AWS CISO: Var uppmärksam på hur AI använder dina data

AWS CISO: Var uppmärksam på hur AI använder dina data

Tidsstämpel: 22 mars 2024 4:00
AWS CISO: Var uppmärksam på hur AI använder dina data PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.

Företag använder alltmer generativ AI för att automatisera IT-processer, upptäcka säkerhetshot och ta över kundtjänstfunktioner i frontlinjen. En IBM-undersökning 2023 fann att 42 % av de stora företagen aktivt använde AI, och ytterligare 40 % utforskade eller experimenterade med AI.

I den oundvikliga skärningspunkten mellan AI och moln måste företag tänka på hur man säkrar AI-verktyg i molnet. En person som har tänkt mycket på detta är Chris Betz, som blev CISO på Amazon Web Services i augusti förra året.

Innan AWS var Betz vice vd och CISO för Capital One. Betz arbetade också som senior vice president och säkerhetschef på Lumen Technologies och i säkerhetsroller på Apple, Microsoft och CBS.

Dark Reading pratade nyligen med Betz om säkerhet för AI-arbetsbelastningar i molnet. En redigerad version av den konversationen följer.

Dark Reading: Vilka är några av de stora utmaningarna med att säkra AI-arbetsbelastningar i molnet?

Chris Betz: När jag pratar med många av våra kunder om generativ AI, börjar dessa samtal ofta med: "Jag har den här riktigt känsliga informationen och jag vill leverera en förmåga till mina kunder. Hur gör jag det på ett säkert och säkert sätt?” Jag uppskattar verkligen det samtalet eftersom det är så viktigt att våra kunder fokuserar på det resultat som de försöker uppnå.

Mörk läsning: Vad är kunderna mest oroliga för?

Betz: Konversationen måste börja med konceptet att "din data är din data." Vi har en stor fördel i att jag får bygga ovanpå IT-infrastruktur som gör ett riktigt bra jobb med att hålla den datan där den finns. Så det första rådet jag ger är: Förstå var din data finns. Hur skyddas det? Hur används det i den generativa AI-modellen?

Det andra vi pratar om är att interaktionerna med en generativ AI-modell ofta använder några av deras kunders mest känsliga data. När du frågar en generativ AI-modell om en specifik transaktion kommer du att använda information om personerna som är involverade i den transaktionen.

Dark Reading: Är företag oroliga både för vad AI gör med deras interna företagsdata och med kunddata?

Betz: Kunderna vill mest använda generativ AI i sin interaktion med sina kunder och i gruvdrift och dra fördel av den enorma mängd data som de har internt och få det att fungera för antingen interna anställda eller för deras kunder. Det är så viktigt för företagen att de hanterar den där otroligt känsliga informationen på ett säkert och säkert sätt eftersom det är livsnerven i deras företag.

Företag måste tänka på var deras data finns och hur den skyddas när de ger AI-uppmaningar och när de får svar tillbaka.

Mörk läsning: Är kvaliteten på svaren och datasäkerheten relaterade?

Betz: AI-användare måste alltid tänka på om de får kvalitetssvar. Anledningen till säkerheten är att människor ska lita på sina datorsystem. Om du sätter ihop detta komplexa system som använder en generativ AI-modell för att leverera något till kunden, måste du lita på att AI:n ger dem rätt information att agera på och att den skyddar deras information.

Dark Reading: Finns det specifika sätt som AWS kan dela om hur det skyddar mot attacker på AI i molnet? Jag funderar på omedelbar injektion, förgiftningsattacker, motståndsattacker, sånt.

Betz: Med en stark grund redan på plats var AWS väl förberedd för att ta sig an utmaningen eftersom vi har arbetat med AI i flera år. Vi har ett stort antal interna AI-lösningar och ett antal tjänster vi erbjuder direkt till våra kunder, och säkerhet har varit en viktig faktor i hur vi utvecklar dessa lösningar. Det är vad våra kunder frågar om, och det är vad de förväntar sig.

Som en av de största molnleverantörerna har vi bred insyn i förändrade säkerhetsbehov över hela världen. Hotintelligensen vi fångar in aggregeras och används för att utveckla handlingsbara insikter som används inom kundverktyg och tjänster som t.ex. GuardDuty. Dessutom används vår hotintelligens för att generera automatiserade säkerhetsåtgärder på uppdrag av kunder för att hålla deras data säker.

Dark Reading: Vi har hört mycket om cybersäkerhetsleverantörer som använder AI och maskininlärning för att upptäcka hot genom att leta efter ovanligt beteende på deras system. På vilka andra sätt använder företag AI för att säkra sig själva?

Betz: Jag har sett kunder göra fantastiska saker med generativ AI. Vi har sett dem dra nytta av CodeWhisperer [AWS AI-drivna kodgenerator] för att snabbt prototyper och utveckla teknologier. Jag har sett team använda CodeWhisperer för att hjälpa dem bygga säker kod och se till att vi hanterar luckor i koden.

Vi byggde också generativa AI-lösningar som är i kontakt med några av våra interna säkerhetssystem. Som du kan föreställa dig hanterar många säkerhetsteam enorma mängder information. Generativ AI tillåter en syntes av denna data för att göra den mycket användbar av både byggare och säkerhetsteam för att förstå vad som händer i systemen, ställ bättre frågor och dra ihop dessa data.

När jag började tänka på brist på talang inom cybersäkerhet, generativ AI hjälper inte bara idag till att förbättra hastigheten för mjukvaruutveckling och förbättra säker kodning, utan hjälper också till att aggregera data. Det kommer att fortsätta att hjälpa oss eftersom det förstärker våra mänskliga förmågor. AI hjälper oss att samla information för att lösa komplexa problem och hjälper till att föra data till säkerhetsingenjörer och analytiker så att de kan börja ställa bättre frågor.

Mörk läsning: Ser du några säkerhetshot som är specifika för AI och molnet?

Betz: Jag har spenderat mycket tid med säkerhetsforskare på att titta på banbrytande generativa AI-attacker och hur angripare ser på det. Det finns två klasser av saker som jag tänker på i det här utrymmet. Den första klassen är att vi ser illvilliga aktörer som börjar använda generativ AI för att bli snabbare och bättre på det de redan gör. Socialt ingenjörsinnehåll är ett exempel på detta.

Angripare använder också AI-teknik för att hjälpa till att skriva kod snabbare. Det är väldigt likt där försvaret är. En del av kraften med denna teknik är att den gör en klass av aktiviteter lättare, och det är sant för angripare, men det är också mycket sant för försvarare.

Det andra området som jag ser forskare börja titta på mer är det faktum att dessa generativa AI-modeller är kod. Liksom annan kod är de mottagliga för att ha svagheter. Det är viktigt att vi förstår hur man säkrar dem och ser till att de finns i en miljö som har försvar.

Tidsstämpel:

Mer från Mörk läsning