Bu yılki RSAC Konferansı, yaklaşık 44.000 katılımcı, 730 konuşmacı, 650 katılımcı ve 400 medya üyesi rekor sayı çekti. Ve sayısız organizasyon, ortak ve CISO akranları ile katılan ve konuşanlardan biri olarak, pratikte siber güvenlikte yapay zekanın (AI) kullanımı veya kötüye kullanılması hakkında söylenecek bir şey olduğunu güvenle söyleyebilirim.
Hepimiz AI’nın tartışmaya hakim olmasını bekledik. Ancak, her şirket güncellemesine veya genel bakış, strateji oturumuna, müşteri sohbetine ve hatta koridor ve mutlu saat sohbetlerine ne kadar derinlemesine yerleştirileceğini tahmin etmedik. Çoğu zaman olduğu gibi, gerçeklik ve hype arasındaki çizgi hızla bulanık olabilir. Zamanında kendi anında netlik duygusu sağlamak amacıyla, konferansta üç kilit konu noktasının bir dökümü:
Siber güvenlikte tam gelişmiş AI benimseme, ister buna hazır olsak da olmasak da
Kavram kanıtı aşamasından agresif uygulamaya gayri resmi olarak geçtik. Aslında, organizasyonların% 90’ı şu anda güvenlik için üretken yapay zeka benimsiyor ya da bulut güvenlik ittifakından (CSA) araştırmaya göre bunu yapmayı planlıyor. BT ve güvenlik profesyonellerinin büyük çoğunluğu, bu teknolojilerin beceri setlerini geliştirebileceğini ve rollerini destekleyebileceğini ve daha ödüllendirici, değerli ödevler için serbest bırakabileceğini düşünüyor.
Flip tarafında, siber suçlular da Gartner’a göre, bu sürekli gelişen yenilikten bol miktarda kullanıyor-Gartner’a göre, AI-güçlendirilmiş kötü amaçlı yazılımların işletme liderleri için en büyük risk olarak sıralandığı noktaya kadar. Bu, iyi adamların ve kötü adamların bir teknoloji silah yarışında savaştığı modern bir casus ve casus senaryosunu kurar, bahisler giderek daha da yükselir ve serbest bırakılan, zararlı AI için güvencesiz potansiyel daha olasıdır.
Örneğin, “Ajan AI” terimi, birçok konferans katılımcının zihninde büyük göründü. Basitçe tanımlanmış, bu, hedefleri takip etmek ve sürekli insan rehberliği veya gözetim olmadan sorunları çözmek için özerk hareket eden AI sistemlerini ifade eder. Bununla birlikte, kavramın gerçek inovasyona işaret edip etmediğini veya sadece yeniden paketlenmiş pazarlama konuşmasını belirlemek zordur.
Şimdilik, güvenlik liderleri kullanıcılara odaklanmalı ve Shadow AI’da ne ölçüde katıldıklarını sormalı ve AI uygulamalarını nasıl dağıtıyorlar? Kendi araştırmamızda, işletmedeki en üretken AI (Genai) kullanımının (%72) şu anda Gölge IT’ye atfedildiğini bulduk.
Yalnız kalan AI’nın her türlü kullanım yönünde hızlı bir şekilde geçeceğini biliyoruz. Zaten geçmiş yılların hızla genişleyen bulut benimsemesinin evrenine benzemeye başlıyor. Bu yapay zeka seviyesine dönüşmek, entegrasyon, hesap verebilirlik ve yönetişim hakkında daha derin sorular ve cevaplar gerektirir. Bu da bizi bir sonraki konferans konu noktamıza getiriyor.
Kurumsal AI yönetişimindeki boşluklar
Çok sık, AI yönetişim komiteleri, yasal sorumluluk, lisanslama maruziyeti, maliyet ve teknoloji örtüşme rasyonalizasyonu ve uygun kullanım gibi daha geniş hususlar yerine, gizlilik ve güvenlik endişelerine dar bir şekilde sabitlenir. Sonuç olarak, kuruluşlar fikri mülkiyet ve kod katkıları gibi üçüncü taraf riskler de dahil olmak üzere tam risk değerlendirmeleri yapmadan AI araçlarını onaylamaktadır.
Şimdilik, liderler yerel modeller, açık bloklar, olay yanıtı ve tespiti ve diğer kısa süreli kullanım durumlarını kullanarak güvenli çalışmaya öncelik veriyor gibi görünüyor. Ancak bu yaklaşımdan, sadece işlevsel yürütme değil, stratejik, örgütsel hedefler tarafından yönlendirilen daha geniş, kurumsal odaklı bir yapay zeka planlamasına geçmelidirler.
İçeriden gelen tehditleri çoğaltan
Bu tehditler elbette siber güvenliğin kendisinden daha eskidir. 1950’lerde zimmete para veren finans çalışanını veya cebinde şirket mülkünü gizlice kaydıran fabrika işçisini düşünün. ABD’deki en iyi teknoloji firmalarının Kuzey Kore siber operatörleri olan uzaktan BT işçilerini işe almak için kandırıldığı yaygın aldatmaca hakkında çok sayıda sohbet vardı.
Bu, sahte istihdam belgelerini tespit etmek ve işe alım platformu güvenlik açıklarını ortadan kaldırmak için İK, yasal ve güvenlik ekipleri arasında daha yakın uyum ihtiyacını ifade eder. Ne yazık ki, bu ortaya çıkan tehditler hakkında devam eden konuşmalar yoktur, İK, yasal ve güvenlik ekiplerinin uyumluluk gereksinimleri ve reaktif, olay sonrası araştırmalar üzerinde işbirliği yapma olasılığı daha yüksektir.
Varlığı boyunca, RSAC Konferansı, siber güvenliğin mevcut durumunu yansıttı, bu da stantların, sunumların, gösterilerin ve konuşmaların kakofonisi arasında aktarılan etkili eğilimler ve zorluklar. Bu son konferans, özellikle AI ve içeriden gelen tehditlerde yeni kalıplar söz konusu olduğunda, bir istisna olmadı.
Bununla birlikte, yıllar içinde tutarlı bir konu ortaya çıktı: proaktif hesap verebilirlik, rehberlik ve yönetişim ihtiyacı.
Bununla, güvenlik liderleri AI veya kötü niyetli içericilerin zarar verici sonuçlarını tamamen azaltmayacaklar. Ama bunları içermede büyük adımlar atacaklar. Umarım birkaç ay içinde, Black Hat’a vardığımızda, kuruluşların artık bunu nasıl daha tutarlı ve başarılı bir şekilde yapabileceğinden daha fazla konuşacağız.
James Robinson, Secure Access Service Edge (SASE) ve sıfır-tröst uzmanı Netskope’de Baş Bilgi Güvenliği Görevlisidir.