AWS CISO: Bodite pozorni na to, kako AI uporablja vaše podatke

Podjetja vedno bolj sprejemajo generativno umetno inteligenco za avtomatizacijo procesov IT, odkrivanje varnostnih groženj in prevzemanje funkcij prve linije za pomoč strankam. An IBM-ova raziskava leta 2023 ugotovili, da 42 % velikih podjetij aktivno uporablja AI, nadaljnjih 40 % pa jih raziskuje ali eksperimentira z AI.

V neizogibnem presečišču AI in oblaka morajo podjetja razmišljati o tem, kako zavarovati orodja AI v oblaku. Oseba, ki je o tem veliko razmišljala, je Chris Betz, ki je lani avgusta postal CISO pri Amazon Web Services.

Pred AWS je bil Betz izvršni podpredsednik in CISO Capital One. Betz je delal tudi kot višji podpredsednik in glavni varnostnik pri Lumen Technologies ter v varnostnih vlogah pri Appleu, Microsoftu in CBS.

Dark Reading se je nedavno pogovarjal z Betzom o varnost delovnih obremenitev AI v oblaku. Sledi urejena različica tega pogovora.

Dark Reading: Kateri so nekateri veliki izzivi pri varovanju delovnih obremenitev AI v oblaku?

Chris Betz: Ko se z veliko našimi strankami pogovarjam o generativnem umetni inteligenci, se ti pogovori pogosto začnejo z: »Imam te res občutljive podatke in svojim strankam želim zagotoviti zmogljivost. Kako to storim na varen in zanesljiv način?« Resnično cenim ta pogovor, ker je tako pomembno, da se naše stranke osredotočijo na rezultat, ki ga želijo doseči.

Dark Reading: Kaj stranke najbolj skrbi?

Betz: Pogovor se mora začeti s konceptom, da so »vaši podatki vaši podatki«. Imamo veliko prednost v tem, da lahko nadgradim infrastrukturo IT, ki zelo dobro ohranja te podatke tam, kjer so. Prvi nasvet, ki ga dam, je: razumejte, kje so vaši podatki. Kako je zaščiten? Kako se uporablja v generativnem modelu AI?

Druga stvar, o kateri govorimo, je, da interakcije z generativnim modelom AI pogosto uporabljajo nekatere najbolj občutljive podatke strank. Ko vprašate generativni model umetne inteligence o določeni transakciji, boste uporabili informacije o ljudeh, ki sodelujejo v tej transakciji.

Temno branje: Ali podjetja skrbi, kaj umetna inteligenca počne z njihovimi internimi podatki podjetja in s podatki o strankah?

Betz: Stranke najbolj želijo uporabljati generativno umetno inteligenco v svojih interakcijah s svojimi strankami in pri rudarjenju ter izkoristiti ogromno količino podatkov, ki jih imajo interno, in omogočiti, da deluje bodisi za notranje zaposlene bodisi za njihove stranke. Za podjetja je tako pomembno, da s temi neverjetno občutljivimi podatki upravljajo na varen in varen način, saj je to življenjska sila njihovih podjetij.

Podjetja morajo razmišljati o tem, kje so njihovi podatki in kako so zaščiteni, ko dajejo pozive umetni inteligenci in ko prejemajo odgovore.

Temno branje: Ali sta kakovost odgovorov in varnost podatkov povezani?

Betz: Uporabniki umetne inteligence morajo vedno razmišljati o tem, ali dobivajo kakovostne odgovore. Razlog za varnost je, da ljudje zaupajo svojim računalniškim sistemom. Če sestavljate ta zapleten sistem, ki uporablja generativni model umetne inteligence, da nekaj dostavi stranki, mora stranka zaupati, da ji umetna inteligenca daje prave informacije, na podlagi katerih lahko ukrepa, in da ščiti njene podatke.

Temno branje: Ali obstajajo posebni načini, na katere lahko AWS deli informacije o tem, kako ščiti pred napadi na AI v oblaku? Razmišljam o takojšnjem injiciranju, napadih zastrupitve, kontradiktornih napadih, podobnih stvareh.

Betz: Z že vzpostavljenimi močnimi temelji je bil AWS dobro pripravljen, da se spopade z izzivom, saj že leta delamo z umetno inteligenco. Imamo veliko notranjih rešitev umetne inteligence in številne storitve, ki jih ponujamo neposredno našim strankam, varnost pa je bila glavni dejavnik pri razvoju teh rešitev. To je tisto, po čemer naše stranke sprašujejo in to pričakujejo.

Kot eden največjih ponudnikov oblakov imamo širok vpogled v razvijajoče se varnostne potrebe po vsem svetu. Obveščevalne informacije o grožnjah, ki jih zajamemo, se združijo in uporabijo za razvoj uporabnih vpogledov, ki se uporabljajo v orodjih in storitvah za stranke, kot je npr. GuardDuty. Poleg tega se naše obveščanje o grožnjah uporablja za ustvarjanje avtomatiziranih varnostnih dejanj v imenu strank, da so njihovi podatki varni.

Temno branje: veliko smo slišali o ponudnikih kibernetske varnosti, ki uporabljajo umetno inteligenco in strojno učenje za odkrivanje groženj z iskanjem nenavadnega vedenja v svojih sistemih. Na katere druge načine podjetja uporabljajo AI za zaščito?

Betz: Videl sem stranke, ki počnejo nekaj neverjetnih stvari z generativno umetno inteligenco. Videli smo, kako izkoriščajo CodeWhisperer [AWS-jev generator kode, ki ga poganja AI] za hitro izdelavo prototipov in razvoj tehnologij. Videl sem, da ekipe uporabljajo CodeWhisperer, da si pomagajo zgradite varno kodo in zagotoviti, da bomo obravnavali vrzeli v kodi.

Izdelali smo tudi generativne rešitve AI, ki so v stiku z nekaterimi našimi notranjimi varnostnimi sistemi. Kot si lahko predstavljate, se številne varnostne ekipe ukvarjajo z ogromnimi količinami informacij. Generativna umetna inteligenca omogoča sintezo teh podatkov, tako da so zelo uporabni tako graditelji kot varnostne ekipe, da razumejo, kaj se dogaja v sistemih, postavijo boljša vprašanja in zberejo te podatke.

Ko sem začel razmišljati o pomanjkanje talentov za kibernetsko varnostgenerativna umetna inteligenca danes ne pomaga samo izboljšati hitrost razvoja programske opreme in izboljšati varno kodiranje, ampak pomaga tudi pri združevanju podatkov. Še naprej nam bo pomagalo, ker krepi naše človeške sposobnosti. Umetna inteligenca nam pomaga združiti informacije za reševanje zapletenih problemov in pomaga posredovati podatke varnostnim inženirjem in analitikom, da lahko začnejo postavljati boljša vprašanja.

Temno branje: Ali vidite kakšne varnostne grožnje, ki so specifične za AI in oblak?

Betz: Veliko časa sem preživel z varnostnimi raziskovalci, ko smo preučevali vrhunske generativne napade umetne inteligence in kako nanje gledajo napadalci. V tem prostoru razmišljam o dveh vrstah stvari. Prvi razred je, da vidimo zlonamerne akterje, ki začenjajo uporabljati generativni AI, da postanejo hitrejši in boljši pri tem, kar že počnejo. Primer tega je vsebina socialnega inženiringa.

Napadalci uporabljajo tudi tehnologijo umetne inteligence za hitrejše pisanje kode. To je zelo podobno, kjer je obramba. Delno moč te tehnologije je, da poenostavi vrsto dejavnosti, kar velja za napadalce, a zelo velja tudi za branilce.

Drugo področje, na katerega opažam, da so raziskovalci začeli bolj gledati, je dejstvo, da so ti generativni modeli AI koda. Tako kot druge kode so dovzetne za slabosti. Pomembno je, da razumemo, kako jih zavarovati in zagotoviti, da obstajajo v okolju, ki ima obrambo.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cloud-security/aws-ciso-cloud-customers-need-secure-ai-workloads