Köszönjük, hogy elküldte érdeklődését! Csapatunk egyik tagja hamarosan felveszi Önnel a kapcsolatot.
Köszönjük, hogy elküldte foglalását! Csapatunk egyik tagja hamarosan felveszi Önnel a kapcsolatot.
Kurzusleírás
1. Nap: Alapok és Fő Fenyegetések
Modul 1: Bevezetés az OWASP GenAI Security Projectbe (1 óra)
Tanulási Célkitűzések:
- Értsük meg a fejlődést az OWASP Top 10-től a GenAI-szpecifikus biztonságos kihívások felé.
- Ismerkedjünk meg az OWASP GenAI Security Project ökoszisztémája és erőforrásaival.
- Azonosítsuk a hagyományos alkalmazásbiztonság és az AI biztonság közötti fontos különbségeket.
Témák:
- Az OWASP GenAI Security Project célja és hatókörének áttekintése.
- Bevezetés a Threat Defense COMPASS keretrendszerbe.
- Az AI biztonsági terület és szabályozási követelmények megértése.
- AI támadási felületek vs. hagyományos webalkalmazások biztonsági rése.
Gyakorlati Feladat: Az OWASP Threat Defense COMPASS eszköz beállítása és az elsődleges fenyegetés-értékelés végrehajtása.
Modul 2: OWASP Top 10 LLM-k - Rész 1 (2,5 óra)
Tanulási Célkitűzések:
- Meistertudni az első öt fontosabb LLM biztonsági rést.
- Megérteni a támadási vektorokat és exploit technikáit.
- Gyakorlati mitige stratégiák alkalmazása.
Témák:
LLM01: Kéréselem Beillesztés
- Közvetlen és közvetett kéréselem beillesztési technikák.
- Rejtett utasítások támadásai és keresztezett kéréselem kontamináció.
- Gyakorlati példák: Chatbot-jailbreaking és biztonsági intézkedések kikerülése.
- Védelmi stratégiák: Bemeneti tisztítás, kéréselem szűrés, differenciális adatvédelem.
LLM02: Érzékeny Információ Feltárása
- Tanító adatok kinyerése és rendszerszemlélet kéréselemek árasztása.
- Modell viselkedés elemzése érzékeny információ kitettségének megértéséhez.
- Adatvédelmi implikációk és szabályozási betartás.
- Mitigálás: Kimeneti szűrés, hozzáférés-vezérlők, adatanonimizáció.
LLM03: Szállítási Lánci Biztonsági Rések
- Harmadik féltől származó modell függőségek és plugin biztonság.
- Compromised tanító adatbázisok és model poisoning.
- AI komponensek szállítói kockázatek mérlegelése.
- Biztonságos modell üzembe helyezési és ellenőrzési gyakorlatok.
Gyakorlati Feladat: Gyakorlati labor, amely bemutatja a kéréselem beillesztési támadásokat érzékeny LLM alkalmazások ellen, és védelmi intézkedéseket valósít meg.
Modul 3: OWASP Top 10 LLM-k - Rész 2 (2 óra)
Témák:
LLM04: Adat és Modell Poisoning
- Tanító adatok manipulálási technikák.
- Modell viselkedés módosítása megmérzített bemenetek segítségével.
- Backdoor támadások és adatintegritás ellenőrzése.
- Elővédelem: Adatvalidációs folyamatok, eredet nyomon követése.
LLM05: Nem megfelelő Kimeneti Kezelés
- Biztonsági rések LLM által generált tartalom feldolgozásában.
- Kódinject támadások AI által generált kimeneteken keresztül.
- Cross-site scripting a rendszer válaszaival.
- Kimeneti validációs és tisztítási keretrendszerek.
Gyakorlati Feladat: Adatpoisoning támadások szimulálása és robust kimeneti validációs mechanizmusok implementálása.
Modul 4: Haladvány LLM Fenyegetések (1,5 óra)
Témák:
LLM06: Túlszabadság
- Autonóm döntéshozatali kockázatok és határvizsgálatok.
- Agent hitelesítése és jogosultság-kezelés.
- Váratlan rendszerszemlélet interakciók és engedélyek emelkedése.
- Rendszeres ellenőrzések és emberi felügyelet vezérlései implementálása.
LLM07: Rendszerszemlélet Kéréselemek Feltárása
- Rendszerszemlélet utasításai kitettségének biztonsági rései.
- Hitelesítő adatok és logika feltárása kéréselemeken keresztül.
- Rendszerszemlélet utasítások kitettségének támadási technikái.
- Rendszerszemlélet utasítások és külső konfiguráció biztonságossá tételének implementálása.
Gyakorlati Feladat: Biztonságos agent architektúrák tervezése megfelelő hozzáférés-vezérlőkkal és figyeléssel.
2. Nap: Haladvány Fenyegetések és Implementáció
Modul 5: Új AI Fenyegetések (2 óra)
Tanulási Célkitűzések:
- Értsük meg a legújabb AI biztonsági fenyegetéseket.
- Haladvány detektálási és elhárítási technikák implementálása.
- Biztonságos AI rendszerek tervezése haladvány támadások ellenére.
Témák:
LLM08: Vektor és Embedding Gyenge Helyzetek
- RAG rendszer biztonsági rései és vektor adatbázis biztonság.
- Embedding poisoning és hasonlóság manipulálás támadásai.
- Szemantikus keresésben ellenálló példák.
- Vektor adatbázis biztonságossá tételének és anomália detektálás implementálása.
LLM09: Helytelen Információ és Modell Megbízhatóság
- Hallucináció detektálása és mitigálása.
- Torzítás amplifikációja és egyenlőtlenség figyelembevételének szempontjai.
- Hitelesség ellenőrzése és forrás hitelesítés mechanizmusai.
- Tartalom validáció és emberi felügyelet integrálása.
LLM10: Korlátozatlan Fogyasztás
- Erőforrás-kiépülés és szolgáltatás-elfogadási támadások.
- Rate limiting és erőforráskezelési stratégiák.
- Költségoptimalizálás és költségvezérlési mechanizmusok.
- Teljesítményfigyelés és riasztási rendszerek.
Gyakorlati Feladat: Biztonságos RAG folyamat tervezése vektor adatbázis védelmével és hallucináció detektálással.
Modul 6: Agens AI Biztonság (2 óra)
Tanulási Célkitűzések:
- Értsük meg az autonóm AI agentek egyedi biztonsági kihívásait.
- Alkalmazzuk az OWASP Agens AI taxonómiát a valós rendszerekre.
- Biztonsági ellenőrzések implementálása többszörös agent környezetekben.
Témák:
- Bevezetés az Agens AI és autonóm rendszerekbe.
- OWASP Agens AI Threat Taxonomy: Agent Design, Memory, Planning, Tool Use, Deployment.
- Többszörös agent rendszer biztonsága és koordinációs kockázatok.
- Eszköz használata, memória megrétegítése és cél megnyilvánulás támadásai.
- Agent kommunikáció és döntési folyamatok biztonságossá tételének implementálása.
Gyakorlati Feladat: Fenyegetéscsoportosítási gyakorlat az OWASP Agens AI taxonómiát használva többszörös agent ügyfélkapcsolati rendszeren.
Modul 7: OWASP Threat Defense COMPASS Implementáció (2 óra)
Tanulási Célkitűzések:
- Tisztában legyen a Threat Defense COMPASS praktikumának alkalmazásával.
- Integrálja az AI fenyegetés-értékelést a szervezeti biztonságiprogramokba.
- Fejlesszen ki teljeskörű AI kockázatkezelési stratégiákat.
Témák:
- Mélyebb bepillantás a Threat Defense COMPASS metodológiába.
- OODA Loop integráció: Megfigyelés, Orientálás, Döntés, Cselekvés.
- Fenyegetések térképezése a MITRE ATT&CK és ATLAS keretrendszerekhez.
- AI fenyegetésellenes rezsimtervezési kivitelező panel létrehozása.
- Meglévő biztonságieszközök és folyamatok integrációja.
Gyakorlati Feladat: Teljes fenyegetés-értékelés a COMPASS segítségével Microsoft Copilot üzemelő példány szcenáriójában.
Modul 8: Praktikum és Legjobb Gyakorlatok (2,5 óra)
Tanulási Célkitűzések:
- Tervezze meg a biztonságos AI architektúrákat alapjól fogva.
- Implementálja az AI rendszerek figyelését és incidentkezelési folyamatát.
- Hozza létre a biztonsági szabályzatokat az AI biztonságához.
Témák:
Biztonságos AI Fejlesztési Kör:
- Biztonsági elvek az AI alkalmazások tervezésében.
- Kód átvizsgálás gyakorlati szabályozása LLM integrációknál.
- Tesztelési metodológiák és biztonságirendellenességek kivizsgálása.
- Üzembe helyezési biztonság és éles környezeti megteremtése.
Figyelés és Detektálás:
- AI-szpecifikus naplózás és figyelés követelményei.
- Anomália detektálás az AI rendszerekben.
- Incidentkezelési eljárások az AI biztonsági eseményekhez.
- Forensikai és vizsgáló technikák.
Szabályozás és Egyezménybetartás:
- AI kockázatkezelési keretrendszerek és politikák.
- Szabályozási betartás szempontjai (GDPR, AI Act stb.).
- Harmadik fél kockázatkezelése az AI-szállítóknál.
- Biztonsági tudatravasztozás a fejlesztői csapatok számára.
Gyakorlati Feladat: Teljes biztonságos architektúra tervezése vállalati AI chatbot számára, beleértve a figyelést, szabályozást és incidentkezelési eljárásokat.
Modul 9: Eszközök és Technológiák (1 óra)
Tanulási Célkitűzések:
- Értékelje és implementálja az AI biztonsági eszközöket.
- Ismerje meg a jelenlegi AI biztonság-megoldások ökoszisztémáját.
- Fejlesszen ki praktikus detektáló és elhárítási képességeket.
Témák:
- AI biztonsági eszközökről szóló ökoszisztéma és vállalati panoráma.
- Nyílt forráskódú biztonságieszközök: Garak, PyRIT, Giskard.
- Komerciális megoldások az AI biztonságra és figyelésre.
- Integrációs minták és üzembe helyezési stratégiák.
- Eszköz kiválasztási szempontok és értékelési keretrendszerek.
Gyakorlati Feladat: Gyakorlati demonstráció AI biztonságitesztelési eszközökön és implementálási tervtervezés.
Modul 10: Jövőbeli Tendenciák és Összefoglalás (1 óra)
Tanulási Célkitűzések:
- Értsük meg a kialakuló fenyegetéseket és a jövőbeli biztonsági kihívásokat.
- Fejlesszen ki folyamatos tanulási és fejlődési stratégiákat.
- Hozzon létre műveleti tervet a szervezet AI biztonságiprogramjaival.
Témák:
- Kialakuló fenyegetések: Deepfakes, haladvány kéréselem beillesztés, modell inversion.
- Jövőbeli OWASP GenAI projekt fejlesztések és útvonal.
- AI biztonsági közösségek és tudástár megépítése.
- Folyamatos fejlődés és fenyegetési intelligencia integrálása.
Műveleti Terv Gyakorlat: Kifejlesztesse egy 90 napos műveleti tervet az OWASP GenAI biztonsági gyakorlatok implementálásához a résztvevők szervezetében.
Követelmények
- Általános megértés a webalkalmazások biztonsági elveiről.
- Alapvető ismeretek AI/ML konceptusaival kapcsolatban.
- Biztonságossági keretrendszerek vagy kockázatértékelési metodológiák tapasztalata előnyben részesített.
Célcsoport
- Cyberbiztonsági szakemberek
- AI fejlesztők
- Rendszertervezők
- Egyezménybetartás-ügyintezők
- Biztonsági gyakorlatok végrehajtói
14 Órák
