющих их защитой», — сказал он. «Вместо защиты, управляемой человеком, или даже человека в контуре, теперь можно иметь людей, контролирующих полностью агентную защиту». Он добавил, что это стало вопросом лидерства, а не только технологическим. «Это вопрос уровня совета директоров и вопрос исполнительной команды. Это не только вопрос команды безопасности».
Но даже по мере того, как ИИ берет на себя большую часть оборонительной нагрузки, квалифицированных специалистов для контроля за ним не хватает — а уязвимости, которые вносит сам ИИ, множатся быстрее, чем команды безопасности успевают их устранить. «Нам понадобятся люди для борьбы с «баг-апокалипсисом», — сказала на этой неделе директор по информационной безопасности LinkedIn Лиа Кисснер газете New York Times, добавив, что не ожидает, что отрасль сможет устойчиво понять безопасность ИИ в долгосрочной перспективе как минимум в течение нескольких лет».
Что возвращает нас к самим поставщикам платформ. The Register опубликовал серию отчетов за последние несколько недель, документирующих волну разработчиков Google Cloud, получивших счета на пятизначные суммы после несанкционированных вызовов API к моделям Gemini — сервисам, которыми многие из них никогда не пользовались или которые намеренно не активировали. Случаи следовали знакомому сценарию: ключи API, изначально развернутые для Google Maps, размещенные публично согласно собственным инструкциям Google, незаметно получили возможность доступа к Gemini после того, как Google расширила их область действия без четкого раскрытия этого изменения.
Род Данан, генеральный директор платформы для подготовки к собеседованиям Prentus, сообщил, что его счет составил $10 138 примерно за 30 минут после того, как злоумышленники использовали его скомпрометированный ключ API. Исуру Фонсека, разработчик из Сиднея, чей аккаунт был аналогично скомпрометирован, проснулся с обвинениями примерно на 17 000 австралийских долларов, хотя полагал, что у него установлен лимит расходов в 250 долларов. Никто из них не знал, что автоматизированные системы Google обновили их уровни выставления счетов на основе истории аккаунта, подняв их эффективные потолки до 100 000 долларов без явного согласия.
Google вернула деньги обоим после того, как The Register опубликовал первоначальный отчет. Тем не менее, Google сообщила The Register, что не планирует менять свою политику автоматического повышения уровня, заявив, что отдает приоритет предотвращению сбоев в обслуживании, а не соблюдению заявленных пользователями предпочтений по бюджету.
А пока остается отдельный вопрос о том, что происходит, когда разработчик пытается все отключить. На этой неделе The Register сообщила об исследовании фирмы безопасности Aikido, обнаружившем, что даже разработчики, которые обнаружили скомпрометированный ключ и немедленно удалили его, могут быть не в безопасности. Согласно выводам Aikido, злоумышленники могут продолжать использовать этот ключ до 23 минут, поскольку отзыв ключа Google постепенно распространяется по ее инфраструктуре. Исследователь Aikido Джозеф Леон сообщил The Register, что в течение этого окна показатели успеха непредсказуемы — в некоторые минуты более 90% запросов все еще проходили аутентификацию — и злоумышленники могут использовать это время для эксфильтрации файлов и кэшированных данных разговоров из Gemini.
Леон также отметил, что новые форматы учетных данных самого Google, похоже, не имеют той же проблемы: учетные данные API сервисных аккаунтов отзываются примерно за пять секунд, а новый формат ключей Gemini с префиксом AQ занимает около минуты. «Оба работают в масштабе Google», — написал он в соответствующей статье Aikido. «Оба предполагают, что это технически решаемо и для ключей API Google». Короче говоря, по мнению Леона, 23-минутное окно — это не инженерное ограничение, а вопрос приоритетов компании.
Это стоит учитывать при чтении советов Де Соузы, которые верны и должны восприниматься очень серьезно. Он не ошибается, но в настоящее время существует разрыв между тем, что предписывают платформы, и тем, насколько быстро они сами адаптируются, и об этом тоже полезно знать.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connie Loizos
