Üretken yapay zeka yazılımı ve özellikleri tüm sektörlerde yaygınlaşıyor

   Ekim 11, 2024  Posted in CyberSecurity-Insiders


Üretken yapay zeka yazılımları ve özellikleri tüm sektörlerde yaygınlaşıyor ve hem tipik hem de benzersiz güvenlik kaygılarını beraberinde getiriyor. Kuruluşlar, esnek bir yazılım güvenliği inceleme çerçevesi oluşturarak güvenlik duruşunu iyileştirebilir ve yeni teknolojilere yönelik sayısız talep karşısında bunalıma girmekten kaçınabilir. Yüksek düzeyde, GenAI yazılımını değerlendirme süreci, belirli kurumsal ihtiyaçlara uyacak şekilde ayarlanan aşağıdaki formu alır:

  • Kendi kuruluşunuzun risk profilini ve tehdit ortamını tanımlayın.
  • Yazılımın kullanım durumunu ve talebinin yanı sıra yazılımın hangi verilere dokunacağını ve maruz kalma kapsamını anlayın.
  • Yazılımın aktif geliştirme veya en azından aktif bakım aşamasında olduğunu ve eski/bakımsız olmadığını doğrulayın.
  • Yazılımın ve şirketin güvenlik açığı geçmişini ve bunların güvenlik sorunlarına yanıt verme durumunu araştırın.
  • Daha derin bağlamı anlamak için Güven Merkezi malzemelerine erişin (SOC2, ISO27001, sızma testleri raporları, BCDR).
  • Şirketin veri işleme ekini ve DPA güncelleme bildirim protokolünü analiz edin.
  • Tüm eklentiler veya uzantılar için bu analiz adımlarını tekrarlayın.
  • Eğitim veri kümeleri için verilerin çıkarılmasıyla ilgili özel sorular sorun.
  • Herhangi bir grafik sağlanmadıysa, yolların ne kadar karmaşık olduğunu ve ne kadar saldırı yüzey alanını temsil ettiklerini anlamak için sistemleriniz ve sistemleri arasındaki veri akışının şemasını çıkarın.

Derinlemesine Araştırmayla Savunma

Kamu ve özel sektör kurumları, kritik savunma ve soruşturma bağlamlarında verilerinize güvendiğinde hataya çok az yer vardır. Özel olarak Güvenlik Operasyonlarının ve genel olarak Bilgi Teknolojisinin ilk prensibi olarak, şirketin geri kalanından talep edilen yeni yazılımların güvenlik incelemeleri gibi durumlar için standartlaştırılmış ve tekrarlanabilir süreçlerin kurulması, sürdürülmesi ve yeniden değerlendirilmesi kritik öneme sahiptir. Bu, özellikle geleneksel şirket içi yazılımlara göre daha az görünürlük sağlayan Hizmet Olarak Yazılım (SaaS) teklifleri için geçerlidir.

Yapay Zekanın heyecan verici döngüsüne ve piyasadaki hemen hemen her uygulamaya dahil edilen Üretken Yapay Zeka (GenAI) fonksiyonlarının yanı sıra daha önce mevcut olmayan tamamen yeni GenAI destekli hizmetlere girin. GenAI’nin bu yeni özelliği, çeşitli nedenlerden dolayı güvenlik inceleme sürecini daha da karmaşık hale getiriyor. Aralarında:

  • GenAI iş sektörünün daha geleneksel modellerle karşılaştırıldığında yeniliği, bazı teknoloji etkileri konusunda belirsizliği, diğerleri hakkında ise doğrudan endişeleri beraberinde getiriyor.
  • GenAI veri işlemenin karmaşık doğası ve birden fazla şirkete giren ve çıkan veri akışlarının altında yatan ve sıklıkla iç içe geçen veri akışları, birden fazla kuruluşun veri maruziyetini artırıyor.
  • Pek çok GenAI hizmetinin çıkarımcı doğası, saf eğitim verileri daha kıt hale geldikçe ve GenAI modelleri eğitim verileri için kendi çıktılarını tüketemediğinden kullanıcı onayının düzenli olarak göz ardı edilmesi nedeniyle mevcut tüm verileri eğitim veri kümelerine besliyor.

Bu ve diğer endişeler göz önüne alındığında, Güvenlik Operasyonları ekibimiz şu ana kadar iyi işleyen genel bir çerçeveye göre çok sayıda yazılım güvenliği değerlendirmesini tamamladı. Diğer kuruluşların kendi yazılım inceleme süreçlerini bilgilendirmelerine ve belirsiz ve hızla değişen bir ortamda güvenlik duruşlarını güçlendirmelerine yardımcı olabileceği umuduyla burada bu konuya gireceğiz.

(Yalnızca Üretken Yapay Zeka ile ilgili tavsiye arayan SecOps uygulayıcıları için, Veri İşleme Ekleri gibi ayrıntıların tartışıldığı “Bir Kahve Alın ve Kitaplara Vurun” başlıklı bölüme doğrudan atlamak isteyebilirsiniz.)

Öz Değerlendirmenin Önemi

Herhangi bir güvenlik incelemesi, ister dahili bir güvenlik açığı, ister jeopolitik bir sorun, ister harici yeni bir yazılım isteği olsun, kendi kuruluşunuzun, şirketinizin veya kurumunuzun düzenli ve doğru bir değerlendirmesine dayanmalıdır. “Herkese Uygun Tek Boyut” risk profili yoktur; içinde bulunduğunuz sektöre ve bu sektörün karşılaştığı tehditlerin yanı sıra, korumaktan sorumlu olduğunuz verilere ve hizmetlere bir göz atın. Çalışanlarını, müşterilerini ve ticaret verilerini korumakla görevli bir ayakkabı satış şirketinin burada, araştırmacılara ve savunuculara istihbarat sağlayan bir şirketten çok farklı bir ayak izi var. Bir kamu güvenliği kurumunun, özel bir olay müdahale şirketinden çok farklı bir ayak izi vardır. Nerede oturduğunuzu ve çevrenizdeki ortamın nasıl göründüğünü anlayın ve bunun güvenlik duruşunuzu belirlemesine izin verin.

Ayrıca harici yazılımı incelemeye başlamadan önce yeni isteği ve kullanım örneklerini anladığınızdan emin olun. Bu yeni yazılıma hangi veriler aktif olarak maruz kalacak ve bu veriler ne kadar kritik? Müşteri verilerinin, özel kaynak kodunun, hassas iş operasyonlarının en önemli mücevherleri mi, yoksa başka yerlerde bulunan toplu açık kaynaklı veriler mi? Bu, diğer birçok hizmetle entegre olan SaaS teklifleri söz konusu olduğunda özellikle önemlidir. Yazılım Salesforce veya Github’u kapsıyorsa derinlere inmeniz gerekir.

Vibe Kontrolü Alabilir miyim?

Yazılım ve şirketle ilgili açık kaynak araştırmasıyla başlayın. Güvenlik güncellemelerine öncelik verilerek ürünün aktif olarak geliştirildiğinden veya en azından ihtiyaç duyulduğunda bakımının yapıldığından emin olun. Eskiyse ve son güncelleme bir yıl önce yapılmışsa, hiçbir iş akışınızda aktif kullanıma aday olmamalıdır. Tehdit ortamları ve güvenlik açığı ekosistemleri bu noktada çok hızlı değişiyor.

Şirketin güvenlik sorunlarına verdiği tepkiyi medyada veya Github aracılığıyla değerlendirin. Cevap verdiler mi yoksa görmezden mi geldiler? Güncelleme tempoları kendi risk profilinizle örtüşüyor mu, yoksa amaçlarınız açısından güvenilemeyecek kadar aralıklı mı? Ayrıca şirketin olgunluğunu da değerlendirin. Bir güven merkezi ve veri işleme dokümantasyonu yoksa ve/veya dokümantasyon veya destek sistemi Discord üzerinden sağlanıyorsa bu olgun bir çözüm değildir. Her şirket bu adımlar için gereken kaynaklara sahip değildir ancak şunu daima unutmayın: Her şirket, şirketinizin risk yönetimi duruşuna tam olarak uymayacaktır.

Bir Kahve Alın ve Kitaplara Vurun

Artık Güven Merkezi gibi yerlerde bulunan daha derin belgelere odaklanmanın zamanı geldi. Değerlendirdiğiniz herhangi bir yazılım, SOC2 veya ISO27001 sertifikası, en son sızma testi raporları veya onayları gibi belgeleri ve iş sürekliliği/felaket kurtarma planının unsurlarını kullanıma sunabilmelidir. Bazı işletmelerin tüm bunları üretememesinin nedenleri olabilir, ancak hiçbirini sağlayamıyorlarsa şüpheciliğinizin derinleşmesine izin verin.

Yukarıda belirtilen belgeler için, eski olmadığından emin olmak için yürürlük tarihlerini kontrol ettiğinizden emin olun, ancak aynı zamanda şirket, sızma testi raporları gibi birkaç yıllık bir şey sağlıyorsa, bunları incelemek zaman alır. Her yıl aynı güvenlik açıklarının ortaya çıkıp çıkmadığına bakın; veya şirketin hızlı hareket edecek ve test süresi boyunca keşfedilen güvenlik açıklarını düzeltecek kadar ciddi ve duyarlı olup olmadığı ki bu hiç de küçümsenecek bir başarı değil. Yazılım şirketinin resmi pentest şirketlerini elinde tutup tutmadığına, birkaç yıl boyunca bir firmadan diğerine atlayıp geçmediğine veya yalnızca hata ödül platformu reklamı yapılan test dönemleri gibi odaklanmamış ve daha az etkili testlerle mi meşgul olduğuna dikkat edin. Bunların hepsi bir düzeyde yüzeyin altında olup bitenler hakkında konuşacak.

Özellikle Üretken Yapay Zeka için erişebileceğiniz en önemli belgelerden biri, şirketin halka açık, erişimi ve anlaşılması kolay olması gereken Veri İşleme Eki’dir (DPA). Bu, genellikle GDPR gibi bir veya daha fazla coğrafi konuma sahip standartlara göre veri işlemeyi kapsayan bir hizmetin şart ve koşullarına ek olarak oluşturulan yasal bir belgedir. DPA ayrıca bir şirketin sözleşme yaptığı tüm veri alt işleyicilerini, bunların konumlarını ve verilerinizle ilgili işlevlerinin genel bir tanımını da listelemelidir. Verilerin coğrafi konumuna ve kapsamına dikkat edin ve risk yönetimi ihtiyaçlarınızı karşıladığından veya aştığından emin olun. Bazı DPA’ların beş veya altı alt işlemcisi vardır; bazılarında düzinelerce var. Bazı şirketler yalnızca ABD veya AB’deki alt işleyicilerle sözleşme yapar; bazıları verilerinizin kilometrelerce yakınına gelmek istemeyebileceğiniz ülkeleri içerir.

Ekstra puan olarak, her bir alt işlemcinin DPA’sını sırayla analiz ederseniz, veri riskinizin birinci ve ikinci sırasını görürsünüz. Bu genellikle hoş bir görüntü değildir.

DPA’yı okurken, hangi standart verilerinin tutulduğuna özellikle dikkat edin. Daha olgun kuruluşlar ABD ve AB’nin en iyi uygulamalarına, özellikle de GDPR’ye sadık kalacak; kaçınmanız gereken şirketler ise ABD/AB dışı veri işlemeye ve “eşdeğer standartlara” işaret eden standart bir dil kullanacaklardır. DPA’nın anlamı, verilerinizin yeminli yasal koruma olmadan dünyanın tamamen farklı bölgelerine gönderilebileceği anlamına geliyorsa, farklı bir çözüm bulmanın zamanı gelmiştir. DPA ayrıca yazılım şirketinin alt işlemcilerini uyguladığı standartlar hakkında arka plan bilgisi de sağlayacak. Bu bölümde görmek istediğiniz şey, “her alt işleyiciyle, kişisel verileri müşterilerimizle yaptığımız anlaşmada belirtilenlerden daha az koruyucu olmayan veri koruma yükümlülükleri getiren yazılı bir anlaşma” çizgisine uygun bir dildir. Bu tür bir dilden yoksun olan ekler, genellikle aslında “veri ortakları” olan ve muhtemelen sizin izniniz olmadan belirtilmemiş amaçlarla veri çeken alt işleyiciler için kasıtlı boşluklar sağlar.

Güvenlik incelemeleri yaptığım diğer tüm SaaS segmentlerinden daha fazla, Üretken AI bileşenlerine sahip hizmetler, karmaşık ve sorunlu veri alt işlemci listelerine sahiptir. Üçüncü ve dördüncü dereceden alt işleyici listelerini geriye doğru takip ettiğinizde, küçük şirketlerin çoğunun daha büyük GenAI firmaları için sadece beyaz etiket paketleri olduğunu ve daha büyük GenAI firmalarının çoğunun birbiriyle çapraz bağlantılı olduğunu hemen görürsünüz. Ayrıca veri ambarı Snowflake gibi yinelenen kalıpları ve yinelenen tek derin açığa çıkma noktalarını da bulabilirsiniz; eğer bu isim size tanıdık geliyorsa, bunun nedeni birden fazla Snowflake veri deposunun yetkisiz üçüncü taraflarca bazen aylarca sürekli olarak kazınması ve bu durumun bir dizi pivot uzlaşmasına yol açmasıdır. orada veri depolayan şirketlerin yanı sıra satıcı olarak bu şirketlere güvenenler.

Bir güvenlik incelemesini tamamlamadan önce, yeni yazılımın alt işlemci listesinin neden olduğu veri açığa çıkmasının yanı sıra veri coğrafi konumu ve onaylanan bölgeler dışındaki olası veri kaymalarına ilişkin ayrıntıları anladığınızdan emin olmalısınız. Ayrıca DPA’nın alt işlemci listesinin nasıl ve ne zaman güncelleneceğini ve bildirimlerin nasıl gerçekleşeceğini belirttiğinden emin olun. Açık sözlü şirketler, alt işleyici değişiklikleri hakkında, değişiklikler yürürlüğe girmeden önce devre dışı bırakılabilecekleri yasaklanmış sürelerle proaktif olarak müşterilere e-posta gönderir. Şüpheli şirketler, güncellemeler için DPA sayfasını bir şekilde izlemenizi gerektirir.

Bir diğer özel açıklama ise eğitim verileridir. Verilerinizin eğitim veri kümeleri için çıkarılıp çıkarılmayacağı veya analiz edilip edilmeyeceği konusunda herhangi bir sorunuz varsa, spesifik soruyu sorun ve cevabı yazılı olarak alın. Birkaç şirketten daha fazlası, belirli boşlukları yerinde bırakan ve sorulduğunda yanıt vermekten kaçınan sağlam görünümlü veri politikaları sağlıyor; bunu sorgunuzun önemli bir parçası haline getirin ve onayın şirketin yanıtına bağlı olduğunu açıkça belirtin.

Dahili kullanım durumu sorgunuzda tespit edilen tüm eklentiler, uzantılar veya diğer eklentiler için işlemi tekrarlayın. Web uygulamasını kapsamlı bir şekilde incelerseniz ancak Gmail eklentisinin güvenliği tehlikeye girerse verileriniz yine de kaybolur.

Çözüm

Bir eşik dönemindeyiz; eski işaretler önümüze düştü ve Üretken Yapay Zeka yazılımı ve özellikleri çoğu pazarı doldurduğundan yeni yolların açılması gerekiyor. Ancak istikrarın veya kesinliğin olduğu bir yerde değiliz. Üretken yapay zekanın muhtemelen atsız taşıma aşamasına geçerken, Güvenlik Operasyonları ve benzeri ekiplerin dikkatli ve bilinçli hareket etmesi, zor sorular sorması ve sıkıcı belgeleri analiz etmesi gerekiyor. Güvenle ilgili ve veri işleme belgelerine özel önem veren yazılım güvenliği incelemeleri için esnek çerçeveler oluşturmak, yükü hafifletir ve hepimiz değişen koşullara uyum sağlarken meslektaşlarımızı mevcut en iyi teknolojiyle donatmaya çalışırken kritik iş kararlarının alınmasına yardımcı olur.

Reklam



Source link