Добавление генеративного ИИ в качестве инструмента защиты API

Aug 26, 2023

Главная » Бульвар Безопасности (Оригинал) » Добавление генеративного искусственного интеллекта в качестве инструмента защиты API

Мир безопасности находится на ранних стадиях выяснения того, как лучше всего использовать генеративный искусственный интеллект для повышения кибербезопасности, одновременно защищаясь от него как нового вектора угрозы.

Возьмем, к примеру, безопасность API. В недавней статье на «Бульваре безопасности» Билл Доррфельд утверждал, что генеративный ИИ будет представлять угрозу безопасности API. Одна из проблем заключается в том, что генеративный ИИ может использоваться для злоупотребления API, пишет Доррфельд, из-за большой поверхности атаки. Многие организации сейчас развертывают сотни API, которые уже имеют проблемы с видимостью. Злоумышленники знают, что организации изо всех сил пытаются защитить свои API, что дает им возможность вмешаться и самостоятельно использовать ИИ для поиска уязвимостей.

«Кроме того, генеративный ИИ может использоваться для компрометации учетных данных разными способами», — написал Доррфельд, добавив, что генеративный ИИ можно использовать для обнаружения шаблонов для обнаружения паролей или использовать для подстановки учетных данных.

Эти угрозы безопасности должны быть устранены как можно скорее. Однако в то время как злоумышленники придумывают способы использования генеративного ИИ для проведения атак на API, исследователи безопасности разрабатывают способы использования той же технологии для защиты API.

«Генераторный ИИ сегодня, очевидно, является модным словом во многих областях, включая безопасность», — сказал Суббу Айер, вице-президент по управлению продуктами Cequence Security, на недавнем вебинаре. Но эту технологию можно использовать для автоматизации задач, которые когда-то выполнялись вручную, и для проверки безопасности API.

Прежде чем вы начнете применять генеративный искусственный интеллект в качестве решения для обеспечения безопасности API, вам необходимо хорошо понимать, что необходимо для защиты API. Айер объяснил, что унифицированный подход к защите API построен на трех столпах: обнаружение, которое включает в себя изучение и классификацию того, как выглядит поверхность атаки вашего API, соответствие требованиям, которое включает в себя анализ состояния безопасности API и обеспечение их соответствия передовым практикам безопасности и защиты. , что означает мониторинг трафика, поступающего к API, и блокирование потенциальных атак.

К сожалению, во многих организациях защита API нарушена. «Вы будете удивлены, узнав, сколько API-интерфейсов, которые мы обнаружили, полностью не контролируются и публикуются, а также раскрывают данные клиентов», — сказал Айер.

Обнаружение уязвимостей в API требует тестирования безопасности приложений, но, как отметил Айер в своем блоге, очень сложно «создать тестовые примеры, адаптированные для тестируемых приложений, чтобы можно было протестировать их соответствующие бизнес-функции перед выпуском их в производство».

Именно здесь генеративный ИИ становится полезным инструментом безопасности API. «Вы можете попросить приложение генеративного ИИ сделать то, что в противном случае потребовало бы огромного количества ручной работы», — объяснил Айер.

Например, компания Cequence разработала сценарии использования генеративного ИИ для тестирования безопасности API с использованием интеллектуального режима, который автоматически создает тесты в зависимости от типа API. По словам Айера, с помощью генеративного ИИ вы можете объединить правильные тестовые примеры для каждой конечной точки API в приложении.

«Это устранит часы и недели работы, которые потребовались бы от инженера по безопасности для создания этого тестового примера или плана тестирования вручную», — сказал Айер.

К лучшему или худшему, но генеративный ИИ изменит безопасность. Безопасность API уже сложна из-за ее сложности и огромного количества API, используемых в организации. Если генеративный ИИ сможет автоматизировать действия по поиску потенциальных уязвимостей и улучшению тестирования, это станет положительным шагом вперед.