Yapay zeka, daha önce hiç görmediğimiz hızlarda endüstrileri ve iş akışlarını dönüştüren yeni yenilikleri körükleyen rekor miktarda finansman ile ortaya çıktı.
Crunchbase verilerine göre, Şubat 2024’te AI şirketleri girişim finansmanı 4.7 milyar dolar aldı. Bu, Şubat 2023’te yatırılan 2.1 milyar doların iki katından fazla. Bunun gibi para, rekor hızlarda benimsenen yenilikleri körüklüyor. Örnek olarak kod kopilotlarını alın. Evlat edinme oranlarının%50’yi aştığını gördü. 2024’teki diğer büyük sürümler arasında Openai’nin GPT-4O ve O1 serisi ve Google’ın Veo ve diğerleri gibi AI video oluşturma araçları vardı.
Bu yeni araçlar iş verimliliği oluşturulmasına yardımcı olurken, önemli güvenlik ve veri gizliliği endişeleri de sunmaktadır.
Harika bir örnek, AI olan çift kenarlı kılıcını gerçekten belirleyen Microsoft Copilot’dur. Bir yandan, değerli iş akışı optimizasyon özellikleri sunar. Son raporlar, kullanıcıların görevleri yaklaşık% 30 daha hızlı tamamlayabileceğini göstermektedir. Bu, diğer şeylerin yanı sıra yazma, toplantıları özetlemeyi ve bilgi aramayı içerir.
Öte yandan, hassas veri maruziyeti ve potansiyel veri gizliliği ihlalleri riski yüksektir. GCS Technologies’in bir makalesine göre, Microsoft Copilot’u kullanma ile ilgili önemli veri güvenliği riskleri vardır. Makaleye göre, “Araştırmalar, işletmelerin kritik verilerinin% 16’sının fazla paylaşıldığını gösteriyor. Aslında, ortalama şirketin fazla paylaşım riski altında 802.000 dosyası var – genellikle şirket içindeki kullanıcılar veya gruplarla.”
Bazıları Microsoft’un neden bu riskleri ele almadığını ve 20 ila 30 milyon aktif copilot kullanıcısını korumak için daha fazlasını yapmadığını merak edebilir. Sorunun bir kısmı, şirketlerin bir sonraki en yeni AI teknolojilerini pazara sunmak için yoğun bir rekabete batmış olmasıdır, genellikle konuşlandırmadan önce güvenlik risklerini ele alan kapsamlı değerlendirmeler yapmak pahasına. Bu, yeni güvenlik açıkları getirir ve kuruluşları potansiyel tehditlere maruz bırakır.
Eşit parçaların heyecanını ve alarmını ateşleyen yeni bir yeniliğin bir başka harika örneği, antropik tarafından yaratılan Claude 3.5 sonnet. 2024’ten itibaren Big AI sürümlerinden biri olan Claude 3.5 sonnet, AI’yi Chatgpt, Google İkizler ve diğerleri gibi geleneksel asistanların ötesine geçiyor, çünkü asgari insan müdahalesi ile karmaşık görevleri yerine getiriyor. Kullanıcılar Claure’u bir sisteme yerleştirir. Oradan, komutları gerçekleştirmek için birden fazla araç ve uygulamadan yararlanabilir, bir sonraki aile tatilinizi araştırmaktan ve işletmeniz için yeni bir web sitesi oluşturmaktan gelişmiş kodlama ve yazılım geliştirmeye veya içeriğe duyarlı müşteri desteğine kadar her şey.
Heyecan verici bir araç, ancak Claude 3.5 sonnet ile daha yakından incelendiğinde daha önemli güvenlik zorlukları ortaya çıkıyor.
AI ajan tabanlı programların riskleri
Claude 3.5 sonnet gibi AI sistemleri, veri güvenliği ve gizlilik güvenlik açıklarının bol olduğu kapsamlı veri işlemleri ve geri alma teknikleri aracılığıyla çalışır. Bu sistemler de sömürüye karşı savunmasızdır ve bu şimdi oluyor. Örneğin, siber suçlular, AI sistemlerini geliştirmek için AI’dan yararlanıyor ve AI sistemlerini bir iş üzerinde zararlı etkileri olabilecek şekilde hedefliyorlar.
Örneğin:
Model çıkarma saldırıları: Büyük bir endişe, saldırganların nasıl çalıştıklarını ortaya çıkarmak için yönlendiren AI modellerini tersine çevirdiği model çıkarma saldırılarıdır. Bu içgörü ile siber suçlular, daha sonra kötü niyetli amaçlar için kullanılan taklit sürümler oluşturabilir. Örneğin, bir işletmenin operasyonlarına yetkisiz bilgiler elde etmek veya yüksek hedefli saldırılar başlatmak.
Hızlı enjeksiyon saldırıları: Büyüyen bir başka tehdit de derhal enjeksiyon saldırılarıdır. Bu durumda, saldırganlar bir AI modelinin istenmeyen veya zararlı çıktılar üretmek için istemlerini manipüle eder. Bu, saldırganların enjeksiyon tekniklerini sürekli olarak geliştirmesine izin veren uyarlanabilir istemler üretebilen gelişmiş AI modelleri tarafından daha da karmaşık olabilir. Bunu yaparken, işlemleri bozmak veya hassas bilgileri çıkarmak için filtreleri başarıyla atlayabilir ve güvenlik açıklarından yararlanabilirler.
AI ile çalışan fidye yazılımı: Bir başka acil endişe, saldırganların zayıflıkları daha verimli bir şekilde tanımlamak için kullanabileceği AI destekli fidye yazılımıdır. Ama hepsi bu değil. Ayrıca AI’yı adapte edebilen ve gelişebilen fidye yazılımı geliştirmek için kullanabilirler, bu nedenle sadece geleneksel algılama yöntemlerinden kaçınmakla kalmaz, aynı zamanda tüm iyileştirme çabalarını da karmaşıklaştırır.
Genai sistemlerinin artan benimsenmesi
İş ortamlarında Genai’nin benimsenmesi artmaktadır. Bir Altman Solon raporuna göre, üretken AI’yı işe koyarak, dünyanın dört bir yanındaki işletmelerin% 65’i Düzenli Tools kullandığını bildirdi. Bu, 2023’ün başlarında sadece% 11’ten yükseldi ve evlat edinme için yıllık% 490’lık bir artışı temsil ediyor.
Mesele, işletmelerin, günün sonunda onları kazara güvenlik ihlallerine eğilimli hale getiren AI kullanımını düzenlemek için gereken uygun süreçlerden, yönergelere veya resmi yönetişim yapılarından yoksun olmasıdır. Birçok durumda, suçlular, şirketin mevcut veri güvenliği ve gizlilik yönergelerine dayanarak izin verilen riskleri veya kullanımlarına bile izin verilmeden kurumsal cihazlarda Genai sistemlerini tanıtan çalışanlardır.
Şirketlerin gerekli gözetim seviyelerinden yoksun olması sorunludur ve istenmeyen sonuçlar yaratabilir. Örneğin, veri koruma düzenlemelerinin (örn. GDPR, California Gizlilik Hakları Yasası) ihlaline yol açabilir veya bir kuruluşu sofistike siber saldırılara maruz bırakabilir. Gemiyi doğrulamak, potansiyel genai kullanım durumlarını mevcut veri güvenliği çerçevelerine proaktif olarak eşleştirmesi gereken güvenlik liderleriyle başlar. Riskleri değerlendirerek ve puanlayarak, takımlar zayıflıkları tespit edebilir ve sömürülmeden önce düzeltebilirler.
Yapay zeka ile çalışan sistemlerde güvenlik risklerini ele almak
Yapay zeka ajan tabanlı sistemlerle ilişkili güvenlik risklerini durdurmak için daha fazlası yapılmalıdır. En iyi seçeneğiniz, bu ileri teknolojilerin ortaya koyduğu benzersiz zorlukları ele almak için tasarlanmış stratejiler lehine geleneksel siber güvenlik önlemlerinin ötesine geçen çok yönlü bir yaklaşımdır.
- Sağlam AI yönetişimi uygulayın: AI’nın kuruluş içinde nasıl kullanılabileceğini detaylandıran açık yönergeler oluşturun. Bunu tüm çalışanlar için kolayca sindirilebilir hale getirmek için, izin verilen kullanım durumlarının açık detaylarını ve örneklerini sağlayın. İzin verilen AI araçlarının örneklerini bile ekleyebilirsiniz. Ardından, veri erişimi için belirli sınırlar belirleyin ve tüm AI sistemlerinin veri güvenliği ve gizlilik düzenlemelerine uygun olduğundan emin olun. Doğal olarak, her çalışan bu yönergelere uymayacaktır. Aslında, olmayacak birçok kişiye güvenebilirsiniz. Bu nedenle, potansiyel güvenlik ihlallerine yol açabilecek ve daha sonra ihtiyaç duyulan tüm önlemleri alabilecek yetkisiz AI kullanım olaylarını belirlemek için düzenli denetimler yapın.
- Çalışan Bilincini Geliştirin: Yeni yeniliklerin eğitimin çok önünde olduğu zamanlarda gerekli olan çalışan eğitiminin gücünü asla fazla tahmin etmiyor. AI sistemlerinin risklerini araştıran bir eğitim programı koyun. İnsanlara şüpheli AI tarafından üretilen çıkışlar veya olağandışı sistem davranışları gibi kırmızı bayrakları tanımak için ihtiyaç duydukları araçları veren eğitim oturumları ekleyin. AI özellikli tehditler dünyasında, çalışanların ilk savunma hattı esastır gibi davranmalarını sağlamak önemlidir.
- Gelişmiş Güvenlik Çözümlerine Yatırım: Geleneksel güvenlik araçları AI özellikli saldırılara karşı korunmak için yeterli olmayabilir. Kuruluşlar, savunmalarını desteklemek için uç nokta koruma platformları, davranışsal analitik ve gerçek zamanlı tehdit algılama araçları gibi gelişmiş çözümleri benimsemeyi düşünmelidir.
- Önleyici savunmaya odaklanın: Otomatik Hareketli Hedef Savunma (AMTD) gibi araçlardan yararlanan önleyici bir yaklaşım, kuruluşların saldırganların önünde kalmasına yardımcı olabilir. Şirketler, potansiyel tehditleri öngörerek ve gerçekleşmeden önce bunları ele almak için önlemler uygulayarak, AI-özellikli istismarlara karşı savunmasızlıklarını azaltabilirler. Modern siber tehditlerin hızı ve uyarlanabilirliği göz önüne alındığında bu proaktif duruş özellikle önemlidir.
- AI sistemlerini sürekli olarak izleyin: AI sistemlerinin sürekli izlenmesi, AI ajanlarının amaçlandığı gibi çalışmasını ve bir şirketin daha geniş güvenlik ortamı için risk oluşturmaya başlamamasını sağlamaya yardımcı olabileceğinden, olağandışı aktivite veya uzlaşma belirtileri tespit etmek için gereklidir.
Yapay zeka odaklı tehditlerin geleceğine hazırlanmak
Küresel üretken AI pazarının 2024’te 28,9 milyar dolardan 2025’te 54 milyar doların üzerine çıkabileceği bildirildi. Bu büyüme, siber suçlar tarafından istihdam edilen yeni taktikleri tanıtacak yeni çığır açan yenilikler gelecek. Kuruluşların, yapay zeka benimsemesiyle birlikte gelen risklerin, yetersiz eğitim ve yönetişim gibi insan faktörlerini içerecek şekilde teknolojik güvenlik açıklarının ötesine geçtiğini kabul ettikleri görevlidir. Bu tehditlere karşı korunmak için güvenliğe bütünsel bir yaklaşım – insanları, süreçleri ve teknolojiyi kapsamak – gereklidir.
AI ajan tabanlı sistemlerle ilişkili riskleri ele almak için proaktif adımlar atarak, kuruluşlar ortaya çıkan tehditlere maruz kaldıklarını en aza indirirken bu teknolojilerin faydalarından yararlanabilir. İleriye giden yol, inovasyonu uyanıklıkla dengelemede yatar ve yapay zekanın geleceğini kucaklarken güvenliğin bir öncelik olmasını sağlar.
Yazar hakkında
Brad Laporte, Morphisec’in CMO’sudur. ABD askeri ve müttefik güçleri için siber güvenlik ve askeri istihbarat konusunda uzmanlaşmış tecrübeli bir siber güvenlik uzmanı ve eski askeri subaydır. Gartner’da en iyi dereceli araştırma analisti olarak seçkin bir kariyere sahip olan Brad, saldırı yüzey yönetimi (ASM), genişletilmiş tespit ve yanıt (XDR), dijital risk koruması (DRP) ve sürekli tehdit maruziyet yönetiminin temel unsurları (CTEM) gibi önemli endüstri kategorileri oluşturmada etkili oldu. İleri düşünen yaklaşımı, SecureWorks’ün MDR hizmeti ve EDR ürünü kırmızı pelerini olan endüstri ilklerine yol açtı. IBM’de, uç nokta güvenlik portföyünün yanı sıra MDR, güvenlik açığı yönetimi, tehdit istihbaratı ve SIEM tekliflerini yöneterek, zamanından yıllar önce siber güvenlik çözümlerinde bir vizyoner olarak ününü daha da sağlamlaştırdı.
Brad’e çevrimiçi olarak https://www.linkedin.com/in/brad-laporte/ adresinden ulaşılabilir ve şirket web sitemize https://www.morphisec.com/