Pentesting van AI: uw AI-toepassingen beveiligen

Gebruikt u AI in uw bedrijf? Pentesting van uw AI-toepassing laat zien wat er mis kan gaan - en hoe u het kunt oplossen

De kans is groot dat uw bedrijf een AI-toepassing of -systeem gebruikt. AI heeft zich ontwikkeld van een baanbrekende innovatie tot een kernonderdeel dat helpt bij de bedrijfsvoering. Gartner meldt dat bijna een derde van de onderzochte bedrijven generatieve AI en Large Language Models (LLM's) gebruikt. AI-toepassingen, met name toepassingen die gebruikmaken van LLM's, zijn echter blootgesteld aan verschillende risico's en kwetsbaarheden.

Met behulp van verschillende tactieken kunnen aanvallers gegevens van AI-toepassingen stelen of wijzigen en AI-systemen manipuleren om dingen te doen die ze niet zouden moeten doen, waardoor ze financiële schade en reputatieschade kunnen veroorzaken. Voorbeelden zijn: malafide chatbots die klanten uitschelden, AI-systemen die gemanipuleerd worden om grote terugbetalingen te doen en uitgelekte gevoelige bedrijfsinformatie. Dit betekent dat het beveiligen van AI-toepassingen van cruciaal belang is geworden.

Offerte aanvragen voor Pentest

Wij kunnen helpen uw AI-toepassing te beveiligen

Onze Pentest dienst voor AI-toepassingen kan u helpen om de beveiliging van uw AI-toepassingen grondig te evalueren. Wij kunnen u helpen om problemen op te sporen in zowel het taalmodel als de integratie ervan met componenten zoals zoeken op het web, code-uitvoering, API-integratie en vangrails.

Door middel van gesimuleerde aanvallen en het gebruik van gevestigde cybersecurity frameworks geven wij u een duidelijk inzicht in de zwakke punten van uw AI-toepassingen en leveren wij een praktisch rapport met verbeterstappen.

Hoe om te gaan met AI-beveiliging: onze methode

Aan de hand van duizenden tests heeft Bureau Veritas Cybersecurity een uitgebreide methodologie ontwikkeld om de beveiliging van AI-systemen te beoordelen, op basis van threat modeling, ontwikkelingen in de academische wereld, de industrie, bedreigingsactoren en incidenten.

Wij gebruiken internationaal erkende modellen voor het testen van AI-beveiliging. Momenteel zijn er weinig frameworks die specifiek de risico's van AI-technologieën aanvallen. Het Open Worldwide Application Security Project (OWASP) biedt een van de weinige algemeen erkende modellen: The OWASP Top 10 Risks for LLMs and GenAI Applications. Wij gebruiken dit model als standaard voor alle AI security assessments.

Onze expertise

Bureau Veritas Cybersecurity is de eerste die een methodologie heeft ontwikkeld met duizenden security tests en een gestructureerde methodologie om AI-systemen te beoordelen. Wij bouwen voort op meer dan twintig jaar expertise in cybersecurity. Ons testteam voert elk jaar honderden security tests uit. Alle testers zijn gecertificeerd volgens een minimumnorm (eWPT), maar de meeste hebben meerdere certificeringen, zoals OSCP, OVSE, eCPPT, GIAC GPEN. Dit team kan vrijwel elke security test uitvoeren.

Offerte aanvragen voor Pentest

De 3 stappen van Pentesting voor AI-toepassingen

01

Threat Modeling om risico's te beoordelen

Afhankelijk van het niveau van diepgang dat u zoekt, kunnen we optioneel beginnen met Threat Modeling: dit helpt om te weten vanuit welk perspectief bedreigingen ontstaan en hoe toepassingen of systemen kunnen worden aangevallen. Het doel van Threat Modeling is om u een compleet beeld te geven van de bedreigingen en mogelijke aanvalsroutes.

Het belangrijkste verschil tussen traditionele Threat Modeling en AI-gerelateerde Threat Modeling is dat de risico's en bedreigingen verschillend zijn. Daarom gebruiken wij, naast een van de frameworks die worden gebruikt bij traditionele Threat Modeling, de OWASP Top 10 Risks for LLM's als leidraad.

02

Tests uitvoeren - prompts gebruiken

De manier om een LLM-onderdeel van een applicatie te testen is door berichten, prompts genaamd, te versturen. Om de meerderheid van de OWASP Top 10 Risico's te beoordelen, maken en verzenden we daarom eerst prompts, oftewel "prompt injection" (Top 10 #1). Met behulp van promptinjectie beoordelen we vervolgens de andere risico's, zoals de openbaarmaking van gevoelige informatie (#2) en onjuiste uitvoerverwerking (#5). Threat Modeling kan dit proces veel effectiever maken, omdat het een duidelijk overzicht biedt van de relevante bedreigingen.

Wij hebben een database opgebouwd met duizenden zorgvuldig samengestelde prompts die zijn gekoppeld aan de OWASP Top 10 voor AI. Tijdens de pentest van uw AI-toepassing gebruiken we drie soorten prompts:

Prompts die vrij beschikbaar zijn van academische of industriële beveiligingsbenchmarks (bijvoorbeeld AIR-Bench, HarmBench en HEx-PHI) en technieken voor jailbreaking (zoals Do Anything Now, JailbreakBench en Best-of-N Jailbreaking).
Prompts afgeleid van openbare richtlijnen en bekende incidenten.
Eigen prompts en technieken ontwikkeld door de AI-experts van Bureau Veritas Cybersecurity.

03

Grondige rapportage

Na de pentest van uw AI-toepassing ontvangt u een uitgebreid rapport.

Tests die met succes misbruik van risico's aantonen, worden in het rapport gegroepeerd en geanalyseerd. Elke OWASP Top 10-risicocategorie wordt gekoppeld aan het bedreigingsmodel, een CVSS v3-score en relevante CWE-identificatoren om klanten een duidelijk inzicht te geven in het risiconiveau.

Voor elke categorie geven we ook relevante aanbevelingen om u te helpen uw AI-oplossingen te versterken tegen cybersecurity-bedreigingen.

Vraag een offerte aan voor uw Pentest

Wilt u uw AI-toepassingen beveiligen? Vul het formulier in en wij nemen binnen één werkdag contact met u op.

Voornaam

Achternaam

Bedrijf / Organisatie

Email

Telefoonnummer

Hoe kunnen we u helpen?

Ik geef toestemming voor de verwerking van mijn gegevens zoals beschreven in het privacybeleid en ga akkoord met de algemene voorwaarden.

Ik geef Bureau Veritas Cybersecurity toestemming om deze gegevens te gebruiken om mij te voorzien van aanvullende informatie over hun diensten, evenementen of onderwerpen die voor mij van belang kunnen zijn.

Waarom kiezen voor Bureau Veritas Cybersecurity

Bureau Veritas Cybersecurity is uw specialist op het gebied van digitale veiligheid. Wij ondersteunen organisaties bij het in kaart brengen van risico’s, het verbeteren van hun verdediging en het naleven van wet- en regelgeving. Onze dienstverlening bestrijkt mens, proces en technologie: van awareness-trainingen en social engineering tot advies, compliance en technische beveiligingstests.

We werken in IT-, OT- en IoT-omgevingen en ondersteunen zowel digitale systemen als verbonden producten. Met ruim 300 cybersecurity-specialisten wereldwijd combineren we diepgaande technische kennis met internationale slagkracht. Bureau Veritas Cybersecurity is onderdeel van Bureau Veritas Group, wereldwijd actief in testen, inspectie en certificering.