В Лос-Анджелесе состоялась встреча с Фрэнсисом де Соузой, главным операционным директором Google Cloud. В ходе беседы де Соуза, известный своей спокойной и размеренной манерой общения, поделился ценными рекомендациями для компаний, сталкивающихся с вопросами безопасности в эпоху искусственного интеллекта. Он отметил, что нас ожидает «переходный период, после которого мы придем к лучшему состоянию». Хотя де Соуза не говорил напрямую о Google, очевидно, что и компания продолжает активно искать оптимальные решения в этой области.
Стратегический подход к безопасности ИИ
Основная мысль де Соузы, которую специалисты по безопасности годами пытались донести до руководителей, стала особенно актуальной с развитием искусственного интеллекта: безопасность не может быть второстепенным вопросом. По его словам, компаниям, начинающим внедрять ИИ, необходимо применять платформенный подход. «Безопасность нельзя просто «прикрутить» позже, и это не то, что можно доверить сотрудникам на их собственное усмотрение», — подчеркнул он. Де Соуза особо предостерег от «теневого ИИ» — использования сотрудниками потребительских инструментов без ведома и контроля организации. Он заявил, что компании должны изначально требовать от своих платформ обеспечения безопасности, управления и возможности аудита. «Не существует стратегии ИИ без стратегии данных и стратегии безопасности. Они должны идти рука об руку», — добавил главный операционный директор Google Cloud.
Важность мультиоблачной безопасности
Следует отметить, что де Соуза не продвигал исключительно Google Cloud. В ответ на предположение, что его рекомендации звучат как реклама Google, он возразил. Представитель Google заявил, что компания придерживается мультиоблачного подхода, то есть использования нескольких облачных платформ. Он также аргументировал, что организации, полагающие, что работают в одном облаке, почти наверняка ошибаются. «Даже если они выбирают одно облако, они всё равно зависят от SaaS-приложений (программное обеспечение как услуга), а их бизнес-партнеры могут использовать другие облачные сервисы», — пояснил де Соуза. «Критически важно для компаний иметь единую и последовательную политику безопасности для всех облаков и моделей», — заключил он.
Изменение ландшафта угроз и роль ИИ-агентов
Де Соуза также подчеркнул, что ландшафт угроз изменился настолько кардинально, что традиционные методы защиты стали слишком медленными. Он отметил, что среднее время между первоначальным взломом и переходом к следующей фазе атаки сократилось с восьми часов до 22 секунд, а поверхность атаки значительно расширилась за пределы традиционного сетевого периметра. «Помимо привычной инфраструктуры, теперь у вас есть модели, конвейеры данных для их обучения, интеллектуальные агенты (автономные программы, выполняющие задачи) и запросы. Все это требует защиты», — заявил он. Особую угрозу, которой, по мнению де Соузы, уделяется недостаточно внимания, представляют агенты, перемещающиеся по внутренним системам компании. Они могут обнаруживать забытые хранилища данных, о которых никто не вспоминал годами. «Многие организации имеют устаревшие серверы SharePoint и средства контроля доступа, которые давно не обновлялись, но это не имело значения, так как никто не знал об их местонахождении. Однако агенты, перемещаясь по предприятию, найдут эти активы и раскроют содержащиеся в них данные», — пояснил эксперт.
ИИ-нативная защита и «багокалипсис»
Решением, по мнению де Соузы, является противодействие машинной скорости атаки с помощью машинной скорости защиты. «Мы наблюдаем появление ИИ-нативной, полностью агентной защиты, где организации могут использовать интеллектуальных агентов для управления обороной», — заявил он. «Вместо защиты, управляемой человеком, или даже человеком в цикле, теперь можно иметь людей, которые осуществляют надзор за полностью агентной защитой». Он добавил, что это стало проблемой на уровне руководства, а не только технологической задачей. «Это вопрос уровня совета директоров и исполнительного руководства. Это не только проблема команды безопасности». Однако, несмотря на то, что ИИ берет на себя все больше оборонительных задач, квалифицированных специалистов для его надзора не хватает. Уязвимости, которые сам ИИ привносит, размножаются быстрее, чем команды безопасности могут с ними справиться. Лиа Киснер, директор по информационной безопасности LinkedIn, на этой неделе заявила газете The New York Times, что «нам понадобятся люди для борьбы с «багокалипсисом» (массовым появлением уязвимостей)», добавив, что она не ожидает, что отрасль сможет понять безопасность ИИ в долгосрочной перспективе в течение как минимум нескольких лет.
Проблемы с API Gemini в Google Cloud
Это возвращает к вопросу о самих поставщиках платформ. Издание The Register за последние несколько недель опубликовало серию отчетов, документирующих случаи, когда разработчики Google Cloud сталкивались со счетами на десятки тысяч долларов из-за несанкционированных вызовов API к моделям Gemini — сервисам, многие из которых они никогда не использовали или не активировали намеренно. Эти случаи следовали знакомому шаблону: ключи API, изначально развернутые для Google Maps и размещенные публично в соответствии с собственными инструкциями Google, тихо получили возможность доступа к Gemini после того, как Google расширила их область действия без четкого раскрытия этого изменения. Род Данан, генеральный директор платформы для подготовки к интервью Prentus, сообщил, что его счет достиг 10 138 долларов примерно за 30 минут после того, как злоумышленники использовали его скомпрометированный ключ API. Исуру Фонсека, разработчик из Сиднея, чей аккаунт был аналогично скомпрометирован, проснулся, обнаружив списания на сумму около 17 000 австралийских долларов, хотя был уверен, что у него установлен лимит расходов в 250 долларов. Ни один из них не знал, что автоматизированные системы Google обновили их тарифные планы на основе истории аккаунта, увеличив их фактические лимиты до 100 000 долларов без явного согласия. Google вернула средства обоим после публикации The Register первоначального отчета. Тем не менее, Google сообщила The Register, что не планирует менять свою политику автоматического повышения тарифных планов, заявляя, что приоритетом является предотвращение сбоев в обслуживании, а не соблюдение заявленных пользователями бюджетных предпочтений.
Задержки отзыва ключей API и выводы
Тем временем возникает отдельный вопрос о том, что происходит, когда разработчик пытается остановить утечку. На этой неделе The Register сообщил о исследовании компании по безопасности Aikido, которое показало, что даже разработчики, обнаружившие скомпрометированный ключ и немедленно его удалившие, могут быть не в безопасности. Согласно данным Aikido, злоумышленники могут продолжать использовать этот ключ до 23 минут, потому что отзыв Google распространяется по его инфраструктуре постепенно. Исследователь Aikido Джозеф Леон рассказал The Register, что в течение этого временного окна успешность запросов непредсказуема — в некоторые минуты более 90% запросов все еще аутентифицируются, — и злоумышленники могут использовать это время для извлечения файлов и кэшированных данных разговоров из Gemini. Леон также отметил, что более новые форматы учетных данных Google, похоже, не имеют такой проблемы: учетные данные API сервисных аккаунтов отзываются примерно за пять секунд, а новый формат ключей Gemini с префиксом AQ занимает около одной минуты. «Оба работают в масштабах Google», — написал он в соответствующем документе Aikido. «Оба говорят о том, что это технически решаемо и для ключей API Google». Короче говоря, по словам Леона, 23-минутное окно — это не техническое ограничение, а вопрос приоритетов компании.
Эти факты стоит учитывать, читая рекомендации де Соузы, которые, безусловно, обоснованы и заслуживают самого серьезного внимания. Его выводы верны, но в настоящее время существует разрыв между тем, что платформы предписывают, и тем, насколько быстро они сами адаптируются. Важно помнить и об этом.
