エンタープライズ環境へのAI導入の急増は、新しいセキュリティ脆弱性を生み出しているだけでなく、古いセキュリティの失敗も蘇らせている、と大手Mandiantの幹部は警告しています。
Google Cloud Next 26でInfosecurityと対談したMandiant Consulting(Google Cloud傘下)のバイスプレジデント、Jurgen Kutscherは、企業でのAI導入には基本的なセキュリティ管理の怠慢がしばしば伴うと述べました。
「古い問題の多くが再び現れています」とKutscherは言いました。「企業は大規模言語モデルのポイズニングのような新しいAI脅威について本当に心配しているのに、最も基本的なセキュリティ管理を忘れています。」
Mandiant Red Teamがサイバーセキュリティ上の失敗を明かす
Kutscherは、Mandiantのレッドチームが、本当の敵対者の戦術を採用してテスターが組織の防御を調査する模擬実世界攻撃中に、この管理不全によって引き起こされた実際のセキュリティ失敗を発見したと述べました。
レッドチーム従事中、攻撃者がデータ分類を変更でき、データ損失防止(DLP)ソリューションのような保護をバイパスできるようなAI対応環境を彼は見てきました。
さらに、Kutscherは暗号化されていない通信ストリームのような単純なミスでさえ見つけることに「驚いた」と述べました。
「例えば、金融企業と協力する際に、ブラウザのAIと間の暗号化されていない通信ストリームを観察しました」と彼は言い、基本的なセキュリティ衛生がいかに見過ごされていたかを強調しました。
複数の従事案件で、Mandiantのレッドチームメンバーは初期アクセスをソーシャルエンジニアリングでき、その後AIにデータの抜き出しやポリシーの変更を含む後続のアクションを実行させることができました。
「一度内部に入ると、データ盗難など、すべてをAIに実行させてきました。そして、私が言っているのは、許可されたAI導入についてであり、従業員が会社の監視なしにAIワークフローを導入したシャドウAIの場合ではありません」とKutscherは言いました。
組織は可能な限り早くAIセキュリティガバナンスプロセスを構築すべきです。
彼は、ポリシーとガバナンスの作成は、後からのコントロールされていないAI使用のクリーンアップより簡単であることを強調しました。彼は、安全なアーキテクチャを再検討し、重要な資産が本当にセグメント化されていることを確認するためにレッドチーム検証を実行することを推奨しました。
防御のためのAIの力を認識しながら、KutscherはシーソにAI導入が彼らを基本的なサイバーセキュリティの責任から免除すると仮定しないよう促しました。
「これらのミスが部分的に、シーソが常にAIワークフローの導入に関与していないという事実から来ている可能性があります。他の多くの理由がありますが、推測したくありませんが、AIワークフロー導入周辺の基本的なセキュリティ管理の欠如があり、それは重大なリスクです」と彼は結論づけました。
翻訳元: https://www.infosecurity-magazine.com/news/ai-old-cybersecurity-mistakes/
