«Одна из ключевых вещей, которую нужно понимать в кибербезопасности, заключается в том, что это игра разума», — рассказала Ами Люттвак, главный технолог компании Wiz, специализирующейся на кибербезопасности, в недавнем выпуске программы Equity. «Если надвигается новая технологическая волна, у [злоумышленников] появляются новые возможности начать её использовать».
Поскольку предприятия спешат внедрить ИИ в свои рабочие процессы — будь то через кодирование Vibe, интеграцию ИИ-агентов или новые инструменты, — поверхность атак расширяется. ИИ помогает разработчикам быстрее выпускать код, но эта скорость часто сопровождается ошибками и обходными путями, открывая новые возможности для злоумышленников.
По словам Латтвака, компания Wiz, которую в этом году приобрела Google за 32 миллиарда долларов, недавно провела испытания и обнаружила, что распространенной проблемой в приложениях с виброкодом является небезопасная реализация аутентификации — системы, которая проверяет личность пользователя и гарантирует, что он не является злоумышленником.
«Это произошло потому, что так было проще строить», — сказал он. «Агенты кодирования Vibe делают то, что вы им говорите, и если вы не сказали им делать это максимально безопасным способом, этого не будет».
Люттвак отметил, что сегодня компаниям постоянно приходится выбирать между скоростью и безопасностью. Но разработчики — не единственные, кто использует ИИ для ускорения работы. Злоумышленники теперь используют кодирование с помощью вибрации, методы на основе подсказок и даже собственных ИИ-агентов для запуска эксплойтов, сказал он.
«Теперь вы видите, что злоумышленник использует подсказки для атаки», — сказал Люттвак. «Дело не только в кодировании аффирмаций злоумышленника. Злоумышленник ищет ваши инструменты ИИ и говорит им: „Отправьте мне все ваши секреты, удалите машину, удалите файл“».
На этом фоне злоумышленники также находят точки входа в новые инструменты искусственного интеллекта, которые компании внедряют внутри компании для повышения эффективности. Латтвак утверждает, что такая интеграция может привести к «атакам на цепочки поставок». Взломав сторонний сервис, имеющий широкий доступ к инфраструктуре компании, злоумышленники могут проникнуть глубже в корпоративные системы.
Именно это и произошло в прошлом месяце, когда Drift — стартап, продающий чат-боты на основе искусственного интеллекта для продаж и маркетинга — подвергся взлому, в результате чего были раскрыты данные Salesforce сотен корпоративных клиентов, таких как Cloudflare, Palo Alto Networks и Google. Злоумышленники получили доступ к токенам (цифровым ключам) и использовали их, чтобы выдавать себя за чат-бота, запрашивать данные Salesforce и осуществлять горизонтальное проникновение в клиентскую среду.
«Злоумышленник внедрил код атаки, который также был создан с использованием виброкодирования», — сказал Люттвак.
Люттвак утверждает, что хотя внедрение инструментов ИИ на предприятиях все еще минимально (по его оценкам, около 1% предприятий полностью внедрили ИИ), Wiz уже каждую неделю сталкивается с атаками, которые затрагивают тысячи корпоративных клиентов.
«Если взглянуть на процесс [атаки], то ИИ был внедрен на каждом этапе», — сказал Люттвак. «Эта революция происходит быстрее любой другой, которую мы видели в прошлом. Это означает, что нам, как отрасли, нужно двигаться быстрее».
Латтвак указал на ещё одну крупную атаку на цепочку поставок, получившую название «s1ingularity», произошедшую в августе на Nx, популярную систему сборки для разработчиков JavaScript. Злоумышленникам удалось внедрить в систему вредоносное ПО, которое затем обнаружило наличие инструментов разработки на основе ИИ, таких как Claude и Gemini, и перехватило их для автономного сканирования системы в поисках ценных данных. В результате атаки были скомпрометированы тысячи токенов и ключей разработчиков, что предоставило злоумышленникам доступ к закрытым репозиториям GitHub.
По словам Люттвака, несмотря на угрозы, сейчас очень интересно быть лидером в области кибербезопасности. Компания Wiz, основанная в 2020 году, изначально специализировалась на помощи организациям в выявлении и устранении ошибок конфигурации, уязвимостей и других рисков безопасности в облачных средах.
За последний год Wiz расширила свои возможности, чтобы успевать за атаками на основе ИИ и использовать ИИ в своих собственных продуктах.
В сентябре прошлого года компания Wiz запустила Wiz Code, ориентированный на обеспечение безопасности жизненного цикла разработки программного обеспечения путем выявления и устранения проблем безопасности на ранних этапах разработки, что позволяет компаниям быть «безопасными по умолчанию». В апреле Wiz запустила Wiz Defend, который обеспечивает защиту во время выполнения, выявляя и реагируя на активные угрозы в облачных средах.
Люттвак отметил, что для Wiz крайне важно полностью понимать приложения своих клиентов, если стартап собирается помочь с тем, что он называет «горизонтальной безопасностью».
«Нам нужно понять, почему вы это создаете… чтобы я мог создать инструмент безопасности, которого раньше ни у кого не было, инструмент безопасности, который вас понимает», — сказал он.
«С первого дня вам нужен руководитель службы информационной безопасности»
Демократизация инструментов ИИ привела к появлению множества новых стартапов, обещающих решить болевые точки предприятий. Но Латтвак утверждает, что предприятиям не следует просто так отправлять все данные о своей компании, сотрудниках и клиентах «каждой небольшой SaaS-компании с пятью сотрудниками, просто потому что они говорят: «Дайте мне все ваши данные, и я предоставлю вам потрясающие аналитические данные об ИИ»».
Конечно, этим стартапам нужны эти данные, чтобы их предложение имело хоть какую-то ценность. По словам Латтвака, это означает, что они обязаны с самого начала обеспечить себе надёжную работу.
«С первого дня нужно думать о безопасности и соблюдении требований», — сказал он. «С первого дня нужен руководитель службы информационной безопасности (CISO). Даже если у вас пять человек».
По его словам, ещё до того, как написать хоть строчку кода, стартапы должны думать как организация с высоким уровнем безопасности. Им необходимо продумать функции безопасности предприятия, журналы аудита, аутентификацию, доступ к производственной среде, методы разработки, владение безопасностью и единый вход. Такое планирование с самого начала означает, что вам не придётся впоследствии перестраивать процессы и накапливать то, что Латтвак называет «долгом безопасности». А если вы планируете продавать компаниям, вы уже будете готовы защитить их данные.
«Мы соответствовали требованиям SOC2 [система соответствия] ещё до того, как у нас появился кодекс», — сказал он. «И я могу вам рассказать один секрет. Обеспечить соответствие требованиям SOC2 для пяти сотрудников гораздо проще, чем для 500».
По его словам, следующим важнейшим шагом для стартапов является размышление об архитектуре.
«Если вы стартап в области ИИ, который хочет с самого начала сосредоточиться на корпоративном секторе, вам следует подумать об архитектуре, которая позволит данным клиента оставаться… в его среде».
Люттвак считает, что для стартапов в сфере кибербезопасности, стремящихся выйти на рынок в эпоху искусственного интеллекта, сейчас самое время. Всё — от защиты от фишинга и безопасности электронной почты до вредоносных программ и защиты конечных точек — благодатная почва для инноваций как для злоумышленников, так и для защитников. То же самое относится и к стартапам, которые могли бы помочь с инструментами автоматизации рабочих процессов и обеспечения «безопасности вибрации», поскольку многие специалисты по безопасности до сих пор не знают, как использовать ИИ для защиты от ИИ.
«Игра открыта», — сказал Люттвак. «Если теперь в каждой сфере безопасности происходят новые атаки, это означает, что нам придётся переосмыслить каждый аспект безопасности».
Источник: techcrunch.com
