Ternyata masalah keamanan di dunia cloud-native sangat mirip dengan apa yang membuat para praktisi terjaga di malam hari di ekosistem teknologi lainnya.
Implementasi keamanan tanpa kepercayaan di perusahaan, kerentanan rantai pasokan, ancaman terhadap kriptografi dari komputasi kuantum, dan munculnya mesin kecerdasan buatan yang kuat seperti ChatGPT OpenAI LLC adalah daftar kekhawatiran teratas di antara personel keamanan cloud-native. Kekhawatiran tambahan seputar kelemahan keamanan open-source yang berkelanjutan melukiskan gambaran keseluruhan untuk cloud-native sebagai komunitas yang sedang mengalami serangan yang meningkat.
Pelaku ancaman mengikuti vektor pertumbuhan di dunia komputasi dan cloud-native mengalami tren peningkatan. Dalam dua tahun ke depan, Gartner memperkirakan bahwa 95% beban kerja digital baru akan diterapkan di platform cloud-native. Kebutuhan untuk melindungi infrastruktur ini akan menjadi yang terpenting, itulah sebabnya komunitas keamanan cloud-native sekarang secara aktif menilai di mana risiko paling serius berada.
“Semua orang menjadi pengembang cloud-native,” Priyanka Sharma (foto), direktur eksekutif dan manajer umum Cloud Native Computing Foundation, mengatakan selama pidato utamanya di CloudNativeSecurityCon perdana di Seattle pada hari Rabu. (Lebih banyak liputan acara dari theCUBE, studio video SiliconANGLE Media, tersedia di sini.) “Kami sangat penting bagi organisasi dan bisnis di mana pun. Pelajaran tentang keamanan cloud memiliki daya tahan.”
Khawatir tentang ChatGPT
Pelajaran itu akan membutuhkan dampak yang bertahan lama karena mesin semakin pintar. Model pembelajaran mesin OpenAI, ChatGPT, menandai awal era baru dalam kecerdasan buatan, di mana alat otomasi open-source yang kuat telah tersedia dan lebih mudah digunakan oleh audiens massal.
Komunitas keamanan cloud-native mengkhawatirkan ChatGPT. Dalam presentasi di konferensi pada hari Rabu, Manajer Umum OpenSSF Brian Behlendorf menjelaskan berbagai kekhawatiran, mulai dari serangan spear-fishing otomatis pada proyek sumber terbuka menggunakan balasan yang dihasilkan AI hingga kontributor yang dipalsukan oleh AI yang menempatkan backdoor berbahaya ke dalam kode sumber. “Kami tahu model AI bisa rusak,” kata Behlendorf.
Masalah seputar potensi korupsi telah menyertai kemajuan AI baru-baru ini lainnya seperti perilisan alat pemrograman AI bernama Copilot oleh GitHub tahun lalu. Copilot menghasilkan dan menyarankan baris kode langsung di dalam fungsi pengeditan pemrogram. Pada bulan Januari, Microsoft Corp. mengumumkan ketersediaan umum layanan Azure OpenAI yang menyediakan serangkaian layanan yang mencakup Codex, jaringan saraf yang mendukung Copilot.
Kekhawatiran telah diungkapkan oleh peneliti keamanan atas potensi Copilot untuk menghasilkan kode yang dapat dieksploitasi. Satu studi tentang Copilot oleh para peneliti di NYU menemukan bahwa alat tersebut menghasilkan kode rentan 40% dari waktu.
Sementara itu, penggunaan ChatGPT terus menjamur. Menurut analisis terbaru, ini telah menjadi aplikasi dengan pertumbuhan tercepat sepanjang masa.
“Gajah sebenarnya di ruangan ini adalah kebangkitan AI dan khususnya model bahasa besar,” kata Matt Jarvis, direktur hubungan pengembang di Snyk Inc., Kamis. “Jutaan orang telah mencoba ChatGPT. Lapangan bergerak sangat cepat. Sudah jelas bahwa ini akan mendorong perubahan besar.”
Kerentanan sumber terbuka
Komunitas open-source bergantung pada serangkaian platform kolaboratif yang digunakan secara luas untuk membangun proyek baru dan menyempurnakan yang sudah ada. Ini meluas ke ruang seperti GitHub, di mana beberapa peretasan terkenal telah diungkapkan dalam beberapa minggu terakhir. Selama 60 hari terakhir, token karyawan Slack dicuri, kode sumber Okta Inc. di GitHub diretas, dan Dropbox Inc. mengungkapkan pelanggaran setelah aktor jahat mengekstraksi 130 repositori GitHub.
“Orang-orang masih memeriksa kredensial ke GitHub,” kata Matt Klein, insinyur perangkat lunak di Lyft Inc. dan pencipta proyek sumber terbuka Utusan, selama diskusi panel yang diselenggarakan di konferensi oleh Tetrate Inc. “Pada tahun 2023, ini masih merupakan masalah besar.”
Salah satu peretasan sumber terbuka paling terkenal baru-baru ini melibatkan korupsi kerangka pembelajaran mesin PyTorch. Pada bulan Desember, pengembang PyTorch mengidentifikasi pelanggaran keamanan dalam layanan yang menghosting ekstensi pihak ketiga untuk alat pengembangan AI.
Ekstensi jahat diyakini telah diunduh lebih dari 2.300 kali oleh pengguna sumber terbuka. “Penyerang menyalahgunakan hubungan kepercayaan untuk memasukkan kode mereka sendiri ke PyTorch,” kata Maya Levine, manajer produk di Sysdig Inc., saat presentasi di konferensi. “Kami belum tahu apa implikasi sebenarnya dari ini.”
Peretasan PyTorch menunjukkan mengapa korupsi dalam rantai pasokan perangkat lunak tetap menjadi perhatian yang meresahkan di kalangan TI perusahaan. Hanya butuh beberapa jam bagi aktor jahat untuk mulai meluncurkan serangan setelah para peneliti merilis rincian kerentanan Log4j pada Desember 2021. Sonatype Inc. menghasilkan studi tahun lalu yang mendokumentasikan peningkatan tahunan rata-rata 700% dalam serangan rantai pasokan perangkat lunak selama tiga tahun terakhir. .
Untuk rantai pasokan perangkat lunak yang awalnya dibangun atas dasar kepercayaan, kini ada alat baru yang muncul untuk memitigasi risiko. Ini termasuk Tekton Chains, subsistem keamanan dari Kubernetes Tekton CI/CD pipeline, dan Sigstore, alat yang mengotomatiskan penandatanganan digital dan verifikasi elemen perangkat lunak.
Sigstore dibuat prototipenya di Red Hat Inc. dan merupakan landasan kepercayaan rantai pasokan dan strategi keamanan perusahaan. Mitra dengan Red Hat pada proyek Sigstore termasuk Google LLC, Hewlett Packard Enterprise Co., VMware Inc. dan Cisco Systems Inc.
“Untuk menerapkan sepenuhnya keamanan rantai pasokan perangkat lunak, Anda harus melakukannya dalam kemitraan,” kata Emmy Eide, manajer senior rantai pasokan keamanan produk di Red Hat, Kamis. “Kami baru melihat kesuksesan di Red Hat ketika kami menggunakan pendekatan kemitraan ini. Anda menyimpan pesan Anda di sekitar risiko.
Nol kepercayaan dan kuantum
Salah satu pendekatan yang dianut oleh sektor utama komunitas keamanan cloud-native untuk meminimalkan risiko adalah dengan menerapkan praktik tanpa kepercayaan. Pendekatan ini, yang memerlukan autentikasi semua pengguna sebelum memberikan akses sistem, telah efektif dalam mengurangi risiko keamanan siber, menurut beberapa penelitian.
Namun, kepercayaan nol juga muncul sebagai sumber gesekan dalam organisasi karena peneliti keamanan berjuang untuk mengontrol akses untuk aplikasi penting bisnis yang tidak pernah mereka buat sejak awal.
“Tanpa kepercayaan bagi saya adalah menghilangkan kepercayaan implisit dan disengaja,” Menara Tinggi Kelsey, advokat pengembang di Google, kata Rabu. “Kami mencoba untuk menempatkan cangkang keras ini di semua aplikasi. Sebagian besar profesional keamanan tidak mengetahui apa yang dilakukan aplikasi ini. Kami akhirnya mencoba mengamankan hal-hal yang tidak kami mengerti.
AI, supply chain, open source, dan zero trust adalah area fokus komunitas keamanan saat ini, tetapi itu bukan satu-satunya masalah. Peneliti keamanan cloud-native juga mulai mewaspadai komputasi kuantum dan implikasinya di masa depan untuk kriptografi kunci publik.
Kekhawatirannya adalah bahwa mesin kuantum pada akhirnya dapat melampaui batasan kinerja komputer konvensional. Itu telah meningkatkan kemungkinan bahwa komputer kuantum pada akhirnya dapat melewati algoritme enkripsi data, sehingga menciptakan lubang keamanan yang sangat besar.
Industri teknologi sudah membangun solusi untuk mengantisipasi ancaman ini. Pada bulan November, SandboxAQ, sebuah startup yang diinkubasi di Alphabet Inc., menerima kontrak untuk membantu Angkatan Udara AS dalam penerapan kriptografi pasca-kuantum. Bulan lalu, QuSecure Inc. meluncurkan apa yang disebutnya orkestrasi aman kuantum pertama di industri untuk melindungi data pribadi terenkripsi di situs web atau aplikasi seluler apa pun menggunakan koneksi tahan kuantum.
“Siklus perubahan teknologi bergerak cukup cepat dan semakin cepat saja,” kata Jarvis dari Snyk. “Kita akan menelusuri lubang kelinci untuk menemukan sesuatu yang bisa kita percayai.”
Foto: Mark Albertson/SiliconANGLE
Tunjukkan dukungan Anda untuk misi kami dengan bergabung bersama para pakar Cube Club dan Komunitas Acara Cube kami. Bergabunglah dengan komunitas yang mencakup Amazon Web Services dan CEO Amazon.com Andy Jassy, pendiri dan CEO Dell Technologies Michael Dell, CEO Intel Pat Gelsinger, dan banyak tokoh dan pakar lainnya.
Togel hongkong hari https://t-yc.com/ pula terus jadi di gemari oleh pemeran bersama dengan ada live draw hk prize. Alasannya para pemeran memperoleh agunan hasil keluaran togel hkg yang nyaman dari ketakjujuran. Di malah ulang hadiah kemenangan jackpot togel terbanyak yang di menawarkan https://faceforwear.com/ para bandar togel hongkong online pula terus jadi menjanjikan. Alhasil lagutogel tidak membingungkan andaikata togel hongkong online senantiasa menjadi pasaran judi togel hari ini yang sangat terkenal di google. Dengan proses keamanan berstandar international dan fasilitas paling baik berasal dari bandar https://dikotakita.com/ online sah dari hongkongpools. Telah tentu para togelers hendak merasakan kenyamanan paling baik membuat menduga nilai bermain togel hongkong malam ini.
