ఏఐ వేగవంతం చేసిన సైబర్ దాడులకు మెమరీ-సేఫ్ సాఫ్ట్‌వేర్ ఒక నిర్మాణాత్మక పరిష్కారంగా ఎదుగుతోంది

చౌక దాడులు రక్షణ ఆర్థికవ్యవస్థను మారుస్తాయి

జెనరేటివ్ ఏఐ, సాఫ్ట్‌వేర్ బలహీనతలను పని చేసే దాడులుగా మార్చడానికి అవసరమైన ఖర్చు, సమయాన్ని తగ్గిస్తున్నందున సైబర్ భద్రత ఒక దశలోకి ప్రవేశిస్తోంది; అందులో రక్షణ వ్యూహం మరింత నిర్మాణాత్మకంగా మారాల్సి ఉంటుంది. IEEE Spectrumలో ప్రచురితమైన ఒక అతిథి వ్యాసంలో ఇదే వాదన ఉంచబడింది, కొత్తగా గుర్తించిన లోపాన్ని క్రియాశీల సైబర్ దాడిగా మార్చడానికి ఇకపై నెలలు పట్టవని అది హెచ్చరిస్తుంది. ఆ వ్యాస దృష్టిలో, ఇది ఇప్పుడు చాలా వేగంగా, చాలా తక్కువ ఖర్చుతో జరగగలదు.

ఆ వ్యాసం దీనిని “$1 సైబర్ దాడుల” యుగంగా వర్ణిస్తుంది; ఇది దాడి చేసే వారి ఆర్థిక వ్యవస్థలో వచ్చిన మార్పును సూచిస్తుంది. దాడి సామర్థ్యం చౌకగా, విస్తరించగలిగినదిగా, స్వయంచాలకంగా మారితే, భద్రతా బృందాలు ప్రతిస్పందనాత్మక ప్యాచింగ్‌పై తమ ప్రధాన రక్షణగా ఆధారపడలేవు.

దీర్ఘకాలిక రక్షణల కోసం కారణం

ఆ వ్యాసం యొక్క ప్రధాన వాదన సూటిగా ఉంది: ప్యాచింగ్ ద్వారా భద్రత సాధించడానికి ప్రయత్నించడంకన్నా, మెమరీ-సేఫ్ కోడ్ రాయడం మంచిది. ఇది ఒక భాష లేదా ఒక విక్రేత గురించిన విషయం కాదు; ఇది డిజైన్ తత్వశాస్త్రం గురించిన విషయం. సాఫ్ట్‌వేర్ నిర్మాణ దశలోనే కొన్ని రకాల బలహీనతలను నిరోధించగలిగితే, దాడికి లోనయ్యే బగ్‌లను కనుగొన్నప్పుడల్లా వాటిని సరిచేస్తూ పరిగెత్తాల్సిన స్థితితో పోలిస్తే రక్షణ బృందాలు మెరుగైన స్థితిలో ఉంటాయి.

ఏఐ ఆధారిత వాతావరణంలో ఈ తేడా మరింత ముఖ్యమవుతుంది. ప్యాచింగ్ వ్యూహం సంస్థలు సమస్యలను గుర్తిస్తాయి, వాటిని అర్థం చేసుకుంటాయి, సరిగ్గా ప్రాధాన్యం ఇస్తాయి, దాడికారులు వాటిని ఆయుధాలుగా మార్చేలోపు సరిచేస్తాయి అనే అంచనాపై ఆధారపడుతుంది. వేగవంతమైన స్వయంచాలక exploitation ఆ సమయావకాశాన్ని కుదిస్తుంది. అట్టి పరిస్థితుల్లో, మొదటినుంచే exploit చేయగల memory-సంబంధిత లోపాలు తక్కువగా ఉండటం వ్యూహాత్మకంగా విలువైనదిగా మారుతుంది.

ఏఐ పాత బలహీనతలను ఎందుకు మరింత ప్రమాదకరంగా చేస్తుంది

పెద్ద భాషా నమూనాలు ఇప్పుడు వేగవంతమైన, శక్తివంతమైన సైబర్ దాడులకు మద్దతు ఇవ్వగలవని రచయితలు వాదిస్తున్నారు. ప్రాక్టికల్‌గా, ఒక బగ్‌ను విశ్లేషించడం, exploit code తయారుచేయడం, లేదా దాడి పద్ధతులను అనుగుణంగా మార్చడం కోసం ఒకప్పుడు అవసరమైన శ్రమలో పెద్ద భాగం ఇప్పుడు వేగవంతం చేయబడుతుంది. ఏఐ ప్రతి దశలో చొరబాటుకు సరిపోకపోయినా, అది అడ్డంకిని అంతగా తగ్గించగలదు కాబట్టి, తెలిసిన సాఫ్ట్‌వేర్ బలహీనతల వర్గాలు పెద్ద స్థాయిలో మరింత ప్రమాదకరంగా మారతాయి.

అయితే ఆ వ్యాసం ఒక విషయంలో జాగ్రత్తగా ఉంది: జెనరేటివ్ ఏఐ ఒక్కటే సైబర్ రక్షణ సమస్యలను పరిష్కరిస్తుందని అది చెప్పదు. బదులుగా, ఇది రోజువారీ వెల్లడింపు మరియు అత్యవసర ప్రతిస్పందన చక్రాన్ని మించి నిలిచే రక్షణ విధానాలను సూచిస్తుంది. ఆ విధానంలో, మెమరీ సేఫ్టీ ఒక ఫ్యాషనబుల్ ఇంజనీరింగ్ ఎంపిక కాదు; అది సిస్టమ్‌ల ప్రాథమిక భద్రతా లక్షణాలను మార్చే మార్గం.

ప్రతిస్పందనాత్మక భద్రత నుంచి నివారణాత్మక ఇంజనీరింగ్‌కు

ఈ ప్రాధాన్యత మార్పు సాఫ్ట్‌వేర్ అభివృద్ధిపై విస్తృత ప్రభావాలను కలిగిస్తుంది. భద్రతా బృందాలు చాలా కాలంగా patch management, monitoring, incident response, secure coding మధ్య సమతౌల్యం పాటిస్తున్నాయి. కానీ exploitation window కుదిరితే, మరిన్ని బాధ్యతలు architecture, language choice, coding practice వైపుకు ఎగబాకుతాయి.

ఈ మార్పు కేంద్రంలో memory safety ఉంటుంది, ఎందుకంటే memory-related bugs చరిత్రపరంగా చాలా తీవ్రమైన బలహీనతలకు కారణమయ్యాయి. సంస్థలు సురక్షితమైన టూలింగ్, ఇంజనీరింగ్ శాసనం ద్వారా ఆ వైఫల్య వర్గాన్ని తగ్గించగలిగితే, automated exploit generation అత్యంత ప్రభావవంతంగా ఉండే భూమిని వారు కుదిస్తున్నారు.

ఈ వాదన కొత్తదనం గురించి కాదు, స్థిరత్వం గురించి

IEEE Spectrum వ్యాసం ప్రత్యేకంగా కనిపించేది కొత్త భద్రతా భావనను పరిచయం చేస్తుందని కాదు. memory safety గురించి సంవత్సరాలుగా చర్చ జరుగుతోంది. ఇక్కడ మారేది ఏఐ-సహాయంతో వచ్చే దాడుల వల్ల ఏర్పడిన అత్యవసరం. దాడికారులు లోపం నుండి weaponization వరకు ఎంత వేగంగా వెళ్లగలరో, after-the-fact correctionను ప్రధాన ఆపరేటింగ్ మోడల్‌గా నమ్మడం అంతగా సాధ్యంకాదు.

మరో మాటలో, ఏఐ ఇంకో బెదిరింపు మార్గాన్ని మాత్రమే జోడించదు. ఇది ఇప్పటికే తెలిసిన బెదిరింపుల వేగాన్ని మారుస్తుంది. అందుకే దీర్ఘకాలిక రక్షణ చర్యలు మరింత ఆకర్షణీయంగా కనిపిస్తాయి, ఎందుకంటే అవి ఒక్కో ప్యాచ్ సమయంతో పరిమితం కాకుండా ఉంటాయి.

సంకుచితమైన కానీ బలమైన భద్రతా వాదన

ఆ వ్యాస సిద్ధాంతం కూడా గమనార్హమే, ఎందుకంటే అది పరిమితమైనది. అది అజేయతను హామీ ఇవ్వదు, అలాగే memory-safe code ప్రతి సైబర్ ప్రమాదాన్ని తొలగిస్తుందని చెప్పదు. బదులుగా, దాడి సృష్టి చౌకగా మారినప్పుడు దీర్ఘకాలిక రక్షణలు మెరుగైన విలువ ఇస్తాయని వాదిస్తుంది. ఇది ఏఐ-ఆధారిత రక్షణ సమానత్వంపై విస్తృతమైన, అతిగా చెప్పే హామీల కంటే నమ్మదగిన వాదన.

సంస్థలు ఎక్కడ పెట్టుబడి పెట్టాలనే నిర్ణయం తీసుకుంటున్నప్పుడు, ఈ తరహా పరిమిత వాదన విస్తృత భవిష్యద్వాద వాక్చాతుర్యంతో పోలిస్తే మరింత ఉపయోగకరంగా ఉండొచ్చు. దాడి ఖర్చు తగ్గుతున్నట్లయితే, తార్కిక ప్రతిస్పందన అనేది గుర్తింపు, నివారణపై పరిపూర్ణ వేగాన్ని ఆశ్రయించని నివారణాత్మక నియంత్రణలపై ఎక్కువ ఖర్చు చేయడం.

సాఫ్ట్‌వేర్ నిర్మాణకర్తలకు పెద్ద సందేశం

విస్తృత సందేశం ఏమిటంటే, సాఫ్ట్‌వేర్ నాణ్యత మరియు భద్రతా స్థితి ఇప్పుడు మరింత గట్టిగా అనుసంధానమవుతున్నాయి. ఏఐ బలహీనత నుంచి exploit వరకు మార్గాన్ని కుదించగల వాతావరణంలో, ఒకప్పుడు సాంకేతిక ఋణ సమస్యలుగా పరిగణించిన ఇంజనీరింగ్ నిర్ణయాలు ఇప్పుడు ముందువరుస భద్రతా నిర్ణయాలుగా మారుతున్నాయి.

IEEE Spectrum వ్యాసం, వెల్లడింపునంతరం చేసే వీరోచిత చర్యలపై కన్నా, విడుదలకు ముందే సాఫ్ట్‌వేర్ ఎలా నిర్మించబడిందన్నదానిపై ఆధారపడే భవిష్యత్తును సూచిస్తోంది. “$1 సైబర్ దాడులు” నిజమైన ఆపరేటింగ్ అంచనాగా మారితే, memory-safe code వంటి దీర్ఘకాలిక రక్షణలు ఉత్తమ పద్ధతి నుంచి ప్రాథమిక పరిశుభ్రతలాగా కనిపిస్తాయి.

ఈ వ్యాసం IEEE Spectrum నివేదిక ఆధారంగా రూపొందింది. మూల వ్యాసాన్ని చదవండి.