AWS CISO: Vær opmærksom på, hvordan AI bruger dine data

Virksomheder anvender i stigende grad generativ kunstig intelligens til at automatisere it-processer, opdage sikkerhedstrusler og overtage frontlinjekundeservicefunktioner. An IBM-undersøgelse i 2023 fandt, at 42 % af de store virksomheder aktivt brugte kunstig intelligens, og yderligere 40 % udforskede eller eksperimenterede med kunstig intelligens.

I det uundgåelige skæringspunkt mellem AI og cloud skal virksomheder tænke over, hvordan de sikrer AI-værktøjer i skyen. En person, der har tænkt meget over dette, er Chris Betz, som blev CISO hos Amazon Web Services i august sidste år.

Før AWS var Betz executive vice president og CISO for Capital One. Betz arbejdede også som senior vicepræsident og sikkerhedschef hos Lumen Technologies og i sikkerhedsroller hos Apple, Microsoft og CBS.

Dark Reading talte for nylig med Betz om sikkerhed for AI-arbejdsbelastninger i skyen. En redigeret version af den samtale følger.

Dark Reading: Hvad er nogle af de store udfordringer med at sikre AI-arbejdsbelastninger i skyen?

Chris Betz: Når jeg taler med mange af vores kunder om generativ AI, starter disse samtaler ofte med: "Jeg har disse virkelig følsomme data, og jeg søger at levere en kapacitet til mine kunder. Hvordan gør jeg det på en sikker måde?” Jeg sætter stor pris på den samtale, fordi det er så vigtigt, at vores kunder fokuserer på det resultat, de forsøger at opnå.

Mørk læsning: Hvad er kunderne mest bekymrede for?

Betz: Samtalen skal starte med konceptet, at "dine data er dine data." Vi har en stor fordel ved, at jeg kommer til at bygge oven på IT-infrastruktur, der gør et rigtig godt stykke arbejde med at holde de data, hvor de er. Så det første råd, jeg giver, er: Forstå, hvor dine data er. Hvordan bliver det beskyttet? Hvordan bruges det i den generative AI-model?

Den anden ting vi taler om er, at interaktionerne med en generativ AI-model ofte bruger nogle af deres kunders mest følsomme data. Når du spørger en generativ AI-model om en specifik transaktion, vil du bruge information om de personer, der er involveret i den transaktion.

Dark Reading: Er virksomheder bekymrede både for, hvad AI gør med deres interne virksomhedsdata og med kundedata?

Betz: Kunderne ønsker mest at bruge generativ kunstig intelligens i deres interaktioner med deres kunder og i minedrift og udnyttelse af den enorme mængde data, de har internt, og få det til at fungere for enten interne medarbejdere eller for deres kunder. Det er så vigtigt for virksomhederne, at de administrerer de utroligt følsomme data på en sikker og sikker måde, fordi det er livsnerven i deres virksomheder.

Virksomheder skal tænke over, hvor deres data er, og hvordan de er beskyttet, når de giver AI-prompter, og hvornår de får svar tilbage.

Mørk læsning: Er kvaliteten af ​​svarene og datasikkerheden relateret?

Betz: AI-brugere skal altid tænke over, om de får kvalitetssvar. Grunden til sikkerhed er, at folk kan stole på deres computersystemer. Hvis du sammensætter dette komplekse system, der bruger en generativ AI-model til at levere noget til kunden, har du brug for, at kunden stoler på, at AI'en giver dem den rigtige information at handle på, og at den beskytter deres information.

Mørk læsning: Er der specifikke måder, som AWS kan dele om, hvordan den beskytter mod angreb på AI i skyen? Jeg tænker på hurtig indsprøjtning, forgiftningsangreb, modstridende angreb, den slags.

Betz: Med et stærkt fundament allerede på plads, var AWS godt forberedt til at tage udfordringen op, da vi har arbejdet med kunstig intelligens i årevis. Vi har en lang række interne AI-løsninger og en række tjenester, vi tilbyder direkte til vores kunder, og sikkerhed har været en stor overvejelse i, hvordan vi udvikler disse løsninger. Det er det, vores kunder spørger om, og det er det, de forventer.

Som en af ​​de største cloud-udbydere har vi bred indsigt i skiftende sikkerhedsbehov over hele kloden. Den trusselsintelligens, vi fanger, aggregeres og bruges til at udvikle handlingsorienteret indsigt, der bruges inden for kundeværktøjer og -tjenester som f.eks. Vagtpligt. Derudover bruges vores trusselsintelligens til at generere automatiserede sikkerhedshandlinger på vegne af kunder for at holde deres data sikre.

Dark Reading: Vi har hørt meget om cybersikkerhedsleverandører, der bruger AI og maskinlæring til at opdage trusler ved at lede efter usædvanlig adfærd på deres systemer. Hvad er andre måder, virksomheder bruger kunstig intelligens på til at hjælpe med at sikre sig selv?

Betz: Jeg har set kunder gøre nogle fantastiske ting med generativ kunstig intelligens. Vi har set dem udnytte CodeWhisperer [AWS' AI-drevne kodegenerator] til hurtigt at prototype og udvikle teknologier. Jeg har set hold bruge CodeWhisperer til at hjælpe dem bygge sikker kode og sikre, at vi håndterer huller i koden.

Vi byggede også generative AI-løsninger, der er i kontakt med nogle af vores interne sikkerhedssystemer. Som du kan forestille dig, håndterer mange sikkerhedsteam enorme mængder information. Generativ AI tillader en syntese af disse data for at gøre det meget anvendeligt af både bygherrer og sikkerhedsteams til at forstå, hvad der foregår i systemerne, stille bedre spørgsmål og trække disse data sammen.

Da jeg begyndte at tænke på mangel på talent for cybersikkerhedGenerativ kunstig intelligens hjælper ikke kun i dag med at forbedre hastigheden af ​​softwareudvikling og forbedre sikker kodning, men hjælper også med at samle data. Det vil fortsætte med at hjælpe os, fordi det forstærker vores menneskelige evner. AI hjælper os med at samle information for at løse komplekse problemer og hjælper med at bringe dataene til sikkerhedsingeniørerne og analytikerne, så de kan begynde at stille bedre spørgsmål.

Mørk læsning: Ser du nogen sikkerhedstrusler, der er specifikke for AI og skyen?

Betz: Jeg har brugt meget tid sammen med sikkerhedsforskere på at se på avancerede generative AI-angreb, og hvordan angribere ser på det. Der er to klasser af ting, jeg tænker på i dette rum. Den første klasse er, at vi ser ondsindede aktører begynde at bruge generativ AI for at blive hurtigere og bedre til det, de allerede gør. Social engineering indhold er et eksempel på dette.

Angribere bruger også AI-teknologi til at hjælpe med at skrive kode hurtigere. Det minder meget om, hvor forsvaret er. En del af styrken ved denne teknologi er, at den gør en klasse af aktiviteter lettere, og det er sandt for angribere, men det er også meget sandt for forsvarere.

Det andet område, som jeg ser, at forskere begynder at se mere på, er det faktum, at disse generative AI-modeller er kode. Som andre koder er de modtagelige for at have svagheder. Det er vigtigt, at vi forstår, hvordan vi sikrer dem og sikrer, at de eksisterer i et miljø, der har forsvar.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cloud-security/aws-ciso-cloud-customers-need-secure-ai-workloads