Generative-AI uygulamaları yüzünden uykunuz mu kaçıyor? Yalnız ya da yanlış değilsin. Astrix Security Research Group’a göre, orta ölçekli kuruluşlar halihazırda Slack, GitHub ve Google Workspace gibi temel sistemlerle ortalama 54 Generative-AI entegrasyonuna sahip ve bu sayının daha da artması bekleniyor. Potansiyel riskleri ve bunların nasıl en aza indirileceğini anlamak için okumaya devam edin.
“Hey ChatGPT, kaynak kodumuzu inceleyin ve optimize edin”
“Hey Jasper.ai, bu çeyrekteki tüm net yeni müşterilerimizin bir özet e-postasını oluştur”
“Hey Otter.ai, Zoom yönetim kurulu toplantımızı özetleyin”
Bu finansal kargaşa çağında, işletmeler ve çalışanlar, üçüncü taraf uygulamalarını API anahtarları, OAuth belirteçleri, hizmet aracılığıyla Google çalışma alanı, Slack ve GitHub gibi temel iş sistemlerine bağlayarak iş süreçlerini otomatikleştirecek ve verimliliği ve üretkenliği artıracak araçlar arıyor. hesaplar ve daha fazlası. Generative-AI uygulamalarının ve GPT hizmetlerinin yükselişi, tüm departmanların çalışanlarının güvenlik ekibinin bilgisi olmadan üretkenlik cephaneliklerine en son ve en iyi AI uygulamalarını hızla eklemesiyle bu sorunu daha da kötüleştiriyor.
Kod inceleme ve optimizasyon gibi mühendislik uygulamalarından içerik ve video oluşturma, görüntü oluşturma ve e-posta otomasyon uygulamaları gibi pazarlama, tasarım ve satış uygulamalarına kadar. İle ChatGPT en hızlı büyüyen uygulama oluyor geçmişte ve AI destekli uygulamalar indiriliyor Geçen yıla göre %1506 daha fazlakullanmanın güvenlik riskleri ve daha da kötüsü, bu genellikle incelenmemiş uygulamaları işletmenin temel sistemlerine bağlama, şimdiden güvenlik liderleri için uykusuz gecelere neden oluyor.
 |
| Kuruluşunuzun uygulamadan uygulamaya bağlantısı |
Gen-AI uygulamalarının riskleri
Yapay zeka tabanlı uygulamalar, güvenlik liderleri için iki ana endişe kaynağı sunar:
1. ChatGPT gibi uygulamalar aracılığıyla Veri Paylaşımı: Yapay zekanın gücü verilerde yatar, ancak bu güç, yanlış yönetilirse bir zayıflık olabilir. Çalışanlar, müşterilerin PII’leri ve kod gibi fikri mülkiyet hakları dahil olmak üzere hassas, işle ilgili kritik bilgileri istemeden paylaşabilir. Bu tür sızıntılar, kuruluşları veri ihlallerine, rekabetçi dezavantajlara ve uyumluluk ihlallerine maruz bırakabilir. Ve bu bir masal değil – sadece Samsung’a sorun.
Samsung ve ChatGPT sızıntıları – dikkat edilmesi gereken bir durum
Samsung bildirdi üretkenlik amacıyla ChatGPT kullanan üç çalışan tarafından üç farklı yüksek düzeyde hassas bilgi sızıntısı. Çalışanlardan biri hata olup olmadığını kontrol etmek için gizli bir kaynak kodunu, kod optimizasyonu için başka bir kodu paylaştı ve üçüncüsü bir sunum için toplantı notlarına dönüştürmek üzere bir toplantının kaydını paylaştı. Tüm bu bilgiler artık ChatGPT tarafından yapay zeka modellerini eğitmek için kullanılıyor ve web üzerinden paylaşılabiliyor.
2. Doğrulanmamış Generative-AI uygulamaları: Üretken AI uygulamalarının tümü doğrulanmış kaynaklardan gelmez. Astrix’in yakın tarihli araştırması, çalışanların bu AI tabanlı uygulamaları (genellikle yüksek ayrıcalıklı erişime sahip olan) GitHub, Salesforce ve benzeri temel sistemlere giderek daha fazla bağladığını ve bunun da önemli güvenlik endişelerini artırdığını ortaya koyuyor.
 |
| Generative AI uygulamalarının geniş yelpazesi |
Riskli bir Gen-AI entegrasyonunun gerçek yaşam örneği:
Aşağıdaki resimlerde detayları görebilirsiniz. Astrix platformu kuruluşun Google Workspace ortamına bağlanan riskli bir Gen-AI entegrasyonu hakkında.
Google Workspace Integration “GPT For Gmail” adlı bu entegrasyon, güvenilmeyen bir geliştirici tarafından geliştirildi ve kuruluşun Gmail hesaplarına yüksek izinlerle verildi:
Entegrasyona verilen izinlerin kapsamları arasında, üçüncü taraf uygulamasının e-postaları okumasına, oluşturmasına, göndermesine ve silmesine izin veren “mail.all” vardır – bu çok hassas bir ayrıcalıktır:
Güvenilmeyen, entegrasyonun tedarikçisi hakkında bilgiler:
Nasıl astrix AI risklerinizi en aza indirmeye yardımcı olur
Yapay zekanın heyecan verici ama karmaşık ortamında güvenli bir şekilde gezinmek için güvenlik ekiplerinin, çalışanlarınızın bağlandığı üçüncü taraf hizmetlerinde görünürlük elde etmek, izinler üzerinde kontrol sağlamak ve potansiyel güvenlik risklerini uygun şekilde değerlendirmek için güçlü insan olmayan kimlik yönetimine ihtiyacı vardır. Astrix ile artık şunları yapabilirsiniz:
 |
| Astrix Bağlantı haritası |
- Çalışanlarınızın kullandığı ve temel sistemlerinize eriştiği tüm yapay zeka araçlarının tam bir envanterini alın ve bunlarla ilişkili riskleri anlayın.
- Otomatik güvenlik korkuluklarıyla güvenlik darboğazlarını ortadan kaldırın: kullanım seviyesi (sıklık, son bakım, kullanım hacmi), şirkette entegrasyonu kullanan bağlantı sahibi ve pazar yeri bilgileri dahil olmak üzere insan dışı her bağlantının iş değerini anlayın.
- Saldırı yüzeyinizi azaltın – Çekirdek sistemlerinize erişen tüm AI tabanlı insan olmayan kimliklerin en az ayrıcalıklı erişime sahip olduğundan emin olun, kullanılmayan bağlantıları ve güvenilmeyen uygulama satıcılarını kaldırın.
- Anormal etkinliği tespit edin ve riskleri düzeltin: Astrix, IP, kullanıcı aracısı ve erişim verileri anormallikleri aracılığıyla gerçek zamanlı olarak çalınan jetonlar, dahili uygulama kötüye kullanımı ve güvenilmeyen satıcılar gibi kötü niyetli davranışları analiz eder ve tespit eder.
- Daha hızlı sorun giderin: Astrix, otomatik düzeltme iş akışlarının yanı sıra son kullanıcılara güvenlik sorunlarını bağımsız olarak çözme talimatı vererek güvenlik ekibinizin yükünü alır.