W poprzednim artykule poruszyliśmy temat czym jest model Zero Trust i dlaczego jest tak istotny w zapewnieniu najwyższego poziomu bezpieczeństwa zasobów firmy w chmurze i poza nią. W tej części będziemy kontynuować przegląd usług chmury publicznej Azure a także skupimy się na wątku AI w temacie bezpieczeństwa.
Microsoft Defender dla chmury
Microsoft Azure to rozległe środowisko różnych technologii, które wymagają specjalizacji w celu efektywnego wykorzystania. Dla zwiększenia dostępności i złagodzenia stromej krzywej uczenia się, Microsoft wprowadził Defender for Cloud – usługę diagnostyczną, która zapewnia alerty i zalecenia dotyczące poprawy stanu bezpieczeństwa zasobów w chmurze.
Microsoft Defender jest wyposażony w wiele zaawansowanych funkcji, które zwiększają możliwości działania zespołów ds. bezpieczeństwa IT dzięki pulpitom nawigacyjnym zapewniającym wgląd w:
- Wynik bezpieczeństwa – na podstawie zaleceń Microsoft dotyczących najlepszych praktyk.
- Zgodność z przepisami – pokazuje zgodność z Security Benchmark poprzez automatyczną ocenę.
- Stan inwentarza – ocena kondycji i alerty dla wszystkich zasobów.
Kolejną istotną funkcją jest moduł zarządzania zewnętrzną powierzchnią ataku, który stale odkrywa i mapuje cyfrową powierzchnię ataku. Pokazuje zewnętrzny widok infrastruktury online, dając wgląd w potencjalne luki w zabezpieczeniach chmury biznesowej.
Microsoft Defender można również zintegrować z usługami pamięci masowej za pomocą Microsoft Defender for Storage. Pomaga to zapobiec wpływowi na dane i zasoby – złośliwemu przesyłaniu plików, eksfiltracji poufnych danych i uszkodzeniu danych. Jest to dodatkowa warstwa ochrony, oparta na technologii Microsoft Threat Intelligence, Microsoft Defender Antimalware i Sensitive Data Discovery, zwiększająca bezpieczeństwo danych w chmurze.
Azure Sentinel
Microsoft Defender nie jest jedyną usługą raportowania i reagowania dostępną w ekosystemie Azure. Azure Sentinel jest głęboko zintegrowany z innymi usługami Azure, dostarczając inteligentne analizy bezpieczeństwa i informacje o zagrożeniach w całym przedsiębiorstwie.
Wykorzystując Azure Log Analytics Workspace, Azure Sentinel, może zbierać i analizować dane z dowolnej usługi Azure i dowolnej aplikacji, która może zintegrować interfejs API Log Analytics do logów oraz metryk.
Dzięki usłudze Azure Sentinel można włączyć wiele konektorów danych dla usług firmy Microsoft i opcji innych firm. Możliwe jest również użycie wspólnego formatu zdarzeń, Syslog lub REST-API do połączenia źródeł danych z usługą Microsoft Sentinel. Bezpieczeństwo IT jest ulepszone dzięki pojedynczemu rozwiązaniu do wykrywania ataków, widoczności zagrożeń, proaktywnego wyszukiwania i reagowania na zagrożenia.
Bezpieczeństwo w sieci i poza nią, czyli szanse i zagrożenia związane ze sztuczną inteligencją (AI)
Jak pokazują najnowsze trendy – AI wydaje się być idealnym asystentem. ChatGPT i podobne narzędzia udowadniają, co GenAI może zrobić, aby pomóc profesjonalistom w codziennych zadaniach. Podobne ulepszenia techniczne obserwujemy także w zakresie bezpieczeństwa w chmurze.
Jak to często bywa, specjaliści ds. bezpieczeństwa muszą wykonywać przyziemne zadania, takie jak przegląd i dostosowywanie polityki bezpieczeństwa. W ciągle zmieniającym się środowisku korporacyjnym, pracownicy IT muszą być przygotowani na nowe osoby „wchodzące na pokład”; pracowników zmieniających działy i nowe aplikacje wprowadzane do użytku wewnętrznego lub zewnętrznego. Wszystkie te zdarzenia wymagają od inżynierów bezpieczeństwa działań w celu utrzymania uprawnień dostępu na aktualnym poziomie i zapewnienia, że wszystkie procesy oraz usługi są bezpieczne.
Aby tak się stało, zespół ds. bezpieczeństwa musi zrozumieć rolę każdego użytkownika w organizacji, co jest prawie niemożliwe na większą skalę. W tym miejscu sztuczna inteligencja może zabłysnąć i usunąć żmudne zadania poprzez ciągłe monitorowanie interakcji użytkowników z różnymi systemami.
AI a model Zero Trust
AI może wybrać dane o wysokim poziomie zaufania i inicjować przegląd przypisania uprawnień. Dzięki temu inżynierowie bezpieczeństwa mogą skoncentrować się na konkretnym zgłoszonym zestawie uprawnień, a nie analizować rolę każdego użytkownika w firmie, pracując w kierunku uzyskania najbezpieczniejszej chmury wrażliwych danych oraz pozostałych zasobów organizacji.
Azure wprowadził już podobną funkcjonalność w swoim systemie Access Review, w którym zaawansowane modele uczenia maszynowego (ML) ulepszają rekomendacje. Poprzez sugerowanie przynależności do grup i okresów nieaktywności, ML pomaga zdecydować, czy użytkownik powinien posiadać określone uprawnienia do infrastruktury i danych w chmurze.
Sztuczna inteligencja może pomóc w zastosowaniu zasady „najmniejszego przywileju” promowanej przez model Zero Trust oraz wprowadzić usprawnienia w innych obszarach bezpieczeństwa IT. Dzięki wykorzystaniu różnych modeli sztucznej inteligencji możliwe jest wykonywanie zadań, które wydają się niemożliwe do zrobienia przez ludzi.
Modele AI do rozpoznawania wzorców wykrywają te niewidoczne dla ludzkiego oka. Korzystanie z narzędzi monitorujących wspomaganych sztuczną inteligencją, umożliwiających wykrywanie anomalii i ostrzeganie, ujawnia ukryte luki w systemie, przez co zasoby firmy zabezpieczone są na najwyższym poziomie.
Choć wykrywanie jest przydatne, sztuczna inteligencja może zrobić jeszcze więcej. Możliwe jest zapewnienie sztucznej inteligencji narzędzi do naprawiania wykrytych problemów i robienia tego przed lub tuż po ich wykorzystaniu w czasie zbliżonym do rzeczywistego. Skutecznie łagodząc większość, jeśli nie wszystkie, zagrożenia z zewnątrz i wewnątrz infrastruktury IT organizacji.
Usługa Azure Sentinel umożliwia definiowanie zautomatyzowanych reakcji za pomocą funkcji Automation Rules oraz Automation Playbooks. W ten sposób zdefiniowana reakcja może być automatycznie wykonywana, gdy Sentinel wykryje alert na podstawie zdefiniowanych warunków początkowych.
Jakie zagrożenia dla bezpieczeństwa w chmurze niesie ze sobą sztuczna inteligencja
Istnieją dwa rodzaje zagrożeń bezpieczeństwa związanych ze sztuczną inteligencją. Ataki mogą być ukierunkowane na modele i usługi AI lub AI może wspomagać ataki. Oba scenariusze muszą być zaplanowane i należy rozważyć odpowiednie rozwiązania bezpieczeństwa, aby zanegować potencjalne problemy, które mogą się pojawić.
Ze względu na złożoną naturę sztucznej inteligencji, musimy dowiedzieć się jeszcze wiele o tym, jak ona działa, oraz wziąć pod uwagę iż czasami trenowane przez nas modele mogą działać w sposób nieoczekiwany.
Takie problemy wystąpiły w przypadku niektórych ostatnio popularnych narzędzi AI; na przykład we wczesnych wersjach ChatGPT. Mimo, że był on zaprojektowany do przestrzegania określonych zasad, to można było je ominąć za pomocą exploita zwanego prompt injection. Użytkownicy mogli rozmawiać z chatbotem w określony sposób, wywołując wcześniej ograniczone i potencjalnie zablokowane zachowania.
Co więcej, nie tylko publicznie udostępnione usługi AI są podatne na określone nowe i nieoczekiwane rodzaje cyberataków, ale także na te niepublikowane. W zależności od rodzaju modelu sztucznej inteligencji, może on pobierać swoje zestawy danych do nauki z publicznie dostępnych danych.
Dane te mogą być manipulowane przy użyciu technik zwanych zatruwaniem danych (ang. data poisoning). Chociaż trudno jest wycelować w 100% w konkretną usługę AI za pomocą tej techniki, może ona rzeczywiście zaszkodzić procesowi uczenia się nowych modeli AI. Z drugiej strony, te same modyfikacje mogą być wykorzystywane jako ochrona własności intelektualnej przed bezprawnym wykorzystaniem obrazów cyfrowych publikowanych w Internecie.
Innym podobnym cyberatakiem wymierzonym w sztuczną inteligencję jest atak kontradyktoryjny (ang. adversarial attack); wywodzi się on z zatruwania danych poprzez modyfikowanie danych wejściowych. Jednak celem nie jest sprawienie, by sztuczna inteligencja nie osiągnęła zamierzonego celu, lecz manipulacja wynikami w sposób, który będzie wymagał więcej pracy, aby go wykryć. Ma to na celu zakłócenie procesu podejmowania decyzji przez model sztucznej inteligencji i spowodowanie błędnej klasyfikacji lub po prostu błędnych wyników.
Wykorzystanie sztucznej inteligencji do pomocy w bardziej standardowych technikach cyberataków to zupełnie inne podejście. Dzięki zaawansowanym modelom sztucznej inteligencji można analizować dane wyjściowe z usług internetowych i ewentualnie wydedukować szczegóły techniczne implementacji usługi. Mając te szczegóły, chatbot mógłby zostać zapytany, czy istnieją jakieś znane exploity dla tych technologii.
Sztuczna inteligencja może być również wykorzystywana jako operator serwera kontroli i dowodzenia oraz wykonywać nienadzorowane operacje botnetowe, takie jak ataki DDoS.
Zalety chmury w walce z zagrożeniami
Przy tych wszystkich zagrożeniach czyhających na firmy we współczesnym Internecie, wprowadzenie własnych rozwiązań IT na rynek może wydawać się wyzwaniem. Musimy jednak pamiętać, że nie tylko hakerzy ciężko pracują, aby opracować nowe strategie ataków, ale także specjaliści ds. bezpieczeństwa, zwłaszcza dostawcy usług chmurowych, pracują nad zapewnieniem coraz to lepszych sposobów na powstrzymanie zagrożeń.
Często może być konieczne stworzenie własnego zespołu bezpieczeństwa w firmie, co zawsze jest korzystne w dłuższej perspektywie. Warto jednak pamiętać, że dostawcy usług bezpieczeństwa w chmurze, tacy jak Microsoft Azure, oferują szerokie spektrum środków bezpieczeństwa, które organizacja powinna wdrożyć. Istotny jest zatem wybór odpowiedniego dostawcy usług chmurowych, który przejmie na siebie odpowiedzialność za bezpieczeństwo zasobów i plików w chmurze.