API 보호 도구로 생성 AI 추가

Aug 26, 2023

홈 » Security Boulevard (원본) » API 보호 도구로 생성 AI 추가

보안 세계는 생성 AI를 최대한 활용하여 사이버 보안을 강화하는 동시에 새로운 위협 벡터인 사이버 보안을 방어하는 방법을 파악하는 초기 단계에 있습니다.

API 보안을 예로 들어 보겠습니다. 최근 Security Boulevard 특집에서 Bill Doerrfeld는 생성 AI가 API 보안에 위협이 될 것이라고 주장했습니다. 한 가지 우려 사항은 공격 표면이 크기 때문에 생성 AI가 API를 남용하는 데 사용될 수 있다는 점이라고 Doerrfeld는 썼습니다. 현재 많은 조직에서는 이미 가시성 문제가 있는 수백 개의 API를 배포하고 있습니다. 공격자는 조직이 API를 보호하기 위해 애쓰고 있다는 사실을 알고 있으며 AI를 직접 사용하여 취약점을 찾을 수 있는 기회를 제공합니다.

도어펠트는 “또한 생성적 AI는 다양한 방법으로 자격 증명을 손상시키는 데 사용될 수 있다”고 썼으며, 생성적 AI는 패턴을 감지하여 비밀번호를 찾거나 자격 증명 스터핑에 사용될 수 있다고 덧붙였습니다.

이러한 보안 위협은 조만간 해결되어야 합니다. 그러나 위협 행위자가 생성 AI를 사용하여 API에 대한 공격을 시작하는 방법을 고안하는 것처럼 보안 연구원도 동일한 기술을 사용하여 API를 보호하는 방법을 개발하고 있습니다.

Cequence Security의 제품 관리 부사장인 Subbu Iyer는 최근 웹 세미나에서 "제너레이티브 AI는 오늘날 보안을 포함한 여러 분야에서 확실히 화두입니다."라고 말했습니다. 하지만 이 기술을 사용하면 한때 수동 작업이었던 작업을 자동화하고 API 보안을 테스트할 수 있습니다.

API용 보안 솔루션으로 생성 AI를 적용하기 전에 API 보호에 필요한 것이 무엇인지 잘 이해해야 합니다. Iyer는 통합 API 보호 접근 방식이 API 공격 표면의 형태를 학습하고 분류하는 검색과 API의 보안 상태를 살펴보고 보안 모범 사례 및 보호를 준수하는지 확인하는 규정 준수라는 세 가지 기둥을 기반으로 구축되었다고 설명했습니다. , 이는 API로 들어오는 트래픽을 모니터링하고 잠재적인 공격을 차단하는 것을 의미합니다.

안타깝게도 많은 조직에서 API 보호가 중단되었습니다. Iyer는 “완전히 무인 상태로 공개적으로 노출되고 고객 데이터를 노출하는 API가 얼마나 많은지 발견하면 놀랄 것입니다.”라고 말했습니다.

API의 취약점을 찾으려면 애플리케이션 보안 테스트가 필요하지만 Iyer가 블로그 게시물에서 지적한 것처럼 "관련 비즈니스 기능을 프로덕션에 출시하기 전에 테스트할 수 있도록 테스트 중인 앱에 맞게 맞춤화된 테스트 사례를 생성하는 것"은 매우 어렵습니다.

생성 AI가 유용한 API 보안 도구가 되는 곳입니다. Iyer는 생성 AI 애플리케이션에 엄청난 양의 수동 작업이 필요한 작업을 수행하도록 요청할 수 있다고 설명했습니다.

예를 들어, Cequence는 API 유형에 따라 테스트를 자동으로 생성하는 지능형 모드를 사용하여 API 보안 테스트와 관련된 생성적 AI 사용 사례를 구축했습니다. 생성적 AI를 사용하면 애플리케이션 내의 각 API 엔드포인트에 대해 올바른 테스트 사례를 함께 묶을 수 있다고 Iyer는 말했습니다.

Iyer는 “이를 통해 보안 엔지니어가 해당 테스트 사례나 테스트 계획을 수동으로 구축하는 데 필요한 몇 시간, 몇 주에 걸친 작업이 제거될 것입니다.”라고 말했습니다.

좋든 나쁘든 생성 AI는 보안을 변화시킬 것입니다. API 보안은 복잡성과 조직 전체에서 사용되는 엄청난 양의 API로 인해 이미 까다롭습니다. 생성적 AI가 잠재적인 취약점을 찾아내고 테스트를 개선하는 단계를 자동화할 수 있다면 이는 긍정적인 진전이 될 것입니다.