[By Doug Dooley, COO, Data Theorem]
OpenAI’nin yükselişi ve ChatGPT-4 Turbo’daki yeni değişiklikler, finansal hizmet kuruluşlarının verilerinden yararlanma biçiminde devrim yaratmaya yardımcı olacak, analizlerini hızlı bir şekilde ölçeklendirmelerine ve hızlı tempolu dijital ortamda çevik kalmalarına olanak sağlayacak. Ancak OpenAI gibi GenAI sistemlerine bağlanmak ve veri paylaşmak için kullanılan kurumsal Uygulama Programlama Arayüzlerinin (API’ler) sayısı da yeni riskleri ve güvenlik açıklarını ön plana çıkardı. OpenAI’nin erişebildiği her yeni API entegrasyonuyla birlikte bir finansal kuruluşun saldırı yüzeyi büyüyor, saldırganların güvenlik açıklarından yararlanması ve hassas müşteri ve finansal verilere erişmesi için yeni fırsatlar yaratılıyor.
API’ler, modern dijital ekosistemlerin omurgası haline gelerek finansal kuruluşların operasyonlarını kolaylaştırmasına, süreçleri otomatikleştirmesine ve kusursuz kullanıcı deneyimleri sunmasına olanak tanıyor. Bunlar, tüm bulut tabanlı uygulama ve hizmetlerin veri taşıyıcılarıdır. API’ler uygulamalar arasında aracı görevi görerek uygulamaların birbirleriyle iletişim kurmasını ve veri alışverişinde bulunmasını sağlar. Ayrıca bulut tabanlı uygulamalarınızdaki kritik hizmetlere ve işlevlere erişim sağlarlar. Bir saldırgan API’lerinize erişim kazanırsa, güvenlik önlemlerini kolayca atlayabilir ve bulut tabanlı uygulamalarınıza erişim sağlayabilir; bu da veri ihlallerine, mali kayıplara, uyumluluk ihlallerine ve itibar kaybına neden olabilir. Verileri kullanmak ve sızdırmak için zaman ve enerjilerinin en iyi yatırım getirisini (ROI) elde etmek isteyen bilgisayar korsanları için API’ler bugün mevcut en iyi hedeflerden biridir.
İnovasyona, gelire ve kâra olanak sağlayan aynı API’lerin aynı zamanda saldırganların kendi çıkarları doğrultusunda başarılı veri ihlalleri gerçekleştirmeleri için yeni yollar oluşturduğu açıktır. Kullanılan API’lerin sayısı arttıkça bir finansal kuruluşun saldırı yüzeyi de artar. Enterprise Strateji Grubu’nun (ESG) “API Saldırı Yüzeyinin Güvenliğini Sağlama” başlıklı sektör araştırmasına göre, kuruluşların çoğunluğu (%75) genellikle API’lerini günlük veya haftalık olarak değiştiriyor veya güncelliyor; bu da dinamiklerin korunmasında önemli bir zorluk yaratıyor API saldırı yüzeylerinin doğası.
API güvenliği kritik öneme sahiptir çünkü API’ler genellikle modern uygulamaların güvenlik zincirindeki önemli halkadır. Geliştiriciler genellikle güvenlikten ziyade hıza, özelliklere, işlevselliğe ve kullanım kolaylığına öncelik verir; bu da API’leri saldırılara karşı savunmasız bırakabilir. Ek olarak, bulutta yerel API’ler genellikle doğrudan internete sunulur ve bu da onlara herkesin erişebilmesini sağlar. Bu, bilgisayar korsanlarının API’lerinizdeki güvenlik açıklarından yararlanmasını ve bulut tabanlı uygulamalarınıza erişmesini kolaylaştırabilir. Kanıt olarak aynı ESG çalışması, kuruluşların çoğunun (%92) son 12 ayda güvenli olmayan API’lerle ilgili en az bir güvenlik olayı yaşadığını, kuruluşların çoğunluğunun (%57) ise güvensiz API’lerle ilgili birden fazla güvenlik olayı yaşadığını ortaya koydu. Geçen yılki API’ler.
Bankalar ve diğer finansal hizmet kuruluşları için en büyük zorluklardan biri, API’lerini ve özel verilerini OpenAI ve diğer üretken yapay zeka araçlarından korumaktır. ChatGPT 4-Turbo ile API’ler ve veriler üzerinde deneme yapılmasının teknik ve maliyet engelleri önemli ölçüde azaldı. Ayrıca API anahtarlarına, OAuth 2.0 iş akışına ve Microsoft Azure Active Directory’ye yönelik yeni destek, kurumsal verilerin daha önce hiç olmadığı şekilde açılmasını sağlıyor. Sonuç olarak, OpenAI’nin Oyun Alanı ve yeni “My ChatGPT” yaratıcısı gibi araçların sağladığı Kurumsal Yapay Zeka asistanlarının popülaritesi ve büyümesi, özel bankacılık verileri hakkında daha fazla bilgi edinmeye çalışan yeni kullanıcıların saldırısına davetiye çıkaracak. Bu yeni Kurumsal Yapay Zeka deneylerinin neredeyse tamamının amacı, müşterilerin daha iyi finansal hizmetler ve içgörüler elde etmesine yardımcı olmak olacak ancak Kurumsal Yapay Zekanın popülaritesi ve kullanımı artmaya devam ettikçe, finansal kurumlar kendilerini benzersiz bir ikilemle karşı karşıya bulacaklar. Bir yandan görevleri otomatikleştirmek, müşteri deneyimlerini geliştirmek ve müşterilerinin servetini artırmak için OpenAI’nin Oyun Alanı gibi yapay zeka destekli araçlardan yararlanmanın potansiyel faydaları cazip. Ancak bu yeni keşfedilen yetenek aynı zamanda öngörülemeyen güvenlik açıklarına da kapı açıyor çünkü bu yapay zeka aracıları hassas finansal API’lere ve özel veri kaynaklarına erişip bunlarla etkileşime giriyor.
Kurumsal yapay zeka asistanlarının ortaya çıkışı, finans sektörü için bir dizi güvenlik endişesini beraberinde getiriyor. Yapay zeka sistemleri öğrenip çevrelerine uyum sağladıkça, istenmeyen veri açığa çıkma veya sızıntı potansiyeli acil endişelerden biridir. Yapay zeka destekli araçlar süreçleri kolaylaştırmayı ve karar alma sürecini iyileştirmeyi hedeflerken, aynı zamanda kritik finansal verilere yanlışlıkla erişme veya bunları ifşa etme kapasitesine de sahipler; bu da muhtemelen Genel Veri Koruma Yönetmeliği (GDPR), Ödeme Kartı Sektörü Veri Güvenliği gibi birçok gizlilik yasasını ihlal ediyor Standart (PCI DSS) ve Kaliforniya Tüketici Gizliliği Yasası (CCPA) bunlardan birkaçıdır. Finansal kuruluşlar, hassas bilgilere yetkisiz erişimi veya kötüye kullanılmasını önlemek için bu etkileşimleri dikkatle izlemeli ve düzenlemelidir.
Dahası, finansal hizmet şirketlerinin API’lerini, yapay zeka destekli sistemleri kötü amaçlarla kullanabilecek kötü niyetli aktörlere karşı güvence altına alma zorluğuyla boğuşması gerekiyor. Yapay zeka aracılarının finansal süreçlere entegrasyonu, sistemleri ihlal etmek, değerli verileri çalmak veya operasyonları aksatmak isteyen siber suçluların hedef alabileceği ek bir saldırı yüzeyi oluşturur. Bu riskleri azaltmak ve olası ihlallere karşı koruma sağlamak için sağlam güvenlik önlemleri ve sürekli izleme şarttır.
Kurumsal yapay zeka asistanları finansal hizmetler sektöründe giderek yaygınlaştıkça, kurumların inovasyon için yapay zeka potansiyelinden yararlanma ile en yüksek veri koruma ve siber güvenlik standartlarını sağlama arasında hassas bir denge kurması gerekiyor. API güvenliği, veri yönetimi ve yapay zeka destekli karar alma süreçlerine proaktif ve kapsamlı bir yaklaşım, müşterilerin ve düzenleyici kurumların güvenini korurken bu yeni zorluklarla başarılı bir şekilde başa çıkmak için çok önemlidir.
ChatGPT tehditlerinden korunmaya yardımcı olmak için API’lerin güvenliğinin sağlanması ve saldırı yüzeylerinin azaltılması söz konusu olduğunda, Bulut Yerel Uygulama Koruma Platformu (CNAPP), özellikle bulut yerel uygulamaları çeşitli API saldırı tehditlerine karşı koruyarak güvenlik sağlayan daha yeni bir güvenlik çerçevesidir. CNAPP’ler üç temel görevi yerine getirir: (1) üretim öncesi yapıt taraması; (2) bulut yapılandırması ve duruş yönetimi taraması; (3) özellikle üretim ortamlarında uygulamaların ve API’lerin çalışma sırasında gözlemlenebilirliği ve dinamik analizi. CNAPP tarama ön üretim ve üretim ortamları ile tüm API’lerin ve yazılım varlıklarının bir envanter listesi oluşturulur. Dinamik olarak oluşturulan bulut varlıkları envanterinin kendilerine bağlı API’leri varsa ChatGPT, Open AI ve diğer AI ve ML kitaplıkları keşfedilebilir. Sonuç olarak, CNAPP’ler, Kurumsal API’lere bağlı bu potansiyel olarak tehlikeli kitaplıkların belirlenmesine yardımcı olur ve kuruluşunuzun itibarını ve müşterilerinizin özel verilerini korumak ve kuruluşunuzun itibarını korumak ve güven oluşturmak için API saldırı yüzeylerinden yetkisiz erişime neden olmalarını önlemek üzere koruma katmanları eklemeye yardımcı olur. müşteriler.
Sonuçta, ChatGPT ile API saldırı yüzeylerinin genişletilmesinin yarattığı riskleri yönetmenin anahtarı, API yönetimi ve güvenliğine proaktif bir yaklaşım benimsemektir. Bulut güvenliği söz konusu olduğunda CNAPP, bulutta yerel uygulamalara, mikro hizmetlere ve uygulama düzeyinde güvenlik gerektiren API’lere sahip finansal kuruluşlar için çok uygundur. Bulutta yerel uygulamalar oluştururken API güvenliği olmazsa olmazdır ve CNAPP, ChatGPT’nin neden olduğu saldırılar da dahil olmak üzere genişleyen API saldırı yüzeylerini korumak için etkili bir yaklaşım sunar.
Reklam