Yapay zeka teknolojik manzarayı yeniden şekillendirmeye devam ettikçe, Snowflake’in korteks arama hizmeti gibi araçlar, veri alımında gelişmiş bulanık arama ve LLM güdümlü geri kazanım artırılmış üretim (RAG) yetenekleri ile devrim yaratıyor.
Bununla birlikte, verimlilik vaadinin altında kritik bir güvenlik endişesi yatmaktadır: istenmeyen veri maruziyeti.
Yakın zamanda yapılan bir analiz, bu tür AI hizmetlerinin doğal tasarımı nedeniyle güvenli ortamlarda sıkı bir şekilde yapılandırılmış erişim ve maskeleme politikalarının bile, potansiyel olarak bir kuruluşun kar tanesi kullanıcı tabanındaki yetkisiz kullanıcılara maruz kaldığını vurgulamaktadır.
.png
)
Yapay zeka odaklı arama hizmetlerinde gizli bir tehdit
Bu sorunun merkezinde, veritabanı sistemlerindeki arayanların hakları ile sahiplerinin hakları arasındaki ayrım bulunmaktadır.
Bir işlevin çağıran kullanıcının ayrıcalıkları altında faaliyet gösterdiği arayanların haklarından farklı olarak, sahiplerinin hakları, bir hizmetin yaratıcısının izinleri ile Hesapadmin gibi son derece ayrıcalıklı bir rol veya Cortex_Role gibi özel bir hizmet rolü yürütmesine izin verir.
Snowflake’in korteks araması durumunda, bu hizmet, sorgu kullanıcısının değil, sahibinin yüksek erişimi ile çalıştığı anlamına gelir.
Sonuç olarak, temel tablolarda doğrudan seçkin ayrıcalıklar olmayan kullanıcılar bile, hizmette kullanım hakları varsa maskelenmemiş verileri alabilirler.
Cyera Report’a göre, bu tasarım, bazı bağlamlarda en az ayrıcalık prensibi altında belirli görevleri devretmek için yararlı olsa da, yanlış yapılandırıldığında veri maruz kalma için yanlışlıkla bir arka kapı oluşturabilir.
Örneğin, bir maaş bilgi tablosunu doğrudan sorgulayan bir analist, maskelenmiş verileri dinamik maskeleme politikalarına göre görebilir; Bununla birlikte, korteks araması yoluyla aynı kullanıcı sorgulama, maskelenmemiş düz metinlere erişebilir ve tamamen sahibinin sınırsız erişimini devralan hizmetten dolayı güvenlik kontrollerini atlar.
Sahiplerin Hakları: Veritabanı Güvenliğinde Çift Edin Kılıç
Bu güvenlik açığı, korteks aramasının sorgulama kullanıcının izinlerine saygı duyduğunu varsayabilen yöneticiler arasında potansiyel bir yanlış anlamadan kaynaklanmaktadır.
Hizmet, AccountAdmin gibi güçlü bir rolle oluşturulduğunda, herhangi bir kullanıcı kullanım hakları verdi, yürütme sırasında bu yükseltilmiş ayrıcalıkları etkili bir şekilde ödünç alır.
Şahsen tanımlanabilir bilgiler (PII) veya finansal kayıtlar gibi uyumluluk ile ilgili verilere sahip hassas tablolar, uygun izolasyon olmadan arama için endekslendiğinde risk güçlendirilir.
Bu tür yanlış yapılandırmalar, bir kuruluş içinde istenmeyen bilgi açıklamasına yol açabilir ve kullanıcı rollerine dayalı sorgu zamanında veri görünürlüğünü kısıtlamak için dinamik veri maskeleme amacını baltalayabilir.
Bu riskleri azaltmak için, kar tanesi yöneticileri katı uygulamaları benimsemelidir.
Cortex aramasının, hesapadmin gibi yüksek erişilemeyen bir rol yerine en az ayrı bir hizmet rolü ile dağıtılması çok önemlidir.
Ek olarak, hassas sütunlar arama dizininden çıkarılmalı ve hizmet üzerindeki kullanım hibeleri aşırı erişim önlemek için dikkatle denetlenmelidir.
Her bir korteks arama hizmetini oluşturmak için kullanılan rollerin periyodik incelemeleri, içerik oluşturucunun kritik verilere aşırı erişime sahip olduğu yapılandırmaları tanımlamaya ve düzeltmeye yardımcı olabilir.
Nihayetinde, AI güdümlü araçların gücü titiz erişim kontrol uygulama ile dengelenmelidir.
Cortex araması gibi AI hizmetleri kurumsal veri iş akışlarına ayrılmaz hale geldikçe, geleneksel güvenlik ilkelerinden muaf olmadıklarını kabul etmek çok önemlidir.
Titiz kapsam olmadan, bu yenilikler veri sızıntıları için kanal olma riskiyle karşı karşıya kalır ve hassas bilgileri korumak için gereken bariyerleri sessizce aşındırır.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir