ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

По мере того как все больше организаций запускают свои собственные большие языковые модели (LLM), они также развертывают все больше внутренних сервисов и интерфейсов прикладного программирования (API) для поддержки этих моделей. Современные риски безопасности возникают не столько из-за самих моделей, сколько из-за инфраструктуры, которая обслуживает, соединяет и автоматизирует модель. Каждая новая конечная точка LLM расширяет поверхность атаки, часто таким образом, который легко упустить из виду при быстром развертывании, особенно когда конечные точки пользуются безусловным доверием. Когда конечные точки LLM накапливают чрезмерные разрешения и раскрываются долгосрочные учетные данные, они могут предоставлять гораздо больший доступ, чем предполагалось. Организации должны уделять приоритетное внимание управлению привилегиями конечных точек, поскольку открытые конечные точки становятся все более распространенным вектором атак для киберпреступников, стремящихся получить доступ к системам, идентификационным данным и секретам, которые обеспечивают работу LLM.

Что такое конечная точка в современной инфраструктуре LLM?

В современной инфраструктуре LLM конечная точка — это любой интерфейс, через который что-либо (будь то пользователь, приложение или служба) может взаимодействовать с моделью. Проще говоря, конечные точки позволяют отправлять запросы в LLM и получать ответы. Типичными примерами являются API-интерфейсы для вывода, которые обрабатывают запросы и генерируют результаты, интерфейсы управления моделями, используемые для обновления моделей, и административные панели, которые позволяют командам отслеживать производительность. Многие развертывания LLM также полагаются на конечные точки выполнения плагинов или инструментов, которые позволяют моделям взаимодействовать с внешними службами, такими как базы данных, которые могут подключать LLM к другим системам. Вместе эти конечные точки определяют, как LLM подключается к остальной части своей среды.

Основная проблема заключается в том, что большинство конечных точек LLM созданы для внутреннего использования и скорости, а не для долгосрочной безопасности. Обычно они создаются для поддержки экспериментов или ранних развертываний, а затем остаются в работе с минимальным контролем. В результате они, как правило, плохо контролируются и получают больше доступа, чем необходимо. На практике конечная точка становится границей безопасности, что означает, что ее средства контроля идентификации, обработка секретов и объем привилегий определяют, как далеко может зайти киберпреступник.

LLM редко подвергаются риску из-за одной ошибки; чаще всего уязвимость возникает постепенно из-за небольших допущений и решений, принятых во время разработки и развертывания. Со временем эти модели превращают внутренние службы в доступные извне поверхности атаки. К наиболее распространенным моделям уязвимости относятся:

Общедоступные API без аутентификации: внутренние API иногда открываются для общего доступа, чтобы ускорить тестирование или интеграцию. Аутентификация задерживается или полностью пропускается, и конечная точка остается доступной долго после того, как она должна была быть ограничена.

Слабые или статические токены: многие конечные точки LLM полагаются на токены или ключи API, которые жестко запрограммированы и никогда не меняются. Если эти секретные данные утекают из-за неправильно настроенных систем или репозиториев, неавторизованные пользователи могут получить неограниченный доступ к конечной точке.

Предположение, что внутреннее означает безопасное: команды часто по умолчанию считают внутренние конечные точки надежными, предполагая, что они никогда не будут доступны для неавторизованных пользователей. Однако внутренние сети часто доступны через VPN или неправильно настроенные средства контроля.

Временные тестовые конечные точки, которые становятся постоянными: конечные точки, предназначенные для отладки или демонстрации, редко очищаются. Со временем эти конечные точки остаются активными, но не контролируются и плохо защищены, в то время как окружающая инфраструктура развивается.

Неправильная настройка облачных сервисов, которая приводит к раскрытию сервисов: неправильно настроенные шлюзы API или правила брандмауэра могут непреднамеренно раскрыть внутренние конечные точки LLM в Интернете. Эти неправильные настройки часто возникают постепенно и остаются незамеченными до тех пор, пока конечная точка не будет раскрыта.

Почему открытые конечные точки опасны для инфраструктуры LLM

Разоблаченные конечные точки особенно опасны в средах LLM, поскольку LLM предназначены для подключения нескольких систем в рамках более широкой технической инфраструктуры. Когда киберпреступники взламывают одну конечную точку LLM, они часто могут получить доступ к гораздо большему, чем сама модель. В отличие от традиционных API, которые выполняют одну функцию, конечные точки LLM обычно интегрированы с базами данных, внутренними инструментами или облачными сервисами для поддержки автоматизированных рабочих процессов. Таким образом, одна скомпрометированная конечная точка может позволить киберпреступникам быстро и латерально перемещаться по системам, которые по умолчанию уже доверяют LLM.

Реальная опасность заключается не в том, что LLM слишком мощны, а в том, что конечным точкам с самого начала доверяют. Как только конечная точка LLM становится уязвимой, она может действовать как мультипликатор силы: киберпреступники могут использовать скомпрометированную конечную точку для различных автоматизированных задач вместо ручного исследования систем. Уязвимые конечные точки могут поставить под угрозу среды LLM посредством:

Экстракция данных по запросу: киберпреступники могут создавать запросы, которые заставляют LLM обобщать конфиденциальные данные, к которым он имеет доступ, превращая модель в автоматизированный инструмент для извлечения данных.

Злоупотребление разрешениями на вызов инструментов: когда LLM вызывают внутренние инструменты или службы, открытые конечные точки могут быть использованы для злоупотребления этими инструментами путем изменения ресурсов или выполнения привилегированных действий.

Косвенная инъекция подсказок: даже при ограниченном доступе киберпреступники могут манипулировать источниками данных или входными данными LLM, заставляя модель косвенно выполнять вредоносные действия.

Почему NHI особенно опасны в средах LLM

Нечеловеческие идентификаторы (NHI) — это учетные данные, используемые системами вместо человеческих пользователей. В средах LLM учетные записи служб, ключи API и другие нечеловеческие учетные данные позволяют моделям получать доступ к данным, взаимодействовать с облачными службами и выполнять автоматизированные задачи. NHI представляют собой значительный риск для безопасности в средах LLM, поскольку модели постоянно полагаются на них. Из соображений удобства команды часто предоставляют NHI широкие права доступа, но впоследствии не пересматривают и не ужесточают контроль доступа. Когда конечная точка LLM скомпрометирована, киберпреступники наследуют доступ NHI за этой конечной точкой, что позволяет им работать с использованием доверенных учетных данных. Несколько распространенных проблем усугубляют этот риск для безопасности:

Распространение секретов: ключи API и учетные данные сервисных учетных записей часто распределены по конфигурационным файлам и конвейерам, что затрудняет их отслеживание и защиту.

Статические учетные данные: многие NHI используют долговечные учетные данные, которые редко, если вообще когда-либо, меняются. После того, как эти учетные данные становятся доступными, они остаются пригодными для использования в течение длительного времени.

Чрезмерные разрешения: NHI часто предоставляется широкий доступ, чтобы избежать задержек, но об этом неизбежно забывают. Со временем NHI накапливают разрешения, выходящие за рамки того, что действительно необходимо для выполнения их задач.

Распространение идентификационных данных: растущие системы LLM производят большое количество NHI в различных средах. Без надлежащего контроля и управления такое расширение идентификационных данных снижает видимость и увеличивает площадь атаки.

Как снизить риск от уязвимых конечных точек

Снижение риска от открытых конечных точек начинается с предположения, что киберпреступники в конечном итоге достигнут открытых сервисов. Команды безопасности должны стремиться не только предотвратить доступ, но и ограничить то, что может произойти после достижения конечной точки. Простой способ сделать это — применить принципы безопасности нулевого доверия ко всем конечным точкам: доступ должен быть явно проверен, постоянно оцениваться и строго контролироваться во всех случаях. Команды безопасности также должны делать следующее:

Применять принцип минимальных привилегий для пользователей-людей и пользователей-машин: конечные точки должны иметь доступ только к тому, что необходимо для выполнения конкретной задачи, независимо от того, является ли пользователь человеком или машиной. Сокращение прав доступа ограничивает ущерб, который киберпреступник может нанести с помощью скомпрометированной конечной точки.

Использовать доступ Just-in-Time (JIT): привилегированный доступ не должен быть доступен постоянно на любой конечной точке. С доступом JIT привилегии предоставляются только при необходимости и автоматически отменяются после завершения задачи.

Мониторинг и запись привилегированных сеансов: мониторинг и запись привилегированной активности помогают командам безопасности обнаруживать злоупотребление привилегиями, расследовать инциденты безопасности и понимать, как на самом деле используются конечные точки.

Автоматическая ротация секретных данных: токены, ключи API и учетные данные сервисных учетных записей должны регулярно обновляться. Автоматическая ротация секретных данных снижает риск длительного злоупотребления учетными данными в случае их утечки.

Удаление долгосрочных учетных данных, когда это возможно: статические учетные данные являются одним из самых больших рисков безопасности в средах LLM. Их замена на краткосрочные учетные данные ограничивает срок, в течение которого скомпрометированные секреты остаются полезными в чужих руках.

Эти меры безопасности особенно важны в средах LLM, поскольку LLM в значительной степени полагаются на автоматизацию. Поскольку модели работают непрерывно без контроля со стороны человека, организации должны защищать доступ, ограничивая его по времени и тщательно контролируя.

Уделяйте приоритетное внимание управлению привилегиями конечных точек для повышения безопасности

Уязвимые конечные точки быстро усиливают риск в средах LLM, где модели глубоко интегрированы с внутренними инструментами и конфиденциальными данными. Традиционные модели доступа недостаточны для систем, которые действуют автономно и в больших масштабах, поэтому организации должны переосмыслить подход к предоставлению и управлению доступом в инфраструктуре ИИ. Управление привилегиями конечных точек смещает акцент с попыток предотвратить нарушения на конечных точках на ограничение их воздействия путем устранения постоянного доступа и контроля над действиями как человеческих, так и нечеловеческих пользователей после достижения конечной точки. Такие решения, как Keeper, поддерживают эту модель безопасности с нулевым доверием, помогая организациям устранять ненужный доступ и лучше защищать критически важные системы LLM.

Примечание: эта статья была тщательно написана и предоставлена для нашей аудитории Эшли Д'Андреа, автором контента в Keeper Security.