Nje nga aspektet kryesore që duhet të kuptoni rreth sigurisë kibernetike është se është si një lojë mendore. Sipas Ami Luttwak, teknolog i lartë në kompaninë e sigurisë Wiz, zhvillimet e reja teknologjike sjellin gjithmonë mundësi të reja që sulmuesit t’i shfrytëzojnë. Teksa ndërmarrjet po nxitojnë të integrojnë inteligjencën artificiale në proceset e tyre, hapësira për sulme po zgjerohet gjithnjë e më shumë. Inteligjenca artificiale ndihmon zhvilluesit të prodhojnë kod më shpejt, por kjo shpejtësi shpesh vjen me kompromise në siguri, duke lënë hapësira për gabime që mund të keqpërdoren nga sulmuesit.
Sfidat e reja të sigurisë nga implementimi i AI
Wiz kreu testime së fundmi dhe zbuloi që problematikat më të shpeshta tek aplikacionet e krijuara me technikën “vibe coding” kishin të bënin me implementime jo të sigurta të autentifikimit – sistemit që verifikon identitetin e përdoruesve dhe siguron që ata nuk janë sulmues. Ky problem ndodh shpesh ngaqë është më i thjeshtë për tu ndërtuar në këtë mënyrë. Mjetet e vibe coding bëjnë saktësisht atë që kërkon, por nëse nuk i orienton të ndërtojnë kodin në mënyrën më të sigurt, kështu nuk do të ndodhë.
Kompromisi mes shpejtësisë dhe sigurisë është bërë i përditshëm për shumë kompani. Megjithatë, nuk janë vetëm zhvilluesit që po përdorin AI për të ecur më shpejt – edhe sulmuesit kanë filluar të shfrytëzojnë “vibe coding”, teknika me prompts dhe madje edhe agjentët e tyre AI për të realizuar sulme. Sot, sulmuesit përdorin mjete të AI-së të vet kompanive për të zbuluar të dhëna të ndjeshme ose për të manipuluar sistemet nga brenda. Një nga këto raste ndodhi muajin e kaluar te Drift, ku u komprometuan të dhëna të rëndësishme të klientëve enterprise, pasi sulmuesit morën akses në token-e dhe përfituan akses lateral në mjedisin e klientëve të mëdhenj si Cloudflare dhe Google. Këto sulme ndodhin çdo javë nëpërmjet integrimeve të reja të AI-së në kompani, duke shfrytëzuar dobësitë në zinxhirin e furnizimit.
Rëndësia e hapave të sigurt nga dita e parë
Edhe pse adaptimi i AI nëpër organizata të mëdha ende është në faza fillestare, sulmet që përdorin inteligjencën artificiale po ndodhin çdo javë dhe prekin qindra kompani. Sulmet në sistemet e build për zhvilluesit, si ajo ndaj Nx, ku softueri dashakeq përdori AI për të vendosur akses në të dhënat konfidenciale të zhvilluesve, demonstrojnë rreziqet që vijnë nga mungesa e sigurisë së mirëfilltë.
Wiz ka zgjeruar vazhdimisht aftësitë, duke përfshirë zgjidhje si Wiz Code për të adresuar sigurinë që në fazat e hershme të zhvillimit të softuerit dhe Wiz Defend për të identifikuar dhe ndërhyrë ndaj kërcënimeve aktive në ambientet cloud. Luttwak thekson se “horizontal security”, një strategji e orientuar drejt kuptimit të aplikacionit dhe nevojave specifike të klientit, është çelësi për të ndërtuar mjete sigurie efektive dhe të personalizuara.
Luttwak sugjeron që çdo startup, pavarësisht nga madhësia apo faza e zhvillimit, duhet të mendojë për sigurinë dhe përputhshmërinë që nga dita e parë. Implementimi i praktikave të avancuara të sigurisë, mbajtja e log-ëve të auditimit, autentifikimi i fortë dhe planifikimi i arkitekturës së duhur për të mbajtur të dhënat e klientëve në ambientin e tyre, janë hapa thelbësorë për të rritur besueshmërinë. Ai shton që është shumë më e thjeshtë të certifikohesh për standardet e sigurisë me 5 punonjës sesa me 500, ndaj duhet nisur që në fillim.
Për startup-et që duan të fokusohen tek klientët enterprise dhe të jenë pjesë e revolucionit të AI-së në sigurinë kibernetike, tani është koha ideale. Shumë fusha të sigurisë si mbrojtja ndaj phishing, email, apo malware janë gati për inovacion, si për sulmuesit ashtu edhe për mbrojtësit. E njëjta vlen edhe për mjetet që ndihmojnë në automatizimin e proceseve të sigurisë dhe përdorimin e AI-së për të mbrojtur kundër AI-së. Luttwak thekson se loja është e hapur dhe çdo segment i sigurisë po përjeton sulme të reja, ndaj është koha të rishikohen të gjitha aspektet e sigurisë kibernetike dhe të ndërmerren hapa inovativë.
Tags: inteligjenca artificiale, siguri kibernetike, vibe coding, startup, sulme kibernetike, autentifikim