"קשה למצוא כישרונות שמבינים GenAI וגם אבטחה"

"למצוא טאלנטים שמתמחים בבינה מלאכותית יוצרת זה קשה. למצוא מקצועני אבטחת מידע זה קשה. למצוא כישרונות שמבינים ומתמחים בשני התחומים – זה עוד יותר קשה", כך אמר סטיב שמידט, מנהל האבטחה הראשי של אמזון.

שמידט היה דובר המפתח ב-AWS re:Inforce 24 – כנס האבטחה השנתי שערכה חברת שירותי הענן של אמזון לפני ימים אחדים בפילדלפיה, בהשתתפות אלפי נציגי לקוחות החברה ושותפיה העסקיים. לפני תפקידו הנוכחי, שמידט היה בכיר ב-FBI, סגן נשיא בחברת שירותי IT ומנהל האבטחה הראשי של AWS.

"אבטחת מידע היא נושא שצריך להיות ברמת ההנהלה", ציין שמידט. "אמרתי על הבמה כבר ב-2019 ש-'האבטחה צריכה להיות העבודה של כל אחד בארגון'. ההנהלה לא צריכה להבין איך תוכנית האבטחה של הארגון עובדת ברמה הטכנית, חשוב יותר שהבכירים ידעו איך לבחון את החשיבה שהובילה לתוכנית – ולשאול את השאלות הנכונות בתחום".

ג'ף בזוס, מייסד אמזון, נוהג להימנע מפגישות מיותרות. כשיש לו פגישה שאין לו אפשרות להתחמק ממנה הוא מיישם את "חוק שתי הפיצות" שאותו הוא קבע, שלפיו אין לערוך ישיבות מרובות משתתפים ואסור לכנס יותר משתתפים ממה ששתי פיצות יספיקו להאכיל. "החוק הזה תקף בוודאי גם לתחום האבטחה", ציין שמידט.

"מיכון ובינה מלאכותית יעשו טוב לאבטחה"

לדברי שמידט, "מיכון ובינה מלאכותית יעשו טוב לאבטחה, ויסייעו לצוותי הסקיוריטי לפעול ולהגיב מהר יותר. אנחנו עוסקים ב-AI כבר עשור, כשהמטרה היא שהפעילות העסקית לא תואט בשל ענייני אבטחה. כדי למנוע מצב שבו מי מהמפתחים ינסה לעקוף את האבטחה, בנינו צוותים שמשלבים בין מומחי AI ומומחי אבטחה. הם ממוצבים כמאפשרים עסקית ולא כחוסמים, מונעים. GenAI כחלק ממערך האבטחה עוזרת לכל ארגון בהבטים העסקיים שלו, ומביאה לבנייה של שירותים ומוצרים אמינים יותר – וכך גם אצלנו".

הוא ציין כי "המשימות של צוותי האבטחה מורכבות, גם בהקשר של הבינה המלאכותית היוצרת. הם צריכים לקבוע תקנים משותפים לאבטחה מבוססת GenAI; לבנות מפה עם תרחישי איומים ואירועים; להפיץ לרוחב הארגון כל מידע בנושא סיכונים ודרכי התגוננות; לערוך סריקות ומבדקי חדירות לכל שירות ומוצר טרם עלייתו לאוויר; ליצור גדרות וחומות בקביעות, עם השאלה 'למי יש גישה ולאילו נתונים ומערכות' – ולמנוע גניבת זהות; ולייצר יכולות לנראות על כל נכסי ה-IT, הנתונים והעובדים – עם עדכונים מתמשכים".

שמידט סיכם באומרו כי "הזרקת חדשנות ועיבוי מערכי האבטחה הן משהו שהולך, וחייב ללכת, יחד"

מה הוכרז?

בכנס הוכרזו כמה שירותים ורכיבים מבוססי בינה מלאכותית יוצרת. כך, מעבדי גרביטון מהדור הרביעי, Graviton4, שהושקו בשנה שעברה, כוללים כעת הצפנה מלאה על כל הממשקים הפיזיים שלהם – כולל DRAM ו-PCIe, לטובת הגנה מפני מתקפות מבוססות חומרה. בנוסף, הוטמעו בהם יכולות אימות וזיהוי.

כמו כן, ב-Nitro System, מערכת הניטור של AWS, שהיא הייפרווייזור עבור שירות האחסון EC2, יש כעת הגנות על נתוני AI ועומסי עבודה, בשל אכיפת מדיניות מגבילה, שמונעת מצדדים שלישיים, כולל אנשי אמזון, לקבל גישה לוגית לתשתית הבסיסית. מומחי ענקית הענן הסבירו כי המערכת הופכת להיות רכיב אבטחה קריטי עבור כל טיפול בנתונים המטופלים במערכות לימוד מכונה ותכנים שמטופלים עם בינה מלאכותית יוצרת.

עוד הוכרזה יכולת נוספת למערכת אימות, זיהוי וניהול הגישה של החברה, AWS Identity and Access Management – שכעת תומכת במפתחות סיסמה עבור זיהוי רב גורמי (MFA). כן הוכרזו יכולות נוספות במערכת לאיתור הנוזקות GuardDuty Malware Protection, ביניהן יכולת לסרוק אובייקטים כשהם מועלים לענן של AWS, לטובת זיהוי נוזקות ופעילויות חשודות.