Küberturvalisus

Miks Hiina laiatarbemudelid edestavad traditsioonilist võrgukaitset

Hiina keelemudelid nagu GLM 5.2 leiavad haavatavusi hinnaga 0,17 dollarit tükk. Lugege, kuidas avatud kaaludega mudelid muudavad tasakaalu küberründajate ja kaitsjate vahel.
Miks Hiina laiatarbemudelid edestavad traditsioonilist võrgukaitset

Kas teie organisatsioon teab, kui kaua aega kulub vastleitud haavatavuse ärakasutamiseks reaalses maailmas? Praegused andmed viitavad sellele, et see ajavahemik on nüüd ligikaudu kolm tundi. See ajakava ei ole tingitud ründajate äkilisest geniaalsuse puhangust. See on automatiseerimise tulemus. Täpsemalt on see uue põlvkonna tehisintellekti mudelite tulemus, mis muudavad aeglase ja manuaalse vigade otsimise protsessi kiireks laiatarbeteenuseks.

Vaatasin hiljuti läbi Hiina firma Zhipu AI poolt välja antud avatud kaaludega (open-weight) mudeli GLM 5.2 jõudluse võrdlusnäitajad. See ei ole lihtsalt järjekordne suur keelemudel. Spetsiaalsetes testides edestas see tarkvara haavatavuste tuvastamisel tipptasemel mudeleid nagu GPT-5.5 ja Anthropicu Claude 4.8 Opus. Kõige silmapaistvam näitaja on hind. GLM 5.2 suudab leida haavatavuse ligikaudu 0,17 dollari eest. Kui ründevara hind langeb peotäie kirjaklambrite maksumuseni, siis traditsiooniline kaitsematemaatika enam ei päde.

Turvameeskonnad tegutsevad sageli eeldusel, et nad on ausas võidujooksus inimründajate vastu. See on viga. Me oleme nüüd võidujooksus kõrgelt optimeeritud järeldusmootoritega, mis ei maga, ei nõua palka ja mida saab alla laadida privaatses riistvaras käitamiseks. See muutus on eriti ilmne 360 Security Technology hiljutises väljalaskes Tulongfeng ehk "Draakoni mõõk". See tööriist on teadaolevalt tuvastanud juba üle 3400 haavatavuse. Need ei ole akadeemilised harjutused. Need on rakendatavad sisenemispunktid korporatiivsesse ja kriitilisse infrastruktuuri.

Ründebarjääri majanduslik kokkuvarisemine

Varem olid tipptasemel ründed riiklikult toetatud osapoolte või keerukate kuritegelike sündikaatide pärusmaa, kuna need nõudsid kallist inimtööjõudu. Margaret Cunningham Darktrace'ist märgib, et mudeli usaldusväärsust tuleb kaaluda võrreldes selle maksumuse ja juurutamise lihtsusega. Nii ründajad kui ka kaitsjad teevad majanduslikke otsuseid. Kui mudel on piisavalt hea ja selle käitamine ei maksa peaaegu midagi, muutub see läbivaks ohuks, olenemata sellest, kas see on turu absoluutselt parim mudel.

Riski seisukohast muudab see ohukeskkonna sihitud rünnakutest pidevaks automatiseeritud tormiks. Ründajad ei pea enam oma sihtmärke hoolikalt valima. Nad saavad suunata sellise mudeli nagu GLM 5.2 igale avalikule IP-aadressile ja oodata tulemusi. Ründaja kulu on tühine. Kaitsja kulu intsidentidele reageerimise ja andmelekke leevendamise näol jääb katastroofiliseks. See on arhitektuurne paradoks, millega me täna silmitsi seisame. Mitme miljoni dollarilisest kaitsesüsteemist saab mööda minna skriptiga, mis kasutab seitsmeteistkümne sendist haavatavuse skaneeringut.

Miks avatud kaaludega mudelid muudavad kaitsemängu

Üks GLM 5.2 tüüpi mudelite oluline eelis on nende avatud kaaludega olemus. Erinevalt mudelitest, mis asuvad USA-põhise pilve-API taga, saab avatud kaaludega mudeli installida kohalikesse serveritesse. See on kriitiline tegur organisatsioonidele, mis haldavad tundlikke andmeid või kriitilist infrastruktuuri. John Gallagher Viakoo'st märgib, et operatiivtehnoloogia (OT) puhul on andmete suveräänsus esmatähtis. Omandiõigusega kaitstud võrgukaartide või lähtekoodi saatmine pilvepõhisele tehisintellektile analüüsimiseks on paljude turvateadlike ettevõtete jaoks välistatud.

Disaini poolest võimaldavad need Hiina mudelid kaitsjatel teostada oma haavatavuste otsinguid ilma andmeid kolmandatele osapooltele lekitamata. See loob haruldase võimaluse pariteediks. Kaitsja saab kasutada sama mudelit, mida ründaja, et leida auk laevakeres enne, kui laev dokist lahkub. See toimib aga ainult siis, kui organisatsioonil on suutlikkus paigata vigu sama kiiresti, kui mudel neid leiab. Enamikul seda pole. See viib meid turvavõla probleemini.

Turvavõla kolm kategooriat

Chris Inglis, endine USA riiklik küberdirektor, näeb turvavõlga kolmes eraldi kategoorias. Esimene koosneb teadaolevatest haavatavustest, millel on olemasolevad paigad, kuid mis on jäänud lahendamata. Teine kategooria hõlmab tundmatuid haavatavusi, mis on tänapäevaste tööriistadega kergesti avastatavad. Kolmas kategooria on nullpäeva rünnakute ja keerukate ründeahelate pärusmaa.

Me ei vaja tipptasemel mudeleid, et leida vigu kahes esimeses kategoorias. Laiatarbemudelid on juba praegu võimelised tegema silmad ette enamikule ettevõtete kaitsesüsteemidele. Seetõttu on suure jõudlusega Hiina mudelite tõus nii murettekitav. Nad on suurepärased "madalal rippuvate viljade" leidmisel, mis moodustavad enamiku turvavõlast. Kui organisatsioon ignoreerib kolme aasta vanust CVE-d, jätavad nad sisuliselt välisukse lukustamata naabruskonnas, kus igal vargal on muukraud.

Krüpteerimine toimib purunemiskindla digitaalse seifina, kuid see on kasutu, kui ründajal on võtmed. Samamoodi on tugev perimeeter kasutu, kui tehisintellekt leiab valesti konfigureeritud teenuse, mis läheb tulemüürist mööda. Reaalsus on see, et enamik rikkumisi ei toimu keeruka nullpäeva rünnaku tõttu. Need toimuvad sellepärast, et mudel leidis igava ja prognoositava vea vananenud tarkvaras, millele ei seatud kunagi paikamise prioriteeti.

Integreerimine on tõeline kaitse kitsaskoht

Semgrepi andmed näitavad, et GLM 5.2 saavutas vigade leidmise testides F1-skooriks 39%. See on keelemudeli kohta austusväärne näitaja. Kuid mudel on vaid üks osa turvaprogrammist. Cunningham rõhutab, et mudeli päritolu on sageli vähem oluline kui see, kuidas turvameeskond selle oma igapäevatöösse integreerib. Kui tööriist leiab 100 viga, kuid turvameeskonnal on suutlikkus parandada vaid viis, ei ole tööriist tegelikult turvataset parandanud. See on vaid müra suurendanud.

Proaktiivselt rääkides peaks eesmärk olema avastamise ja parandamise vahelise aja vähendamine. Peame loobuma ideest, et võrgu perimeeter on nagu lossikraav. Tehisintellekti juhitud rünnakute ajastul peame juurutama nullusaldusarhitektuuri (zero trust). Mõelge nullusaldusest kui VIP-klubi turvamehest iga siseukse juures. Isegi kui ründaja kasutab tehisintellekti leitud viga hoonesse sisenemiseks, peaks ta leidma iga järgneva ukse lukustatuna, mis nõuab eraldi volitusi. See piirab iga üksiku ründe mõjuala.

Praktilised soovitused turvajuhtidele

Tehnilise tegelikkuse ja ärimõju vahelise lõhe ületamiseks peaksid organisatsioonid keskenduma järgmistele sammudele:

  1. Viige läbi teadaolevate haavatavuste range audit. Kui mudel suudab leida vea 0,17 dollari eest, eeldage, et ründajad on selle juba leidnud. Prioritiseerige paikamist kättesaadavuse ja ärakasutatavuse, mitte ainult CVSS-skooride põhjal.
  2. Hinnake kohalikke tehisintellekti rakendusi haavatavuste skaneerimiseks. Avatud kaaludega mudelite kasutamine siseselt aitab tuvastada probleeme lähtekoodis ja konfiguratsioonides, ilma et tundlikud andmed puutuksid kokku väliste API-dega.
  3. Liikuge perimeetri kaitselt detailsetele sisekontrollidele. Rakendage mikrosegmentimist, et üks kompromiteeritud sõlm ei viiks kogu võrgu ülevõtmiseni.
  4. Auditeerige kolmandate osapoolte tarkvara ja pärandsüsteeme. Varjatud IT (Shadow IT) on ettevõtte võrgu tumeaine ja kõige tõenäolisem koht, kus tehisintellekt leiab lihtsa sisenemispunkti.

Analüüsisin hiljuti intsidenti, kus keskmise suurusega ettevõtet tabas lunavararünnak. Sisenemispunktiks oli unustatud VPN-server, mis käitas 2019. aasta tarkvara. Ründaja kasutas automatiseeritud tööriista paikamata haavatavuse leidmiseks. See ei olnud keerukas operatsioon. See oli laiatarberünnak. Kui see firma oleks kulutanud kasvõi mõne tunni põhilise LLM-põhise skanneri käitamiseks oma perimeetri vastu, oleksid nad ohumärke näinud. Turvalisus ei tähenda enam täiuslikkust. See tähendab olemist kiirem kui automatiseeritud tööriistad, mis teie võrku praegu skaneerivad.

Allikad: NIST Cybersecurity Framework, MITRE ATT&CK, Semgrep LLM Security Report, Reuters Report on 360 Security Technology.

Hoiatus: See artikkel on mõeldud ainult informatiivsel ja hariduslikul eesmärgil ning ei asenda professionaalset küberjulgeoleku auditit ega intsidentidele reageerimise teenust.

bg
bg
bg

Kohtumiseni teisel poolel.

Meie läbivalt krüpteeritud e-posti ja pilvesalvestuse lahendus pakub kõige võimsamaid vahendeid turvaliseks andmevahetuseks, tagades teie andmete turvalisuse ja privaatsuse.

/ Tasuta konto loomin