AWS CISO: Vær oppmerksom på hvordan AI bruker dataene dine

AWS CISO: Vær oppmerksom på hvordan AI bruker dataene dine

Tidsstempel: 22. mars 2024 4:00
AWS CISO: Vær oppmerksom på hvordan AI bruker dataene dine PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.

Bedrifter tar i økende grad i bruk generativ AI for å automatisere IT-prosesser, oppdage sikkerhetstrusler og ta over kundeservicefunksjoner i frontlinjen. An IBM-undersøkelse i 2023 fant at 42 % av store bedrifter brukte AI aktivt, og ytterligere 40 % utforsket eller eksperimenterte med AI.

I det uunngåelige skjæringspunktet mellom AI og sky, må bedrifter tenke på hvordan de kan sikre AI-verktøy i skyen. En person som har tenkt mye på dette er Chris Betz, som ble CISO hos Amazon Web Services i august i fjor.

Før AWS var Betz konserndirektør og CISO i Capital One. Betz jobbet også som senior visepresident og sikkerhetssjef i Lumen Technologies og i sikkerhetsroller hos Apple, Microsoft og CBS.

Dark Reading snakket nylig med Betz om sikkerhet for AI-arbeidsbelastninger i skyen. En redigert versjon av den samtalen følger.

Dark Reading: Hva er noen av de store utfordringene med å sikre AI-arbeidsbelastninger i skyen?

Chris Betz: Når jeg snakker med mange av kundene våre om generativ kunstig intelligens, starter disse samtalene ofte med: «Jeg har disse veldig sensitive dataene, og jeg ser etter å levere en evne til kundene mine. Hvordan gjør jeg det på en trygg og sikker måte?" Jeg setter stor pris på den samtalen fordi det er så viktig at kundene våre fokuserer på resultatet de prøver å oppnå.

Dark Reading: Hva er kundene mest bekymret for?

Betz: Samtalen må starte med konseptet om at "dataene dine er dine data." Vi har en stor fordel ved at jeg får bygge på toppen av IT-infrastruktur som gjør en veldig god jobb med å holde dataene der de er. Så det første rådet jeg gir er: Forstå hvor dataene dine er. Hvordan beskyttes det? Hvordan brukes det i den generative AI-modellen?

Det andre vi snakker om er at interaksjonene med en generativ AI-modell ofte bruker noen av kundenes mest sensitive data. Når du spør en generativ AI-modell om en spesifikk transaksjon, kommer du til å bruke informasjon om personene som er involvert i den transaksjonen.

Dark Reading: Er bedrifter bekymret både for hva AI gjør med deres interne bedriftsdata og med kundedata?

Betz: Kundene ønsker mest å bruke generativ AI i interaksjonen med kundene sine og i gruvedrift og utnytte den enorme mengden data de har internt og få det til å fungere for enten interne ansatte eller for kundene deres. Det er så viktig for selskapene at de administrerer disse utrolig sensitive dataene på en trygg og sikker måte fordi det er livsnerven i virksomhetene deres.

Bedrifter må tenke på hvor dataene deres er og hvordan de er beskyttet når de gir AI-oppfordringer og når de får svar tilbake.

Dark Reading: Er kvaliteten på svarene og sikkerheten til dataene relatert?

Betz: AI-brukere må alltid tenke på om de får kvalitetssvar. Grunnen til sikkerhet er at folk skal stole på datasystemene sine. Hvis du setter sammen dette komplekse systemet som bruker en generativ AI-modell for å levere noe til kunden, må du stole på at AI-en gir dem riktig informasjon å handle på, og at den beskytter informasjonen deres.

Dark Reading: Er det spesifikke måter AWS kan dele om hvordan den beskytter mot angrep på AI i skyen? Jeg tenker på umiddelbar injeksjon, forgiftningsangrep, motstridende angrep, den slags.

Betz: Med et sterkt grunnlag allerede på plass, var AWS godt forberedt til å ta utfordringen ettersom vi har jobbet med AI i årevis. Vi har et stort antall interne AI-løsninger og en rekke tjenester vi tilbyr direkte til våre kunder, og sikkerhet har vært en stor faktor i hvordan vi utvikler disse løsningene. Det er det kundene våre spør om, og det er det de forventer.

Som en av de største skyleverandørene har vi bred innsyn i skiftende sikkerhetsbehov over hele verden. Trusselintelligensen vi fanger opp samles og brukes til å utvikle handlingskraftig innsikt som brukes innenfor kundeverktøy og tjenester som f.eks. GuardDuty. I tillegg brukes vår trusselintelligens til å generere automatiserte sikkerhetshandlinger på vegne av kunder for å holde dataene deres sikre.

Dark Reading: Vi har hørt mye om cybersikkerhetsleverandører som bruker AI og maskinlæring for å oppdage trusler ved å se etter uvanlig oppførsel på systemene deres. Hva er andre måter selskaper bruker AI på for å sikre seg selv?

Betz: Jeg har sett kunder gjøre noen fantastiske ting med generativ AI. Vi har sett dem dra nytte av CodeWhisperer [AWS' AI-drevne kodegenerator] for raskt å prototyper og utvikle teknologier. Jeg har sett team bruke CodeWhisperer for å hjelpe dem bygge sikker kode og sikre at vi håndterer hull i koden.

Vi bygde også generative AI-løsninger som er i kontakt med noen av våre interne sikkerhetssystemer. Som du kan forestille deg, håndterer mange sikkerhetsteam enorme mengder informasjon. Generativ AI tillater en syntese av disse dataene for å gjøre den veldig anvendelig av både byggherrer og sikkerhetsteam for å forstå hva som skjer i systemene, stille bedre spørsmål og samle disse dataene.

Da jeg begynte å tenke på mangel på talent for cybersikkerhet, generativ AI bidrar ikke bare i dag til å forbedre hastigheten på programvareutvikling og forbedre sikker koding, men hjelper også med å samle data. Det kommer til å fortsette å hjelpe oss fordi det forsterker våre menneskelige evner. AI hjelper oss å samle informasjon for å løse komplekse problemer og hjelper oss med å bringe dataene til sikkerhetsingeniørene og analytikerne slik at de kan begynne å stille bedre spørsmål.

Dark Reading: Ser du noen sikkerhetstrusler som er spesifikke for AI og skyen?

Betz: Jeg har brukt mye tid med sikkerhetsforskere på å se på banebrytende generative AI-angrep og hvordan angripere ser på det. Det er to klasser av ting jeg tenker på i dette rommet. Den første klassen er at vi ser at ondsinnede aktører begynner å bruke generativ AI for å bli raskere og bedre på det de allerede gjør. Sosialteknisk innhold er et eksempel på dette.

Angripere bruker også AI-teknologi for å hjelpe til med å skrive kode raskere. Det er veldig likt der forsvaret er. En del av kraften til denne teknologien er at den gjør en klasse med aktiviteter enklere, og det er sant for angripere, men det er også veldig sant for forsvarere.

Det andre området jeg ser at forskere begynner å se mer på, er det faktum at disse generative AI-modellene er kode. Som annen kode er de utsatt for svakheter. Det er viktig at vi forstår hvordan vi kan sikre dem og sørge for at de eksisterer i et miljø som har forsvar.

Tidstempel:

Mer fra Mørk lesning