Гитлаб спонсировал этот пост.
Специалисты по безопасности понимают опасность внутренних угроз: противники или частные лица с вредными целями, которые работают из предприятия, будь то сотрудники, проверяли сторонних поставщиков или партнерских организаций с повышенными разрешениями.
Тем не менее, мы являемся свидетелями появления другой категории внутреннего актера, которому не хватает злонамеренных намерений, но также действует без человеческого сознания. Автономные системы ИИ, несмотря на функционирование в качестве доверенных лиц для своих человеческих операторов, позиционируются для вытеснения традиционных процессов принятия решений и выявления уязвимостей в установленных механизмах контроля доступа.
Агенты ИИ уже показали, как они бросают вызов традиционным системам авторизации. Это одна из областей безопасности, которую организации должны переоценить или рисковать раскрыванием хаоса в средах программного обеспечения.
Что работает для людей, не работает для агентов
Авторизация, или Authz, заключается в управлении доступом пользователей к ресурсам: обеспечение того, чтобы пользователи могли делать только то, что им разрешено делать.
Тем не менее, важно отметить, что системы Authz не обязательно предотвращают все, что пользователи могут попытаться сделать. Большинство существующих систем Authz предназначены для угрозы и построены на предположении, что внешние факторы, такие как законы, риск или привычка социального контролирования, ограничат плохое поведение человека.
В результате это обычно не является проблемой, когда система Authz переполняет доступ к доступу. Чрезмерное обеспечение происходит все время. Например, когда кто -то только что присоединился к компании, легче скопировать существующий набор ролей в свою учетную запись, а не тщательно думать о том, к чему им нужен доступ. До сих пор внешние факторы, упомянутые ранее, означали, что этот подход обычно не вызывал серьезных проблем.
Поскольку агенты ИИ стремятся выполнить свои задачи, у них нет таких ограничений. Следовательно, агенты, действующие от имени людей, могут начать разоблачать чрезмерные права и роли этих пользователей.
Три способа укрепления управления ИИ
Команды безопасности могут снизить агентские риски безопасности для своих систем Authz, активно используя новые лучшие практики. Эффективное управление будет иметь все значение, и организации могут начать с сосредоточения внимания на трех областях:
1. Назначьте композитные идентичности
Прямо сейчас системы аутентификации (AUTHN) и Authz не могут различать пользователей -пользователей и агентов искусственного интеллекта. Когда агенты искусственного интеллекта выполняют действия, они действуют от имени людей или используют идентификацию, назначенную им на основе системы Authn и Authz, ориентированной на человека.
Это усложняет процесс ответа на ранее простые вопросы, например: кто является автором этого кода? Кто инициировал этот запрос о слиянии? Кто создал этот коммит GIT?
Это также поднимает новые вопросы, такие как: кто сказал агенту искусственного интеллекта генерировать этот код? Какой контекст должен был его построить? К каким ресурсам ИИ был доступ?
Композитные идентичности дают вам возможность ответить на эти вопросы, соединив личность агента искусственного интеллекта с человеком. Когда агент ИИ пытается получить доступ к ресурсу, его запрос теперь может быть надежно авторизован и аутентифицирован.
2. Принять комплексные структуры мониторинга
Компании по операциям, разработке и безопасности нуждаются в способах мониторинга деятельности агентов искусственного интеллекта по нескольким рабочим процессам, процессам и системам. Например, недостаточно знать, что агент делает в кодовой базе. Компании также должны отслеживать активность агента в стационарных и производственных средах, а также в связанных базах данных и любых приложениях, к которым она может иметь доступ.
В конечном итоге организации могут даже начать использовать информационные системы автономных ресурсов (ARIS), которые параллельны существующим информационным системам человеческих ресурсов (HRIS), что позволяет командам поддерживать профили автономных агентов, документировать свои возможности и специализации и управлять своими эксплуатационными границами.
3. Принимайте прозрачность и подотчетность
С или без сложных структур мониторинга организации и их сотрудники должны быть прозрачными в том, когда они развернут ИИ. Они должны установить четкие структуры подотчетности для автономных агентов ИИ. Люди должны регулярно просматривать действия и результаты агентов, и, что более важно, кто -то должен быть подотчетным, если агент превышает свои границы.
Приоритет ответственному развертыванию ИИ
Недейтерминированный характер агентов ИИ принесет замечательные инновации и прорывы в рамках разработки программного обеспечения. Они также, безусловно, будут раздвинуть границы существующих систем Authz. Но им не нужно становиться агентами хаоса.
Организации безопасности обычно развиваются медленнее, чем технологические возможности, требующие от нас найти равновесие между прогрессом и защитой. Подходящим сравнением является переход к облачным вычислениям за последнее десятилетие. Ответственное принятие начинается с создания правильных рамок управления сейчас, поэтому агенты становятся доверенными партнерами для групп разработки программного обеспечения.
Gitlab — самая полная, интеллектуальная платформа Devsecops для инноваций в программном обеспечении. Gitlab позволяет организациям повысить производительность разработчиков, повысить эффективность эксплуатации, снизить риск безопасности и соответствия, а также ускорить цифровые преобразования. Узнайте больше последних из Gitlab Trending Stories YouTube.com/ThenewStack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Джош Лемос является главным сотрудником информационной безопасности в Gitlab Inc., где он приносит 20 -летний опыт ведущего команд информационной безопасности к своей роли. Джош руководил командами безопасности в многочисленных технологических компаниях с высоким ростом, включая ServiceNow, Cylance и большинство … Подробнее от Josh Lemos
