آیا ارائه‌دهندگان ابری برای دنبال کردن هوش مصنوعی امنیت را نادیده می‌گیرند؟

سرمایه‌گذاری‌های سریع در هوش مصنوعی و پیچیدگی‌های معماری ابر هیبریدی خطر تضعیف اعتماد سازمان‌ها به امنیت سکوهای ابری را دارند.

امنیت اساسی است

سال‌ها، محاسبهٔ ابری مترادف با نوآوری تحول‌گرا و، شاید مهم‌تر از همه، امنیت قوی بود. ارائه‌دهندگان ابر به‌خرّار پلتفرم‌های خود را به عنوان ایمن‌تر و مقاوم‌تر نسبت به هر آنچه فناوری اطلاعات سازمانی می‌توانست به‌دست آورد، بازاریابی می‌کردند.

آنها خود را نگهبانان اعتماد و حفاظت می‌دانستند و با دفاع‌های یکپارچه و اقتصاد مقیاس برای مقابله با تهدیدات سایبری پیوسته در حال تحول مجهز شده بودند. اما امروزه یک روند ناآرام این روایت را به چالش می‌کشد. تحقیقات اخیر، از جمله گزارش «وضعیت امنیت ابر و هوش مصنوعی ۲۰۲۵» که توسط ائتلاف امنیت ابر (CSA) به‌همراه شرکت امنیت سایبری Tenable انجام شده است، نشان می‌دهد که امنیت ابر که پیش‌تر به‌عنوان بهترین در کلاس محسوب می‌شد، در حال تبدیل به تکه‌تکه و ناسازگار شدن است و سازمان‌ها را در معرض خطر می‌گذارد.

مشکل عدم وجود منابع یا بودجه نیست؛ بلکه تغییر نگرانی‌آور در اولویت‌ها توسط ارائه‌دهندگان ابر است. همان‌طور که سرمایه‌گذاری و انرژی‌های نوآورانه بیشتر بر هوش مصنوعی و توسعهٔ ابر ترکیبی متمرکز می‌شود، تلاش‌های امنیتی به‌نظر می‌رسد که پشت سر می‌مانند. اگر این سهل‌انگاری ادامه یابد، پلتفرم‌های ابر ممکن است موقعیت خود را به‌عنوان پایهٔ قابل‌اعتماد فناوری اطلاعات سازمانی از دست بدهند.

تاکید بیش از حد بر هوش مصنوعی

نقش امنیت در مهاجرت پرشور کسب‌وکارها به ابر عمومی را بیش از حد بیان کردن دشوار است. در مواجهه با چالش‌هایی مانند حملات انکار سرویس توزیعی (DDoS)، باج‌افزار و تهدیدات داخلی، شرکت‌ها به ارائه‌دهندگان بزرگ ابر برای پیشرفت فناوری و چارچوب‌های امنیتی مقیاس‌پذیر و داخلی مراجعه کردند. وعدهٔ کنترل‌های برتر، دفاع‌های پیشگیرانه و مدل‌های مسئولیت مشترک باعث شد سازمان‌ها با اطمینان به این پلتفرم‌ها جهش کنند.

اکنون، با این حال، بر اساس گزارش CSA/Tenable، ۸۲٪ از سازمان‌ها هیبرید تنظیمات را که ترکیبی از سیستم‌های داخلی و ابر هستند، مدیریت می‌کنند، در حالی که ۶۳٪ از بیش از یک ارائه‌دهنده ابر استفاده می‌کنند. این استراتژی‌های چندابری به‌ طور متوسط ۲.۷ محیط ابر برای هر سازمان دارند که منجر به زیرساخت‌های بزرگ و تکه‌تکه می‌شود که ابزارهای امنیتی سنتی برای دفاع از آن دشوار هستند.

خطرات این پیچیدگی توسط آنچه گزارش به‌عنوان ضعیف‌ترین حلقه در امنیت ابر می‌نامد، یعنی مدیریت هویت و دسترسی (IAM)، تشدید می‌شود. تقریباً ۵۹٪ از پاسخ‌دهندگان هویت‌های ناامن و دسترسی‌های پرخطری را به‌عنوان نگرانی اصلی خود ذکر کردند، به‌طوری که دسترسی‌های بیش از حد و بهداشت هویت ضعیف از مهم‌ترین دلایل نقض‌ها بودند. پاسخ‌دهندگان گفتند که، به‌طور نگران‌کننده‌ای، مدیریت هویت به‌صورت ناقص اجرا می‌شود و در سیستم‌های ترکیبی پراکنده است. اختلافات بین تیم‌های IAM و تیم‌های عملیات ابر یک مسألهٔ رایج است و سازمان‌ها در پیاده‌سازی بهترین شیوه‌ها مانند اعمال دسترسی با کمترین امتیاز یا نظارت بر شاخص‌های عملکرد مرتبط با هویت دچار مشکل‌اند.

عواقب این شکست‌ها به‌طور فزاینده‌ای واضح می‌شود زیرا رویکردهای واکنشی بر وضعیت امنیت ابر سازمانی حاکم هستند. بر اساس گزارش، متریک رایج‌ترین پیگیری‌شده در امنیت ابر، فرکانس و شدت حوادث است—شاخص‌هایی که تنها خسارت را پس از آنکه مهاجمان پیش از آن آسیب‌پذیری‌ها را بهره‌برداری کردند، اندازه‌گیری می‌کند. تعجبی نیست که پاسخ‌دهندگان به‌طور متوسط دو نقض مرتبط با ابر را در ۱۸ ماه گذشته گزارش دادند، که سیستم‌های پیکربندی نادرست و دسترسی‌های بیش از حد در صدر فهرست علل ریشه‌ای قرار داشتند. این یافته‌ها نشان می‌دهند که سازمان‌ها هنوز به بحران‌ها واکنش نشان می‌دهند به‌جای اختصاص منابع کافی به تاب‌آوری پیشگیرانه.

اولویت‌های خود را درست کنید

داده‌های نظرسنجی که توجه ما را می‌طلبند، نه افزایش نقض‌ها یا مدیریت نادرست هویت است؛ بلکه تصمیمات استراتژیک اتخاذ‌شده در سطوح بالای اکوسیستم ابر است. گزارش نشان می‌دهد که ۵۵٪ از سازمان‌ها امروز به‌طور فعال از بارهای کاری هوش مصنوعی استفاده می‌کنند، در حالی که ۳۴٪ دیگر در حال آزمایش سیستم‌های مبتنی بر هوش مصنوعی‌اند. در حالی که سرمایه‌گذاری‌ها و نوآوری‌های هوش مصنوعی برنامه‌های ارائه‌دهندگان ابر را به خود اختصاص داده‌اند، امنیت به‌نظر می‌رسد که به‌پس‌زمینه منتقل شده است. این بارهای کاری خطراتی معرفی می‌کنند که نه به‌خوبی درک شده‌اند و نه به‌طور کافی مورد رسیدگی قرار گرفته‌اند.

در واقع، ۳۴٪ از سازمان‌هایی که برای نیازهای تجاری از هوش مصنوعی استفاده می‌کنند، قبلاً نقض‌های مرتبط با هوش مصنوعی را تجربه کرده‌اند که ناشی از آسیب‌پذیری‌های نرم‌افزاری، تهدیدات داخلی یا محیط‌های پیکربندی نادرست بوده‌اند. داده‌ها یک تضاد کلیدی را برجسته می‌کنند: شرکت‌ها از تهدیدات جدید مرتبط با هوش مصنوعی مانند دستکاری مدل یا استفاده از هوش مصنوعی خرابکار می‌ترسند، اما نقض‌هایی که با آنها مواجه می‌شوند اغلب از همان آسیب‌پذیری‌های معمول ناشی از سهل‌انگاری و نبود تدابیر مناسب می‌آیند. علیرغم آگاهی صنعت از این خطرات، تعداد کمی از سازمان‌ها اقدامات فنی ضروری مانند رمزگذاری داده‌های هوش مصنوعی یا آزمون‌های امنیتی برای عملیات یادگیری ماشین (MLOps) را در اولویت قرار می‌دهند.

وسواس نسبت به هوش مصنوعی نشان‌دهندهٔ مجموعه‌ای جانبدارانه از اولویت‌ها در میان ارائه‌دهندگان ابر است، به‌طوری که بازاریابی و نقشه‌های مهندسی آنها به‌طور عمده بر فعال‌سازی بارهای کاری مانند هوش مصنوعی مولد متمرکز است در حالی که امنیت به کناره رانده می‌شود. این رویکرد ممکن است در کوتاه‌مدت به‌دلیل رونق هوش مصنوعی منطق تجاری خوبی داشته باشد، اما شرکت‌ها را در معرض خطر می‌گذارد و اعتماد را که در ابتدا پلتفرم‌های ابر عمومی را به برجستگی رسانده بود، تضعیف می‌کند.

حتی زمانی که سازمان‌ها برای همسویی استراتژیک بیشتر و مدیریت خطر کلی‌نگرانه‌تری تلاش می‌کنند، تحول از ذهنیت‌های امنیت‑اولین در معیارها واضح است. تحقیقات نشان می‌دهد که تنها ۲۰٪ از سازمان‌ها ارزیابی‌های ریسک یکپارچه را در اولویت می‌گذارند و تنها ۱۳٪ بر همگرایی ابزارها تمرکز دارند. بدون تلاش‌های هماهنگ برای شکستن دیوارهای سیلو و پیگیری معیارهای خاص مانند سوءاستفاده از امتیاز یا ناهنجاری‌های دسترسی (به‌جای معیارهای مبهم انطباق)، سازمان‌ها با خطر افزایشی نقض‌های قابل پیشگیری مواجه می‌شوند. همان‌طور که تنظیمات ابر ترکیبی بیشتر می‌شود، دیدگاه تکه‌تکه در این محیط‌ها فقط فرصت‌های بیشتری برای مهاجمان ایجاد می‌کند.

اولویت‌نداشتن امنیت به‌نفع محصولات هوش مصنوعی یک قمار است که ارائه‌دهندگان ابر به‌نظر می‌رسد مایل به انجام آن هستند، اما نشانه‌های واضحی وجود دارد که سازمان‌ها ممکن است برای همیشه این مسیر را دنبال نکنند. گزارش CSA/Tenable نشان می‌دهد که ۳۱٪ از پاسخ‌دهندگان معتقدند رهبری اجرایی آنها قادر به درک نکات ظریف امنیت ابر نیست و بسیاری به‌صورت بدون انتقاد از ابزارهای بومی ارائه‌دهندگان ابر استفاده کرده‌اند بدون افزودن حفاظت‌های اضافی. در گذشته، تضمین‌های امنیتی قوی ارائه‌دهندگان ابر این اعتماد را توجیه می‌کرد، اما همان‌طور که شواهد نشان می‌دهند این تضمین‌ها دیگر با چشم‌انداز تهدیدهای رو به گسترش هم‌خوانی ندارند، سازمان‌ها ممکن است به‌دنبال گزینه‌های دیگری بگردند یا وابستگی خود به فروشندگان ابر عمومی را به‌طور کامل بازنگری کنند.

این حقیقت تلخی است: اگر ارائه‌دهندگان ابر به‌تداوم امنیت را به‌عنوان یک فکر پس‌زمینه در نظر بگیرند، ممکن است این امر در بلندمدت سرنوشت آنها باشد. هوش مصنوعی می‌تواند هیجان‌انگیز و سودآور باشد، اما امنیت همچنان نقطهٔ اتصال اعتماد سازمانی است. به‌محض از دست رفتن، بازگرداندن اعتماد دشوار خواهد بود.

به بازیگران اصلی این حوزه: شما را هشدار دادیم. نوآوری سریع حیاتی است، اما غفلت از امنیت می‌تواند اعتبار و برتری رقابتی شما را آسیب بزند. بدون اقدام سریع، ابر عمومی ممکن است جایگاه خود را به‌عنوان برترین پلتفرم برای سازمان‌های جهانی از دست بدهد. مگر اینکه ارائه‌دهندگان به برتری امنیت بازگردند، مشتریان ارزشمندشان ممکن است شروع به این سؤال کنند که آیا ابر آنها واقعاً ایمن‌تر از سیستم‌های داخلی خود است یا خیر.