An toàn thông tin

Lỗ hổng bảo mật của SAP đặt ra câu hỏi về sự vội vàng trong AI

Tuấn Trần 24/07/2024 14:55

Công ty bảo mật đám mây Wiz đã công bố một báo cáo chi tiết về các lỗ hổng bảo mật của SAP, hiện đã được vá, đặt ra những câu hỏi đáng báo động về vai trò thứ yếu của trí tuệ nhân tạo (AI) trong phòng thủ an ninh mạng.

Công ty bảo mật đám mây Wiz đã thăm dò các biện pháp phòng thủ của SAP - một công ty phát triển phần mềm doanh nghiệp (DN) nổi tiếng thế giới - như một phần của nghiên đối với các nhà cung cấp dịch vụ AI và đã công bố một danh sách dài các thiếu sót vào ngày 17/7/2024. SAP cho biết họ đã khắc phục tất cả các vấn đề trước khi Wiz công bố.

anh-man-hinh-2024-07-23-luc-15.57.51.png

Những thiếu sót này đều là các vi phạm nguyên lý cơ bản của Zero Trust. Mặc dù, AI đóng vai trò nhỏ trong các vấn đề nói trên nhưng báo cáo này như một bằng chứng nữa cho thấy việc vội vã triển khai AI tạo sinh, đang làm suy yếu các biện pháp bảo vệ an ninh mạng cơ bản.

Báo cáo của Wiz cho biết: "Chúng tôi tin rằng các dịch vụ (SAP) này dễ bị tấn công bởi lỗ hổng cô lập người dùng hơn vì theo định nghĩa, chúng cho phép người dùng chạy các mô hình và ứng dụng AI - tương đương với việc thực thi mã tùy ý" .

“Vì cơ sở hạ tầng AI đang nhanh chóng trở thành yếu tố chính của nhiều môi trường kinh doanh, nên những tác động của các cuộc tấn công này ngày càng trở nên quan trọng hơn. Quy trình đào tạo AI đòi hỏi phải truy cập vào lượng lớn dữ liệu khách hàng nhạy cảm, biến các dịch vụ đào tạo AI thành mục tiêu hấp dẫn đối với những kẻ tấn công. SAP AI Core cung cấp tích hợp với S/4HANA và các dịch vụ đám mây khác để truy cập dữ liệu nội bộ của khách hàng thông qua khóa truy cập đám mây. Những thông tin xác thực này cực kỳ nhạy cảm".

Lỗ hổng đáng báo động

Wiz cho biết, các lỗ hổng này đặc biệt đáng báo động khi xét đến mức độ triển khai rộng rãi của các hệ thống SAP trong các DN và mức độ tích hợp của SAP với rất nhiều ứng dụng cấp DN và môi trường đám mây khác.

“Bằng cách thực thi mã tùy ý, chúng tôi có thể di chuyển theo chiều ngang và tiếp quản dịch vụ - truy cập vào các tệp riêng tư của khách hàng, cùng với thông tin đăng nhập vào môi trường đám mây của khách hàng: AWS, Azure, SAP S/4HANA Cloud, v.v...,”
báo cáo cho biết. “Các lỗ hổng mà chúng tôi tìm thấy có thể cho phép kẻ tấn công truy cập vào dữ liệu của khách hàng và làm nhiễm các dữ liệu nội bộ - lây lan sang các dịch vụ liên quan và môi trường khác của khách hàng".

Báo cáo của Wiz lưu ý rằng các nhà nghiên cứu có thể truy cập và thường có thể sửa đổi hình ảnh Docker trên sổ đăng ký container nội bộ của SAP, hình ảnh Docker của SAP trên Google Container Registry và máy chủ Artifactory nội bộ của SAP. Họ cũng có được quyền quản trị viên cụm trên cụm Kubernetes của SAP AI Core, cũng như có được quyền truy cập đầy đủ vào nhiều thông tin xác thực đám mây và dữ liệu AI riêng tư của khách hàng SAP.

Rủi ro liên quan đến việc vội vã chuyển sang AI

Các nhà phân tích và chuyên gia AI trong ngành không thấy có gì đáng ngạc nhiên trước những phát hiện này, nhưng đều đồng ý rằng đây là lời nhắc nhở nghiêm túc rằng việc triển khai AI cần được các nhóm CISO (an ninh thông tin) giám sát và quản lý chặt chẽ và cẩn thận.

Michelle Abraham, Giám đốc nghiên cứu cấp cao về bảo mật và độ tin cậy của IDC, cho biết: "Mọi người đang vội vã triển khai (AI) và vấn đề bảo mật chỉ được nghĩ đến sau cùng cho đến khi có điều gì đó tồi tệ xảy ra".

Vaibhav Malik, kiến ​​trúc sư trưởng tại Cloudflare, cho biết mặc dù AI có thể không phải là nguyên nhân trực tiếp gây ra những lỗ hổng được phát hiện của SAP, nhưng các cơ chế cần thiết để triển khai AI tạo sinh thường làm suy yếu khả năng phòng thủ.

“Thật không may, các lỗ hổng được phát hiện trong SAP AI Core không làm tôi ngạc nhiên. Theo kinh nghiệm làm việc về các sáng kiến ​​AI của DN, tôi đã quan sát thấy một xu hướng đáng lo ngại là việc áp dụng nhanh chóng các công nghệ AI thường vượt xa việc triển khai các biện pháp bảo mật mạnh mẽ”,
Malik cho biết. “Khả năng chạy mã tùy ý để đào tạo mô hình AI vốn tạo ra một vấn đề cô lập phức tạp. Các kỹ thuật sandbox truyền thống thường không hiệu quả trong môi trường AI. Tôi đã thấy nhiều trường hợp môi trường có vẻ như bị cô lập đã bị xâm phạm do các kết nối bị bỏ qua hoặc cấu hình sai”.

Malik cũng lưu ý rằng, khả năng được mô tả trong báo cáo Wiz về việc "đầu độc" các dữ liệu hoặc xâm phạm sổ đăng ký nội bộ "làm nổi bật một điểm yếu quan trọng trong nhiều quy trình AI. Theo kinh nghiệm của tôi, việc bảo mật toàn bộ chuỗi cung ứng AI - từ thu thập dữ liệu đến triển khai mô hình - là một lĩnh vực mà nhiều tổ chức có điểm mù đáng kể".

Forrester Research cũng đưa ra kết luận tương tự.

Báo cáo Wiz “chủ yếu bao gồm các vấn đề liên quan đến cấu hình và cơ sở hạ tầng có thể gây nguy hiểm cho dữ liệu trong bất kỳ phiên bản đám mây nào, thuộc bất kỳ loại nào. Dựa trên báo cao, đây là các vấn đề liên quan đến cơ sở hạ tầng được cấu hình hoặc triển khai không đúng cách trong dịch vụ AI Core của SAP. Do đó, điều này có thể ảnh hưởng đến cơ sở hạ tầng đám mây và dữ liệu mà nó lưu trữ”, Jeff Pollard, Phó chủ tịch kiêm nhà phân tích chính của Forrester cho biết.

“Các vấn đề là có thật và đúng đắn”, ông nói thêm. “Cách ly tốt hơn như phân đoạn nhỏ bằng Zero Trust và cấu hình và triển khai tốt hơn sẽ ngăn chặn được điều này”.

Một cố vấn khác, Chủ tịch của 3 Arc Advisory, Meghan Anzelc, cho biết, các CISO cần tập trung vào mối quan hệ giao thoa giữa công nghệ AI và an ninh mạng.

Anzelc nói: “Các vấn đề về an ninh mạng AI là sự kết hợp của nhiều lĩnh vực chuyên môn khác nhau. Các nhà khoa học dữ liệu thường tò mò và sáng tạo, và nhiều người không hiểu biết về các vấn đề an ninh thông tin hoặc an ninh mạng cũng như các biện pháp thực hành tốt nhất. Đồng thời, bạn có các nhóm kiến ​​trúc CNTT và InfoSec (bảo mật thông tin) truyền thống có thể chưa từng làm việc với các nhà khoa học dữ liệu trước đây và đang phải vật lộn với nhu cầu về khối lượng dữ liệu lớn, quyền truy cập vào nhiều nguồn dữ liệu, thường bao gồm các thông tin nhạy cảm".

“Bạn cũng có những giám đốc điều hành thúc đẩy việc chuyển sang AI nhanh chóng, đôi khi tại các tổ chức không có chuyên môn về AI hoặc khoa học dữ liệu nội bộ, đôi khi tại các tổ chức không có hoặc có chuyên môn hạn chế về các dịch vụ đám mây cụ thể cần thiết. Đó là một sự kết hợp khó khăn".

Bài liên quan
  • SAP công bố bản tuyên ngôn nguồn mở
    SAP đã đưa ra 5 cam kết, bao gồm: đóng góp liên tục cho cộng đồng, ủng hộ các tiêu chuẩn mở, nỗ lực áp dụng phương pháp tiếp cận mở trước, nuôi dưỡng hệ sinh thái nguồn mở, và áp dụng phương pháp tiếp cận dựa trên phản hồi.
Nổi bật Tạp chí Thông tin & Truyền thông
  • Lấy người dân làm trung tâm của quá trình chuyển đổi số, chuyển đổi xanh
    Sáng 16/11 theo giờ địa phương tại thành phố Lima, Peru, Chủ tịch nước Lương Cường đã dự và phát biểu tại Hội nghị các nhà lãnh đạo các nền kinh tế Diễn đàn hợp tác kinh tế châu Á - Thái Bình Dương (APEC) lần thứ 31.
  • PGS,TS Lê Thanh Bình: Người thầy thắp lửa và truyền lửa cho ngành truyền thông quốc tế và ngoại giao văn hóa
    Từ người lính radar của Quân chủng Phòng không-Không quân, sau đó được cử đi học tập ở Liên Xô và trở về phục vụ đất nước, trong mấy chục năm qua, PGS,TS Lê Thanh Bình đã dành nhiều công sức, tâm huyết cho công tác ngoại giao văn hóa. Thầy đã có nhiều đóng góp quan trọng vào sự nghiệp đào tạo nguồn nhân lực truyền thông và văn hóa đối ngoại cho Học viện Ngoại giao và đất nước.
  • Trí tuệ nhân tạo và bình đẳng giới
    Sự quan tâm đến các công cụ AI tạo sinh đang bùng nổ trên toàn thế giới - nhưng nhân viên nữ đang tụt hậu so với đồng nghiệp nam trong việc sử dụng công nghệ. Điều đó có thể có ý nghĩa lớn không chỉ đối với lộ trình nghề nghiệp của cá nhân mà còn đối với các công ty đang tạo ra và lấp đầy các công việc trong tương lai.
  • Vĩnh Long khai trương tuyến phố đi bộ tại dự án của T&T Group
    UBND tỉnh Vĩnh Long đã chính thức khai trương và đưa vào hoạt động tuyến phố đi bộ thành phố Vĩnh Long tại dự án Khu dân cư Phước Thọ (do Công ty T&T Land Phước Thọ, thành viên của Tập đoàn T&T Group phát triển) để phục vụ Festival Gạch gốm đỏ - Kinh tế xanh tỉnh Vĩnh Long lần 1 năm 2024.
  • CT Semiconductor công bố kế hoạch phát triển nhà máy Thủ Đức
    Ngày 16/11/2024, CT Semiconductor (thành viên Tập đoàn CT Group) chính thức công bố kế hoạch phát triển nhà máy CT Semiconductor Thủ Đức, tại sự kiện Lễ hội quốc tế Khoa học công nghệ & đổi mới sáng tạo TP. Thủ Đức lần 1 - Thu Duc Innovation Fest 2024.
Đừng bỏ lỡ
Lỗ hổng bảo mật của SAP đặt ra câu hỏi về sự vội vàng trong AI
POWERED BY ONECMS - A PRODUCT OF NEKO