Happy Safer Internet Day!

Tekst: Chris Cochran, Field CISO & Vice President of AI Security bij SANS Institute

De eerste stap? Zichtbaarheid. Organisaties moeten begrijpen waar AI binnen het bedrijf wordt toegepast. Niet alleen de tools die door het management zijn goedgekeurd, maar ook de AI die opduikt in bijvoorbeeld workflows, plug-ins, agents en third party platforms. Het bijhouden van een zogenaamde AI-inventaris zal snel een basisvereiste zijn - als deze het al niet is.

Vervolgens is risico van derden van groot belang. Een ‘AI Bill of Materials’ (AIBOM) helpt organisaties te begrijpen welke modellen en databronnen onder de motorkap zitten, en waar externe risico’s zich kunnen voordoen.

Naarmate AI-agents autonomer worden, moeten we ook onze manier van beveiligen aanpassen. Agents moeten worden gezien als operators op het netwerk, niet als traditionele serviceaccounts. Dat betekent dat agents een identiteit dienen te krijgen, zelfs als die kortstondig van aard is. In veel gevallen hebben tijdelijke authenticatie en autorisatie zelfs de voorkeur. Technologieën (denk aan SPIFFE) kunnen helpen om dit soort identiteiten op schaal mogelijk te maken.

Zero Trust-principes blijven van toepassing. Authenticeer expliciet en verleen minimale rechten. Ga uit van een inbreuk. Monitor het gedrag van agents continu en gebruik segmentatie. Mocht er onverhoopt iets misgaan, blijft de impact beperkt.

AI op Safer Internet Day

Tot slot: houd identity- en access-graphs scherp in het vizier. Begrijp waar je mensen toegang toe hebben, waar je agents toegang toe hebben en waar die paden elkaar kruisen. De meeste AI-gerelateerde breaches komen niet voort uit het model zelf, maar uit te brede rechten en onzichtbare access-paden.

AI kan voor bedrijven een enorme game changer zijn. De organisaties die aan het langste eind trekken, zijn degenen die innovatie combineren met discipline en veiligheid inbouwen in de manier waarop AI dagelijks daadwerkelijk opereert.

In de tussentijd: Happy Safer Internet Day op deze 10e februari!