לפרננדו קרדוסו יש תפקיד משמעותי: כסגן הנשיא למוצר של חברת האבטחה הגדולה טרנד מיקרו, בתפקידו הוא מעצב את תפיסת האבטחה וממפה איומים עבור עשרות אלפי ארגונים ומאות אלפי אולי מיליוני עובדים ברחבי העולם. התפקיד שלו נותן לו נקודת מבט מאוד ייחודית על עולם האבטחה הנוכחי - ואיך בינה מלאכותית מעצימה פושעים. ישבתי איתו לשיחה באירוע של טרנד מיקרו בוועידת שירותי הענן הגדולה של AWS בווגאס.
פרננדו, קודם כל - מה בדיוק התפקיד שלך בטרנד מיקרו?
"אני סגן נשיא לניהול מוצר. אני אחראי על כיוון המוצר ועל האופן שבו אנחנו מתרגמים מודיעין איומים ויכולות מחקר להגנות פרקטיות ללקוחות - בארגונים ובקהילה הרחבה יותר".
אם אתה צריך לשים אצבע על האיום הכי גדול שאתם רואים היום, מה זה יהיה? זה חומרה, זה תוכנה, זה בינה מלאכותית?
"זה שילוב, אבל תוכנה היא עדיין האיום המרכזי. אנחנו רואים כבר שנים שתוכנה היא הבעיה הגדולה ביותר, עם וריאציות חדשות - גם בזירות של חולשות יום-אפס. במקביל יש גם יותר ויותר חולשות חומרה, והאתגרים שם לפעמים שונים, כי לא תמיד קיימים מספיק תוכניות ציד באגים מסודרות לעולם החומרה, כמו שיש לעולם התוכנה". (בעניין הזה נציין שטרנד מיקרו נטלה חסות על PWN2OWN שהיא אולי התחרות המרכזית בעולם לניסיונות פריצה לחומרה, שמקיימת כמה סבבים בשנה).
איפה בינה מלאכותית נכנסת לתמונה בהיבט הזה?
"אנחנו רואים עלייה חדה בחולשות שקשורות ישירות לבניין ה-AI: רכיבים ותשתיות סביב מודלים, תהליכי פיתוח והפעלה, וכלים שמחברים מודלים למערכות.
אצלנו, למשל, דרך פעילות המחקר אנחנו מחזיקים מאות חולשות שלא פורסמו עדיין, וחלק משמעותי מהן קשור לרכיבי בינה מלאכותית", מספר קרדוסו.
"דברים כמו תשתיות MLOps ורכיבים סביב הזרימה של מודלים. אנחנו עובדים מול ספקי צד-שלישי במסגרת חלון תיקון מוסכם, ובינתיים יכולים להגן על לקוחות כי אנחנו יודעים על החולשות עוד לפני שהן מתפרסמות", הוא מציין בגאווה.
כשאתה אומר "התקפות על AI", למה אתה מתכוון בפועל? תן תמונת מצב.
"יש כמה משפחות תקיפה שחוזרות על עצמן. מצד אחד, התקפות קלאסיות על האינטראקציה עם המודל: הזרקת שאילתות, ג'יילברייקינג (עקיפת מגבלות הבטיחות - נ.ל.), ניסיונות לגרום למודל לחשוף מידע או לבצע פעולה שלא התכוונת אליה. מצד שני, הרבה מאוד תרחישים בכלל לא מתחילים בפרומפט, אלא בהגדרות שגויות ושכבות תשתית: שירותי ענן שמוגדרים לא נכון, צינורות נתונים שלא מבצעים אימות וסיווג כמו שצריך, ושאלת המקור והאיכות של המידע שמוזרם למודל", הוא ממפה את החולשות.
ועד כמה זה "בעיה של ספק הענן" ועד כמה זה על הלקוח?
"האחריות משותפת, אבל היא מתרחבת. מעבר למה שמכירים בענן כמודל אחריות משותפת, בבינה מלאכותית, נכנסות שכבות נוספות כמו זהויות, מידע, ממשקי גישה למודלים והאופן שבו מודלים נחשפים לשירותים אחרים", הוא מסביר.
"בפועל, אנחנו רואים יותר מודלים שרצים כקונטיינרים ומיקרו-שירותים, ואז הבעיה נהיית לפעמים בסיסית: הקונטיינר פתוח לאינטרנט, או נקודת גישה נשארה חשופה - ותוקפים מנצלים את זה".
בוא נדבר רגע על פרטיות ושימוש שגוי. אנשים פשוט מדביקים מידע רגיש לכלים חיצוניים. איך מתמודדים עם זה?
"זה בדיוק מה שאנחנו מכנים "Shadow AI" - מצב שבו עובדים משתמשים בכלי בינה מלאכותית, חלקם מאושרים על ידי הארגון וחלקם לא, ואין כמעט נראות סיכונים אמיתית: איזה כלים בשימוש, מה נכנס לפרומפטים, והאם יש זליגת מידע כמו מידע פרטי או קניין רוחני. לכן צריך יכולת ניטור ואכיפת מדיניות על התקשורת בין עובדים לשירותים האלה - לא רק על מה שנכנס, אלא גם על מה שיוצא, כי יש התקפות שמנסות להשפיע על הפלט ולהנדס החלטות", הוא ממפה את הסיכונים של העידן החדש.
יש תחושה שהרבה ארגונים התאהבו בניהול סיכונים ובלוחות מחוונים. זה מספיק?
"לא. נראות סיכון חשובה, אבל היא לא מחליפה הגנה בזמן ריצה. הרבה מדברים על זיהוי - EDR, ניטור קונפיגורציות, סיכוני ענן - אבל אם אין שכבות שמונעות ניצול של הפרצות בזמן אמת, אתה מגלה את הבעיה בזמן שהבעיה כבר בעיצומה. צריך גם לדעת איפה הסיכונים, וגם להיות מסוגל לעצור מתקפה כשהיא מתרחשת", מסכם קרדוסו את עולם הסיכונים העדכני.
גילוי נאות: הכותב היה אורח אמזון AWS בווגאס