Интервью с главой безопасности Amazon о 40% росте эффективности пентестинга благодаря ИИ. Плюс: как обучать свой человеческий ИИ. — theregister.com
интервью По словам главы службы безопасности Си Джей Мозеса, Amazon добилась 40-процентного повышения эффективности за счет использования инструментов искусственного интеллекта для проведения пентестов своей продукции до и после выпуска.
“И я не думаю, что мы достигли пика эффективности”, — заявил Мозес, главный специалист по информационной безопасности Amazon Integrated Security, в интервью The Register на конференции RSA. “Каждый год мы запускаем больше продуктов, каждый год команды, необходимые для проведения пентестов, должны расти, и мы вели борьбу, в которой не могли набрать достаточно пентестеров для выполнения всей работы”.
Исторически это было занятие, требующее больших человеческих ресурсов и затрат, стоившее гиганту облачных технологий и онлайн-ритейла “миллионы и миллионы долларов в виде человеческих ресурсов” — как сотрудников AWS, так и подрядчиков — для упреждающего поиска и эксплуатации уязвимостей в продуктах, услугах и приложениях в процессе разработки и до того, как ими воспользуются клиенты.
“С появлением ИИ мы стали более чем на 40 процентов эффективнее”, — сказал Мозес, отметив, что этот прирост эффективности связан с расходами на персонал и эксплуатационными расходами, связанными с пентестингом.
Нам сообщили, что Amazon не увольняет сотрудников службы безопасности и не заменяет их роботами. Вместо этого, по словам Мозеса, компания сохраняет найм на прежнем уровне, при этом добавляя больше облачных сервисов, функций и строк кода, а также поддерживая тот же уровень безопасности, но с гораздо большей скоростью.
Еще одно преимущество пентестеров на базе ИИ, отметил он, заключается в том, что они могут непрерывно проверять наличие уязвимостей даже после выпуска продуктов.
Пентестинг больше не является точечным событием. Он продолжает тестирование, ища доступ следующего уровня, что неизмеримо
“Идея в том, что пентестинг больше не является точечным событием”, — сказал Мозес. “Это даже не 365 дней в году, когда вы получаете одно тестирование. Он продолжает тестирование, ища доступ следующего уровня, что неизмеримо с точки зрения выявления проблем, уязвимостей, последовательного соединения потенциальных уязвимостей автоматизированным способом, а затем представляет это в виде оповещения человеку, чтобы он отреагировал и принял решение”.
Кроме того, как бывший руководитель киберподразделения АНБ Роб Джойс рассказал участникам RSAC во время своей сессии, преступники используют ИИ для поиска уязвимостей и неправильных конфигураций в вашей организации, независимо от того, занимаетесь ли вы этим проактивно.
“Вас будут подвергать тестированию в режиме red team, платите вы за это или нет”, — сказал Джойс во время понедельничной сессии. “Единственная разница в том, кому доставляются результаты”.
И да, люди по-прежнему активно участвуют в процессе. Он пояснил, что ИИ выполняет более рутинные, ресурсоемкие задачи, такие как выявление и анализ уязвимостей, а затем передает принятие решений человеку.
“Например, если ИИ для пентестинга тестирует приложение и находит уязвимость, которая предоставит дальнейший доступ, вы хотите, чтобы ИИ спросил человека, стоит ли эксплуатировать этот доступ”, — сказал Мозес. “ИИ очень хорош в выполнении задач, особенно когда у вас большие объемы данных и нужен широкий обзор. Но с точки зрения принятия решений это не то, на что мы готовы положиться”.
По словам Мозеса и его коллег — главных специалистов по информационной безопасности и генеральных директоров фирм по кибербезопасности, — в плане принятия решений ИИ примерно равен 7-летнему ребенку. “Так что, если вы готовы позволить своему 7-летнему ребенку принимать решение о том, стоит ли переходить на следующий уровень пентестинга в вашей компании, хорошо. Но вы, вероятно, не захотите, чтобы ИИ делал это без кого-то гораздо более опытного и старшего”.
Как обучать свой ИИ
Обсуждения CISO во время и вокруг ежегодной конференции по кибербезопасности часто касаются болевых точек, с которыми сталкиваются руководители по безопасности компаний и правительств, и в этом году “это обсуждение ИИ”, — сказал Мозес. В частности, речь идет о том, как защищать системы и агентов ИИ, отметил он.
“Если вы привыкли защищать людей, вы лучше сможете защитить ИИ”, — сказал Мозес. “Какие две не детерминированные вещи мы должны защищать в наши дни? Люди и ИИ. Смотрите на свой ИИ так же, как вы смотрите на защиту своих людей. Как вы защищаете людей? Обучением”.
И тех, и других необходимо обучать тому, что делать — или не делать, — когда кто-то звонит в службу ИТ-поддержки, утверждая, что он сотрудник, заблокированный в SaaS-аккаунте. Однако, как и люди, ИИ не всегда ведут себя одинаково, несмотря на обучение безопасности, и именно поэтому идентификация и доступ становятся жизненно важными.
Точно так же, как ключ-карта и учетные данные сотрудника должны позволять ему доступ только к тем физическим пространствам и ИТ-средам, которые необходимы для выполнения его работы, агенты и системы ИИ также должны быть ограничены в своих возможностях. Это означает создание и управление агентными идентификаторами, обучение базовых моделей с использованием правильных данных для выполнения поставленных задач, а также ограничение доступа только к тем системам и данным, которые необходимы для выполнения конкретных задач.
“Вы говорите им то, что они должны знать, и не более того”, — сказал Мозес. “Если вы скажете им что-то, что им не нужно знать, они будут действовать на основе этого, они будут использовать это, они поделятся этим со своими друзьями — а у ИИ есть друзья”. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons