Siber güvenlik, geleneksel olarak kullanıma hazır BT donanım ve yazılımlarının kullanımını güvence altına almıştır. Yine de bu yılki neredeyse tüm finalistler‘RSA Innovation Sandbox, uygulamaların oluşturulmasından, makine öğrenimi sistemlerinden ve API entegrasyonlarından kaynaklanan saldırı yüzeylerinin güvenliğini sağlamaya odaklandı. Bu, eski SecDevOps ve yazılım tedarik zinciri güvenliği gibi görünse de, bu yenilikçiler daha büyük bir fırsata odaklanmış durumda.
Innovation Sandbox, RSA’dır‘S Köpekbalığı tankıJüri önünde sunum yapmak üzere 10 startup finalisti getiren yarışma benzeri bir yarışma. Hidden Layer, makine öğrenimi sistemlerini rakip yapay zekaya karşı savunduğu için birincilik ödülünü aldı.
Bugün her şirket bir yazılım şirketi ve her yıl daha fazla geliştirici ve veri bilimcisi geliyor. Yine de geliştirici olmayanlar da yazılım oluşturmaya başladı. Herkes ChatGPT’den favori SaaS uygulamasına API entegrasyonlarını kodlamasını isteyebilir. Veya görevleri düzenleme araçlarının oyun kitaplarına sürüklemek için. Bu yılın finalistleri, yazılım geliştirmenin bu büyüyen iş faaliyetinin ürettiği yeni saldırı yüzeylerini vurguladılar.
ML Sistemlerinde Şaşırtıcı Güvenlik Açıkları
Cylance, 2019’da doğrudan makine öğrenimi sistemlerini hedef alan düşmanca bir yapay zeka saldırısıyla vuruldu. İlgili kişiler, siber savaşın geleceğine tanık olduklarından o kadar emindi ki Innovation Sandbox kazananı Hidden Layer’ı kurdular.
Gizli Katman, makine öğrenimi sistemlerini, zehirli eğitim verileri gibi halkın duymuş olabileceği saldırılara karşı korur. Yine de endüstri henüz‘Makine öğrenimi sistemlerinden fikri mülkiyeti (IP) çalmanın ne kadar kolay olduğunu gerçekten ele almadık. Örnek olarak, çıkarım saldırıları, kurbanı taklit etmek için yeni modelleri otomatik olarak eğiten etiketler oluşturmayı öğrenerek dağıtılan makine öğrenimi modellerini araştırır.‘şimdi çalınan IP.
Gizli Katman, müşteri modellerini henüz hazırlanırken korur, güvenlik açıklarını algılar ve dağıtıldıktan sonra modelleri korur ve gizler. Hidden Layer, ürünlerine ek olarak, bu alışılmadık dünya için yönetilen bir algılama ve yanıt hizmeti sunar.
Birçoğu, OpenAI gibi üçüncü taraf AI sağlayıcılarının sunabileceği içgörüleri ve otomasyonu istiyor. yine de yapmazlar‘hassas verileri paylaşmak istemiyorum. Yapay zeka gizliliğinin kutsal kâsesi olan tamamen homomorfik şifreleme üzerinde çalışan finalist Zama girin.
zama‘s tamamen homomorfik şifreleme, son müşterilerinin‘hassas verileri şifreli metin yapılarında şifrelemek ve ardından üçüncü taraf yapay zeka sağlayıcıları ile paylaşmak için s uygulama geliştiricileri. Bu üçüncü taraf yapay zeka sağlayıcı, yapılandırılmış şifreli metin üzerindeki çalışmasını tamamladıktan sonra, yeni analitik içgörüler, verilerini ilk başta paylaşan müşteriye geri verilir. homomofik‘sihri şimdi olduğu gibi oluyor‘üçüncü taraf yapay zekanın bütünlüğü ile şifresi çözülür‘içgörüleri ve bunların müşteriyle ilişkisi‘özel verileri bozulmamış. Yine de hiçbir sır paylaşılmadı, yalnızca şifrelenmiş şifreli metin paylaşıldı.
zama‘s twist, ondalık sayılar yerine tamsayıları kullanarak optimize eden bir niceleme tekniğidir; ikincisi temel matematik için bile ekstra CPU yönergeleri gerektirir.
Kodu Eleştirmek Yerine Yazılım Geliştiricilerini Etkinleştirme
Sola kaydırma hareketi, geliştiricilerin güvenli olmayan kodu düzeltmesini sağlayamadı. Bu yıl‘startup’ları kod analizinden çok geliştiricilerin en başta güvenli kod yazmasına yardımcı olmaya odaklandı.
İkinci sırayı, tek satırlık API entegrasyonları ile uygulamalara yerleştirilebilen, zaten çalışan güvenlik işlevselliği sağlayan Pangea aldı. Pangea bunu sola kaydırma olarak adlandırır: SecDevOps ile bağımsız değişkenler oluşturmak yerine geliştiricileri etkinleştirin.
Bu kalıptaki diğer finalistler arasında, daha sonra Palo Alto Networks olan bulut duruş yönetimi öncüsü RedLock’un kurucusundan gelen Endor Labs yer alıyor.‘ prizma bulutu. Endor Labs, yazılım kompozisyon analizinin açık kaynak tarafını hedefler. Açık kaynak kütüphaneleri her yerde. Endor Labs’in söylediği gibi, yarı zamanlı tek geliştiriciler tarafından sürdürülen temel İnternet kodları bile var. Ve bu insanlardan bazıları hapis yatmış bile. Endor Labs, geliştiricilerin geliştirirken açık kaynağı akıllıca seçmelerine yardımcı olur.
Relyance AI, bir şirkete karşı uyumluluk iddiasında bulunarak gizliliği zorlar‘s özel kodu. Sadece üç yılda oluşturdukları gelişmiş zeka, iki kez alınmasına neden olabilir. Relyance AI, NLP ve üretken AI’daki gelişmelerden bahsediyor‘hızlandırılmış Ar-Ge’ye sahip olarak hızlı prototipleme yeteneği. Onlar‘uyumluluk belgelerindeki gizlilik hükümlerini anlayan ve bunları geliştirici kodunda uygulayan bir yapay zeka ürünü oluşturduk.
Dazz, genişleyen yazılım geliştirme yaşam döngüsü boyunca düzeltmeyi düzenlemeye odaklanır. Bugün, çeşitli sürekli entegrasyon ve sürekli geliştirme (CI/CD) ardışık düzenlerinde uygulamaları dağıtan çok sayıda koddan buluta personel grubu. Kendi kapsayıcı görüntülerini korurlar, kod yazarlar ve kim bilir hangi kitaplıkları ve yapıtları içerirler. Dazz, bu CI/CD ardışık düzenlerini otomatik olarak haritalar ve ardından genişleyen departmanlar ve aktörler genelinde güvenlik açıklarını düzeltmeyi düzenler.
API Entegrasyonları Yazılım Tedarik Zincirini Tehdit Ediyor
Kimsenin bahsetmediği en önemli tedarik zinciri sorunu, arka uç API entegrasyonlarıdır. Ticari SaaS sağlayıcıları arasındaki gizli veri akışları, iş kullanıcıları “gölge entegrasyonları“ orkestrasyon platformları ve üretken yapay zeka ile – kodlama becerileri olmadan bile. Bu entegrasyon uygulamaları otomatikleştiğinden ve kimlik doğrulaması yaptığından, bu entegrasyonlar genellikle insan olmayan kimlikler tarafından gerçekleştirilir ve insanlardan çok daha fazla insan olmayan varlık vardır.
Astrix Security, bu API’den API’ye gölge entegrasyonlarında API’lerin, monitörlerin ve dizginlerin ağını eşler. Astrix tarafından‘Sayınca, bu bağlantıları çalışanlardan 45 kat daha fazla insan olmayan yaratık geçiyor ve bu da bunu yeni kimlik sorunu yapıyor.
Valence Security, SaaS’tan SaaS’a ağını eşler, yanlış yapılandırmaları ele alır ve bir eğitim adımı da dahil olmak üzere düzeltir. Yeni merkezi olmayan dünyada, işletme kullanıcılarının sonunda nasıl SaaS yöneticileri olabileceğini açıklıyorlar.
Güncel Konular: SBOM’ler, Blockchain Sözleşmeleri
SafeBase, güvenli bir rol tabanlı güven merkezi oluşturur ve bir satıcıya izin verir‘Tedarik zinciri bilgilerini paylaşmak, yazılım malzeme listelerini (SBOM’ler) paylaşmak ve pahalı anket sürecini kolaylaştırmak için satış görevlileri ve müşteriler.
Nihai rakip AnChain, blockchain akıllı sözleşmelerini izleyen, algılayan, yanıtlayan ve araştıran bir Web3 SOC ürününü sergiledi.
Innovation Sandbox, geliştiricilerin, veri bilimcilerin, Ve iş kullanıcıları her gün işe gider ve potansiyel olarak savunmasız yazılımlar oluşturur.