دگرگونی حملات سایبری با هوش مصنوعی: دیدگاه مدیر ارشد فناوری Wiz

“یکی از نکات کلیدی در مورد امنیت سایبری این است که یک بازی ذهنی است.” این را آمی لوتواک، مدیر ارشد فناوری شرکت امنیت سایبری Wiz، در یکی از قسمت‌های اخیر برنامه “Equity” به خبرنگار گفت. “اگر موج جدیدی از فناوری در راه باشد، فرصت‌های جدیدی برای مهاجمان برای استفاده از آن وجود خواهد داشت.”

همزمان با تلاش شرکت‌ها برای ادغام هوش مصنوعی در گردش کار خود – چه از طریق کدنویسی، یکپارچه‌سازی عامل هوش مصنوعی یا ابزارهای جدید – سطح حمله در حال گسترش است. هوش مصنوعی به توسعه‌دهندگان کمک می‌کند تا سریع‌تر کد ارسال کنند، اما این سرعت اغلب با میانبرها و اشتباهات همراه است و فرصت‌های جدیدی را برای مهاجمان ایجاد می‌کند.

لوتواک می‌گوید Wiz، که اوایل امسال توسط گوگل به قیمت 32 میلیارد دلار خریداری شد، اخیراً آزمایش‌هایی انجام داده و دریافته است که یک مشکل رایج در برنامه‌های کاربردی، پیاده‌سازی ناامن احراز هویت است – سیستمی که هویت کاربر را تأیید می‌کند و اطمینان می‌دهد که او مهاجم نیست.

او گفت: “این اتفاق به این دلیل افتاد که ساختن آن به این شکل آسان‌تر بود.” “عوامل کدنویسی هر آنچه را که شما می‌گویید انجام می‌دهند، و اگر به آنها نگویید که آن را به امن‌ترین روش بسازند، این کار را نخواهند کرد.”

لوتواک خاطرنشان کرد که امروزه شرکت‌ها دائماً در حال انتخاب بین سرعت و امنیت هستند. اما توسعه‌دهندگان تنها کسانی نیستند که از هوش مصنوعی برای حرکت سریع‌تر استفاده می‌کنند. او گفت که مهاجمان اکنون از کدنویسی، تکنیک‌های مبتنی بر اعلان و حتی عوامل هوش مصنوعی خود برای آغاز بهره‌برداری استفاده می‌کنند.

لوتواک گفت: “در واقع می‌توانید ببینید که مهاجم اکنون از اعلان‌ها برای حمله استفاده می‌کند.” “این فقط کدنویسی مهاجم نیست. مهاجم به دنبال ابزارهای هوش مصنوعی می‌گردد که شما دارید و به آنها می‌گوید، “تمام اسرار خود را برای من بفرست، دستگاه را حذف کن، فایل را حذف کن.”

در این میان، مهاجمان همچنین نقاط ورود را در ابزارهای جدید هوش مصنوعی پیدا می‌کنند که شرکت‌ها به صورت داخلی برای افزایش کارایی عرضه می‌کنند. لوتواک می‌گوید که این یکپارچه‌سازی‌ها می‌تواند منجر به “حملات زنجیره تامین” شود. با به خطر انداختن یک سرویس شخص ثالث که دسترسی گسترده‌ای به زیرساخت یک شرکت دارد، مهاجمان می‌توانند عمیق‌تر به سیستم‌های شرکتی نفوذ کنند.

این همان چیزی است که ماه گذشته زمانی رخ داد که Drift – یک استارت‌آپ که ربات‌های گفتگوی هوش مصنوعی را برای فروش و بازاریابی می‌فروشد – مورد نقض قرار گرفت و داده‌های Salesforce صدها مشتری سازمانی مانند Cloudflare، Palo Alto Networks و Google را در معرض خطر قرار داد. مهاجمان به توکن‌ها یا کلیدهای دیجیتال دسترسی پیدا کردند و از آنها برای جعل هویت ربات گفتگو، پرس و جو از داده‌های Salesforce و حرکت جانبی در داخل محیط‌های مشتری استفاده کردند.

لوتواک گفت: “مهاجم کد حمله را وارد کرد، که آن هم با استفاده از کدنویسی ساخته شده بود.”

لوتواک می‌گوید در حالی که پذیرش ابزارهای هوش مصنوعی توسط شرکت‌ها هنوز حداقل است – او تخمین می‌زند که حدود 1٪ از شرکت‌ها به طور کامل هوش مصنوعی را پذیرفته‌اند – Wiz در حال حاضر هر هفته شاهد حملاتی است که هزاران مشتری سازمانی را تحت تاثیر قرار می‌دهد.

لوتواک گفت: “و اگر به جریان حمله نگاه کنید، هوش مصنوعی در هر مرحله تعبیه شده بود.” “این انقلاب سریعتر از هر انقلابی است که در گذشته دیده‌ایم. این بدان معناست که ما به عنوان یک صنعت باید سریعتر حرکت کنیم.”

لوتواک به یک حمله بزرگ دیگر به زنجیره تامین، با نام “s1ingularity”، در مرداد ماه به Nx، یک سیستم ساخت محبوب برای توسعه‌دهندگان JavaScript اشاره کرد. مهاجمان موفق شدند بدافزاری را وارد سیستم کنند که سپس حضور ابزارهای توسعه‌دهنده هوش مصنوعی مانند Claude و Gemini را شناسایی کرد و آنها را ربود تا به طور خودکار سیستم را برای یافتن داده‌های ارزشمند اسکن کنند. این حمله هزاران توکن و کلید توسعه‌دهنده را به خطر انداخت و به مهاجمان امکان دسترسی به مخازن خصوصی GitHub را داد.

لوتواک می‌گوید با وجود تهدیدها، این یک زمان هیجان‌انگیز برای رهبر بودن در امنیت سایبری بوده است. Wiz که در سال 1399 تاسیس شد، در ابتدا بر کمک به سازمان‌ها برای شناسایی و رفع پیکربندی‌های نادرست، آسیب‌پذیری‌ها و سایر خطرات امنیتی در محیط‌های ابری متمرکز بود.

در طول سال گذشته، Wiz قابلیت‌های خود را گسترش داده است تا با سرعت حملات مرتبط با هوش مصنوعی همگام شود – و از هوش مصنوعی برای محصولات خود استفاده کند.

در شهریور ماه گذشته، Wiz، Wiz Code را راه‌اندازی کرد که بر ایمن‌سازی چرخه عمر توسعه نرم‌افزار با شناسایی و کاهش مسائل امنیتی در مراحل اولیه فرآیند توسعه تمرکز دارد، بنابراین شرکت‌ها می‌توانند “از نظر طراحی امن” باشند. در فروردین ماه، Wiz، Wiz Defend را راه‌اندازی کرد که با شناسایی و پاسخگویی به تهدیدهای فعال در محیط‌های ابری، محافظت در زمان اجرا را ارائه می‌دهد.

لوتواک گفت که برای Wiz بسیار مهم است که به طور کامل برنامه‌های کاربردی مشتریان خود را درک کند تا این استارت‌آپ بتواند به آنچه او “امنیت افقی” می‌نامد، کمک کند.

او گفت: “ما باید بفهمیم که چرا آن را می‌سازید… تا بتوانم ابزار امنیتی را بسازم که هیچ‌کس قبلاً نداشته است، ابزار امنیتی که شما را درک می‌کند.”

“از روز اول، باید یک مدیر ارشد امنیت اطلاعات (CISO) داشته باشید.”

همه‌گیر شدن ابزارهای هوش مصنوعی منجر به سیل استارت‌آپ‌های جدید شده است که وعده حل مشکلات شرکت‌ها را می‌دهند. اما لوتواک می‌گوید شرکت‌ها نباید فقط تمام داده‌های شرکت، کارمندان و مشتریان خود را برای “هر شرکت SaaS کوچک که پنج کارمند دارد، فقط به این دلیل که می‌گویند، “تمام داده‌های خود را به من بدهید، و من بینش‌های شگفت‌انگیز هوش مصنوعی را به شما می‌دهم”، ارسال کنند.

البته، این استارت‌آپ‌ها به آن داده‌ها نیاز دارند تا پیشنهاد آنها ارزشی داشته باشد. لوتواک می‌گوید این بدان معناست که آنها موظفند اطمینان حاصل کنند که از ابتدا مانند یک سازمان امن عمل می‌کنند.

او گفت: “از روز اول، باید به امنیت و انطباق فکر کنید.” “از روز اول، شما باید یک مدیر ارشد امنیت اطلاعات (CISO) داشته باشید. حتی اگر پنج نفر دارید.”

او گفت که استارت‌آپ‌ها قبل از نوشتن حتی یک خط کد، باید مانند یک سازمان بسیار امن فکر کنند. آنها باید ویژگی‌های امنیتی سازمانی، گزارش‌های ممیزی، احراز هویت، دسترسی به تولید، شیوه‌های توسعه، مالکیت امنیتی و ورود یکباره را در نظر بگیرند. برنامه‌ریزی به این روش از ابتدا به این معنی است که لازم نیست بعداً فرآیندها را اصلاح کنید و آنچه را که لوتواک “بدهی امنیتی” می‌نامد، متحمل شوید. و اگر قصد دارید به شرکت‌ها بفروشید، از قبل برای محافظت از داده‌های آنها آماده خواهید بود.

او گفت: “ما قبل از اینکه کد داشته باشیم، با SOC2 [یک چارچوب انطباق] مطابقت داشتیم.” “و من می‌توانم یک راز را به شما بگویم. گرفتن انطباق SOC2 برای پنج کارمند بسیار آسان‌تر از 500 کارمند است.”

او گفت که مهم‌ترین گام بعدی برای استارت‌آپ‌ها فکر کردن به معماری است.

“اگر شما یک استارت‌آپ هوش مصنوعی هستید که می‌خواهد از روز اول بر روی شرکت‌ها تمرکز کند، باید به معماری فکر کنید که به داده‌های مشتری اجازه می‌دهد… در محیط مشتری باقی بماند.”

لوتواک می‌گوید برای استارت‌آپ‌های امنیت سایبری که به دنبال ورود به این حوزه در عصر هوش مصنوعی هستند، اکنون زمان آن فرا رسیده است. همه چیز از محافظت در برابر فیشینگ و امنیت ایمیل گرفته تا بدافزار و محافظت از نقطه پایانی، زمینه حاصلخیزی برای نوآوری است، هم برای مهاجمان و هم برای مدافعان. همین امر در مورد استارت‌آپ‌هایی که می‌توانند به ابزارهای گردش کار و اتوماسیون برای انجام “امنیت” کمک کنند، صادق است، زیرا بسیاری از تیم‌های امنیتی هنوز نمی‌دانند چگونه از هوش مصنوعی برای دفاع در برابر هوش مصنوعی استفاده کنند.

لوتواک گفت: “بازی باز است.” “اگر هر حوزه امنیتی اکنون حملات جدیدی دارد، این بدان معناست که ما باید در مورد هر بخش از امنیت تجدید نظر کنیم.”