Relatório de segurança do Kubernetes: cenário em evolução do DevSecOps
27 de junho de 2024As plataformas podem finalmente resolver a tensão da equipe de segurança entre desenvolvedores
27 de junho de 2024O fabricante da plataforma DevOps JFrog, a primeira empresa a desenvolver um repositório de gerenciamento de código binário para desenvolvedores, revelou na terça-feira que adquiriu a Qwak, com sede em Tel Aviv, para adicionar recursos AIOps e MLOps à sua plataforma para construir e proteger aplicativos de IA e aprendizado de máquina.
JFrog é o sistema único de registro para todos os pacotes de software (binários), incluindo modelos armazenados no Artifactory, que tem sido o registro de modelos preferido da Qwak por vários anos.
O software da Qwak permite que modelos de aprendizado de máquina sejam hospedados, verificados e monitorados pela ferramenta de segurança Xray na plataforma de construção do JFrog. A aquisição também visa melhorar o DevSecOps, implementando um processo de “segurança reversa” para proteger os modelos contra ataques maliciosos.
A ideia da JFrog de centralizar DevOps, DevSecOps e MLOps em um pacote é única no negócio e permitirá aos usuários acelerar a modelagem desde o desenvolvimento até a implantação, disse o cofundador e CEO da empresa, Shlomi Ben Haim, ao The New Stack.
“Somos os primeiros a combinar DevOps, DevSecOps e MLOps em uma plataforma e estamos muito honrados e ansiosos para servir nossos clientes”, disse Ben Haim. “Esse é o nosso alvo principal.”
O resultado mais significativo da combinação do JFrog com o IP da Qwak, disse ele, é a unificação dos processos de desenvolvimento e implantação de modelos de aprendizado de máquina dentro do ciclo de vida mais amplo de desenvolvimento de software.
A plataforma de gerenciamento da Qwak foi projetada especificamente para modelos de aprendizado de máquina em produção. Ele permite que todas as partes interessadas relevantes observem, analisem e gerenciem seus modelos de ML – independentemente de como eles foram desenvolvidos, implantados ou hospedados. A plataforma full-stack da Qwak, disse Ben Haim, libera as equipes de ciência de dados das preocupações com infraestrutura, permitindo que se concentrem na construção e implantação de soluções personalizadas de IA e ML sem configurações complexas.
A nova combinação usa os recursos avançados de treinamento e serviço de modelos da Qwak para gerenciar o ciclo de vida complexo e anteriormente isolado dos modelos, juntamente com o gerenciamento de armazenamento de modelos e a verificação de segurança de modelos fornecidos pelo JFrog Xray.
Definindo Processos de ‘Segurança Reversa’
Um “processo de segurança reversa” refere-se a estratégias que se concentram na compreensão e mitigação de ameaças, analisando ataques e vulnerabilidades da forma como os hackers os veem, disse Ben Haim.
“O invasor não pode realmente penetrar na sua organização se você não deixar a porta aberta”, disse ele. “Se você deixar a porta aberta, só poderá ser o ambiente de execução no ambiente de produção.
“E o que você tem no ambiente de produção? O que você tem no ambiente de execução? Você não tem seu código-fonte; você tem os binários; você tem os pacotes de software.”
O que foi construído no JFrog, acrescentou ele, “é na verdade um processo de ‘segurança reversa’, pensando no hacker. Tais como: O que você deseja ver e como deseja protegê-lo, até o desenvolvedor? Como você constrói a rastreabilidade e como você constrói a proteção em toda a cadeia de fornecimento de software em todos os portões de qualidade?”
Nesse caso, grandes modelos de linguagem (LLMs), “assim como qualquer outro pacote, assim como qualquer outro binário, encontrar-se-ão no ambiente de produção. E se você comprou com abridores de portas maliciosos, o hacker irá esperar por isso. E é aqui que está hoje a plataforma JFrog. Tem milhares de clientes.”
O uso indevido de LLMs está se tornando um problema importante
Embora os LLMs em si não estejam infectados, o seu uso indevido para fins maliciosos representa uma ameaça significativa à segurança cibernética. Há uma tendência preocupante de atores mal-intencionados que aproveitam as capacidades dos LLMs para aprimorar e acelerar os ataques cibernéticos.
Por exemplo:
- LLMs estão sendo usados para gerar códigos maliciosos, incluindo variações de malware e códigos polimórficos que podem escapar da detecção por ferramentas de segurança tradicionais. Eles também podem ajudar a ofuscar malware existente, dificultando a análise e a engenharia reversa.
- Os LLMs podem criar e-mails de phishing sofisticados, mensagens de engenharia social e até mesmo conteúdo de áudio ou vídeo deepfake para enganar as vítimas e fazê-las divulgar informações confidenciais ou baixar malware.
- Atores maliciosos podem usar LLMs para gerar grandes volumes de informações enganosas ou falsas, semeando discórdia, manipulando a opinião pública e minando a confiança nas instituições.
Levando em consideração essa tendência, o JFrog está usando o antigo conceito de potes de mel para atrair hackers para LLMs de segurança e prendê-los antes que façam seus negócios sujos?
“Estamos fazendo isso como parte da equipe de pesquisa de segurança, e parte do que estamos tentando descobrir é que os hackers irão morder, mas eles são muito espertos”, disse Ben Haim. “Eles não estão mordendo tão cedo. Então você lança e espera e espera e espera, e quando isso acontecer, você salva toda a comunidade. JFrog, juntamente com Docker, ajudaram a publicar um artigo no início deste ano dizendo que encontramos mais de 4 milhões de contêineres em hubs Docker com conteúdo malicioso.
“Mas esta é a história da MLOps expandindo a plataforma JFrog. Este é o nosso café da manhã e jantar. Isto é o que fazemos para viver. Lidamos com binários, e os modelos são mais um binário para nós.”
A integração das duas plataformas está em andamento e deverá ser concluída neste ano civil. A aquisição segue uma integração das soluções JFrog e Qwak anunciada no início deste ano, com base na abordagem de “modelo como pacote” da JFrog. Esta é uma solução holística que visa eliminar a necessidade de ferramentas separadas e esforços de conformidade que oferecerão rastreabilidade total numa única solução, disse Ben Haim.
A postagem JFrog combina DevOps, DevSecOps, MLOps com Qwak Buy apareceu pela primeira vez em The New Stack.