Yapay dilin kurumsal varlıklara yönelik risklerini değerlendirmenin artan öneminin bir işareti olarak kuruluşlar, siber güvenlik pozisyonlarını doldurmak için makine öğrenimi ve büyük dil modelleri konusunda becerilere sahip iş adaylarını giderek daha fazla arıyor. ISACA’da 2024 Siber Güvenliğin Durumu raporuAnkete katılanların dörtte birinden biraz azı (%24), LLM SecOps ve ML SecOps’u siber güvenlikte gördükleri en büyük beceri boşlukları olarak nitelendirdi. Ankete katılanların %51’ine göre sosyal beceriler (iletişim, esneklik ve liderlik) siber güvenlik profesyonellerinin eksik olduğu en büyük beceri kategorisi olmaya devam ediyor.
Aranıyor: LLM, ML Becerileri
Hem LLM SecOps hem de ML SecOps oldukça yeni becerilerdir, ancak güvence altına aldıkları teknolojiler gibi, artık her yerde görünüyorlar.
MLSecOps, güvenliği makine öğrenimi sistemlerinin geliştirilmesine ve dağıtımına entegre etme disiplinidir. Bir modeli eğitmek için kullanılan verilerin güvenliğinin sağlanması ve şeffaflık yoluyla önyargının önlenmesi gibi ML’ye özgü süreçlerin yanı sıra güvenli kodlama, tehdit modelleme, güvenlik denetimleri ve ML sistemlerine olay müdahalesi gibi standart güvenlik operasyonları görevlerini kapsar.
LLM SecOps şunu ifade eder: Yüksek Lisans’ların tüm yaşam döngüsünü güvence altına almakVeri hazırlamadan olay müdahalesine kadar. LLM SecOps, tasarım aşamasındaki etik incelemeler, eğitim verilerinin veri temizliği, sistemin eğitim sırasında aldığı kararları neden verdiğini analiz etme, zararlı içerik oluşumunu engelleme ve model devreye alındıktan sonra izlenmesi gibi çeşitli konuları kapsar.
Güvenlik profesyonellerinin becerilerini geliştirmeleri için giderek artan bir kaynak listesi var. ML SecOps için, kıdemli bilgi güvenliği uzmanı ve telekomünikasyon sağlayıcısı Telstra’da yapay zeka güvenliği araştırmacısı olan Benjamin Kereopa-Yorke, GitHub kaynak ve eğitim deposugerekli önceki makine öğrenimi bilgisine göre kategorize edilen ve satıcıdan bağımsız veya satıcı merkezli olarak sınıflandırılan kurslarla. Dünya Çapında Açık Uygulama Güvenliği Projesi’nin (OWASP) bir taslağı var Makine Öğrenimi Güvenliği İlk On Veri zehirlenmesi veya üye çıkarımı gibi makine öğrenimi saldırılarının nasıl çalıştığını ve bunlara nasıl karşı çıkılacağını açıklayan liste. OWASP aynı zamanda Yüksek Lisans Dereceleri için OWASP İlk On, LLM SecOps ile ilgili konuları kapsar, örneğin hızlı enjeksiyon, hassas bilgilerin ifşa edilmesiVe model hırsızlığı.
Kuruluşlar açık siber güvenlik pozisyonlarını doldurmak için belirli beceriler arıyor. Sosyal becerilerden sonra bulut bilişim (%42) ikinci en büyük beceri açığı olurken, bunu güvenlik kontrolleri uygulaması (%35) ve yazılım geliştirme (%28) takip ediyor.
Kuruluşun iş yükünün büyük bir kısmının artık bulutta bulunduğu göz önüne alındığında, kuruluşların bulut bilişim becerilerine sahip siber güvenlik uzmanlarına ihtiyaç duyması mantıklıdır. Bulut varlıklarının güvenliğini sağlamak, geleneksel ağ oluşturmadan farklı bir zihniyet ve teknik beceri gerektirir ve bulut sağlayıcıları belirli görevleri farklı şekilde ele alarak uzmanlık bilgisi gerektirir.
Güvenlik kontrollerinin uygulanması, uç noktaların, ağların ve uygulamaların korunmasını ifade eder. Yazılım geliştirmedeki beceri açığı kodlamayla ilgili değil, test etme ve devreye alma gibi şeylerle ilgiliydi. Bu da yine kuruluşların yazılım geliştirme hatlarını ve entegrasyonlarını güvence altına alırken karşılaştığı zorlukları vurguluyor.