AI Pentesting
Implementeert u een AI-applicatie? Weet u zeker dat aanvallers deze niet kunnen compromitteren? Onze pentesters kunnen uw AI-systeem testen en aangeven hoe u de beveiliging kunt verbeteren.
... > Vulnerability Assessment / Penetration Testing (VAPT) > Beveilig uw AI-systemen met AI Pentesting
Gebruikt u AI in uw bedrijf? AI Pentesting laat zien wat er mis kan gaan - en hoe het op te lossen
De kans is groot dat uw bedrijf een AI-toepassing of -systeem gebruikt: sinds eind 2022, toen ChatGPT verscheen, is AI veranderd van een baanbrekende innovatie in een kernonderdeel dat helpt bij de bedrijfsvoering. Gartner meldt dat bijna een derde van de onderzochte bedrijven generatieve AI en grote taalmodellen (LLM's) gebruikt. AI-toepassingen, met name toepassingen die gebruikmaken van LLM's, zijn echter vrijgegeven voor verschillende risico's en kwetsbaarheden.
Met behulp van verschillende tactieken kunnen aanvallers gegevens van AI-toepassingen stelen of wijzigen en AI-systemen manipuleren om dingen te doen die ze niet zouden moeten doen, waardoor ze financiële schade en reputatieschade veroorzaken. Voorbeelden zijn: malafide chatbots die klanten uitschelden, AI-systemen die worden gemanipuleerd om grote terugbetalingen te doen en uitgelekte gevoelige bedrijfsinformatie. Dit betekent dat het beveiligen van AI-toepassingen cruciaal is geworden.
Wij kunnen helpen uw AI-applicatie te beveiligen
Met onze pentesting dienst voor AI-toepassingen kunt u de beveiliging van uw AI-applicaties grondig evalueren. We kunnen u helpen problemen op te sporen in zowel het taalmodel als de integratie ervan met componenten zoals zoeken op het web, code-uitvoering, API-aanroepen en guardrails.
Via gesimuleerde aanvallen en het gebruik van gevestigde cybersecurity frameworks geven we u duidelijk inzicht in de zwakke punten van uw AI-applicaties en leveren we een praktisch rapport met verbeterstappen.
Hoe om te gaan met AI-beveiliging: onze methode
Op basis van duizenden tests heeft Secura een uitgebreide methodologie ontwikkeld om de beveiliging van AI-systemen te beoordelen, gebaseerd op threat modeling, ontwikkelingen in de academische wereld, de sector, bedreigingsactoren en incidenten.
We gebruiken internationaal erkende modellen voor het testen van AI-security. Momenteel zijn er weinig raamwerken die specifiek gericht zijn op de risico's van AI-technologieën. Het Open Worldwide Application Security Project (OWASP) biedt een van de weinige algemeen erkende modellen: De OWASP Top 10 Risico's voor LLM's en GenAI-toepassingen. We gebruiken dit model als standaard voor alle AI-security assessments.
Onze expertise
Secura is de eerste die een methodologie heeft ontwikkeld met duizenden security tests en een gestructureerde methodologie om AI-systemen te beoordelen. We bouwen voort op meer dan twintig jaar expertise in cybersecurity. Ons testteam voert elk jaar honderden security tests uit. Alle testers zijn gecertificeerd volgens een minimumstandaard (eWPT), maar de meeste hebben meerdere certificeringen, zoals OSCP, OVSE, eCPPT, GIAC GPEN. Dit team kan vrijwel elke security test uitvoeren.
De 3 stappen van Pentesting voor AI-applicaties
01
Threat Modeling om risico's in kaart te brengen
Afhankelijk van het niveau van diepgang dat u zoekt, kunnen we optioneel beginnen met Threat Modeling: dit helpt om te weten vanuit welk perspectief dreigingen ontstaan en hoe applicaties of systemen kunnen worden aangevallen. Het doel van Threat Modeling is om u een volledig beeld te geven van de dreigingen en mogelijke aanvalsroutes.
Het belangrijkste verschil tussen traditionele Threat Modeling en AI-gerelateerde Threat Modeling is dat de risico's en dreigingen anders zijn. Daarom gebruiken we naast een van de kaders die worden gebruikt bij traditionele Threat Modeling de OWASP Top 10 Risks for LLM's als leidraad.
02
Daadwerkelijk testen - met prompts
De manier om een LLM-onderdeel van een applicatie te testen is door berichten te versturen, zogenaamde prompts. Om de belangrijkste van de OWASP Top 10 risico's te beoordelen, maken en verzenden we daarom eerst prompts, oftewel 'prompt injection' (Top 10 #1). Met behulp van promptinjectie beoordelen we vervolgens de andere risico's, zoals de openbaarmaking van gevoelige informatie (#2) en onjuiste uitvoerverwerking (improper output handling)(#5). Threat Modeling kan dit proces een stuk effectiever maken, omdat het een duidelijk overzicht geeft van de relevante bedreigingen.
We hebben een database opgebouwd met duizenden zorgvuldig samengestelde prompts die zijn gekoppeld aan de OWASP Top 10 voor AI. Tijdens de AI Pentest gebruiken we drie soorten prompts:
- Prompts die vrij beschikbaar zijn vanuit academische of industriële security benchmarks (bijvoorbeeld AIR-Bench, HarmBench, en HEx-PHI) en jailbreaking technieken (zoals Do Anything Now, JailbreakBench, en Best-of-N Jailbreaking).
- Prompts die zijn afgeleid van openbare richtlijnen en bekende incidenten.
- Eigen prompts en technieken ontwikkeld door de AI-experts van Secura.
03
Complete rapportage
Na de AI Pentest ontvangt u een uitgebreid rapport.
Tests die met succes misbruik van risico's aantonen, worden in het rapport gegroepeerd en geanalyseerd. Elke OWASP Top 10-risicocategorie wordt in kaart gebracht met het bedreigingsmodel, een CVSS v3-score en relevante CWE-identificatoren om klanten een duidelijk inzicht te geven in het risiconiveau.
Voor elke categorie geven we ook concrete aanbevelingen om u te helpen uw AI-oplossingen te versterken tegen cybersecurity-bedreigingen.
Vraag een offerte aan voor een AI Pentest
Wilt u uw AI-applicatie beveiligen? Vul het formulier in en wij nemen binnen één werkdag contact met u op.
Waarom kiezen voor Secura | Bureau Veritas
Het doel van Secura/Bureau Veritas is om uw vertrouwde partner in cybersecurity te zijn. Wij gaan verder dan snelle oplossingen en geïsoleerde diensten. Onze geïntegreerde aanpak zorgt ervoor dat elk aspect van uw bedrijf of organisatie cyberweerbaar is, van uw technologie tot uw processen en uw mensen.
Secura is de cybersecuritydivisie van Bureau Veritas, gespecialiseerd in testing, inspection en certification. Bureau Veritas werd opgericht in 1828, heeft meer dan 80.000 werknemers en is actief in 140 landen.