AWS CISO: Зверніть увагу на те, як ШІ використовує ваші дані

Підприємства все частіше використовують генеративний штучний інтелект для автоматизації ІТ-процесів, виявлення загроз безпеці та виконання функцій обслуговування клієнтів. Ан Опитування IBM у 2023 році виявили, що 42% великих підприємств активно використовують ШІ, а ще 40% вивчають або експериментують із ШІ.

В умовах неминучого перетину штучного інтелекту та хмари підприємствам потрібно думати про те, як захистити інструменти ШІ в хмарі. Однією людиною, яка багато думав про це, є Кріс Бетц, який у серпні минулого року став CISO в Amazon Web Services.

До AWS Бетц був виконавчим віце-президентом і директором з інформаційних технологій Capital One. Бетц також працював старшим віце-президентом і головним спеціалістом з безпеки в Lumen Technologies і обіймав посади безпеки в Apple, Microsoft і CBS.

Dark Reading нещодавно розмовляв із Betz про безпека робочих навантажень ШІ в хмарі. Нижче наведено відредаговану версію цієї розмови.

Темне читання: які великі труднощі виникають із захистом робочих навантажень AI у хмарі?

Кріс Бетц: Коли я говорю з багатьма нашими клієнтами про генеративний штучний інтелект, ці розмови часто починаються з: «У мене є справді конфіденційні дані, і я хочу надати можливість своїм клієнтам. Як це зробити безпечним і безпечним способом?» Я дуже ціную цю розмову, тому що дуже важливо, щоб наші клієнти зосередилися на результаті, якого вони намагаються досягти.

Dark Reading: Що найбільше хвилює клієнтів?

Бетц: Розмову потрібно починати з концепції «ваші дані – це ваші дані». Ми маємо велику перевагу в тому, що я буду надбудовувати ІТ-інфраструктуру, яка справді добре справляється зі збереженням даних там, де вони є. Тому перша порада, яку я даю: зрозумійте, де знаходяться ваші дані. Як це захищається? Як це використовується в генеративній моделі ШІ?

Друге, про що ми говоримо, це те, що взаємодія з генеративною моделлю ШІ часто використовує деякі з найбільш конфіденційних даних їхніх клієнтів. Коли ви запитуєте генеративну модель ШІ про конкретну транзакцію, ви збираєтеся використовувати інформацію про людей, які беруть участь у цій транзакції.

Похмуре читання: Чи турбуються підприємства про те, що штучний інтелект робить із внутрішніми даними їхніх компаній і даними клієнтів?

Бетц: Клієнти найбільше хочуть використовувати генеративний штучний інтелект у своїй взаємодії зі своїми клієнтами та в видобутку корисних копалин, використовуючи переваги величезної кількості даних, якими вони володіють усередині, і змусити їх працювати як для внутрішніх співробітників, так і для їхніх клієнтів. Для компаній дуже важливо, щоб вони керували цими неймовірно конфіденційними даними безпечним і захищеним способом, оскільки це джерело життя їхнього бізнесу.

Компанії повинні думати про те, де знаходяться їхні дані та про те, як вони захищені, коли вони надсилають підказки ШІ та коли отримують відповіді.

Темне читання: чи пов’язані між собою якість відповідей і безпека даних?

Бетц: Користувачам ШІ завжди потрібно думати про те, чи отримують вони якісні відповіді. Причина безпеки полягає в тому, щоб люди довіряли своїм комп’ютерним системам. Якщо ви збираєте цю складну систему, яка використовує генеративну модель штучного інтелекту, щоб надати щось клієнту, вам потрібно, щоб клієнт вірив, що штучний інтелект надає йому правильну інформацію, на основі якої він може діяти, і що він захищає його інформацію.

Темне читання: чи існують конкретні способи, якими AWS може поділитися інформацією про те, як він захищає від атак на ШІ в хмарі? Я думаю про негайну ін’єкцію, атаки отруєння, атаки суперництва тощо.

Бетц: Маючи міцну основу, AWS була добре підготовлена, щоб впоратися з викликом, оскільки ми працювали з ШІ роками. У нас є велика кількість внутрішніх рішень штучного інтелекту та низка послуг, які ми пропонуємо безпосередньо нашим клієнтам, і безпека була головною увагою при розробці цих рішень. Це те, про що запитують наші клієнти, і це те, чого вони очікують.

Як один із найбільших хмарних провайдерів, ми маємо широке бачення потреб у безпеці, що розвиваються, у всьому світі. Отримані нами дані про загрози агрегуються та використовуються для розробки ефективної інформації, яка використовується в інструментах і службах клієнтів, таких як Охорона. Крім того, наші дані про загрози використовуються для створення автоматизованих дій безпеки від імені клієнтів, щоб забезпечити безпеку їхніх даних.

Темне читання: ми багато чули про постачальників засобів кібербезпеки, які використовують ШІ та машинне навчання для виявлення загроз шляхом пошуку незвичайної поведінки в своїх системах. Якими ще способами компанії використовують штучний інтелект для захисту?

Бетц: Я бачив, як клієнти роблять дивовижні речі за допомогою генеративного ШІ. Ми бачили, як вони користуються перевагами CodeWhisperer [генератор коду AWS на основі штучного інтелекту] для швидкого прототипування та розробки технологій. Я бачив, як команди використовували CodeWhisperer, щоб допомогти їм створити безпечний код і переконайтеся, що ми маємо справу з прогалинами в коді.

Ми також створили генеративні рішення ШІ, які пов’язані з деякими нашими внутрішніми системами безпеки. Як ви можете собі уявити, багато груп безпеки мають справу з величезними обсягами інформації. Generative AI дозволяє синтезувати ці дані, щоб зробити їх дуже зручними як для розробників, так і для команд безпеки, щоб зрозуміти, що відбувається в системах, поставити кращі запитання та об’єднати ці дані.

Коли я почав думати про дефіцит спеціалістів із кібербезпекигенеративний штучний інтелект сьогодні не тільки допомагає підвищити швидкість розробки програмного забезпечення та вдосконалити безпечне кодування, але й допомагає агрегувати дані. Це й надалі допомагатиме нам, оскільки розширює наші людські здібності. Штучний інтелект допомагає нам об’єднувати інформацію для вирішення складних проблем і передавати дані інженерам із безпеки та аналітикам, щоб вони могли краще ставити запитання.

Темне читання: чи бачите ви якісь загрози безпеці, характерні для ШІ та хмари?

Бетц: Я провів багато часу з дослідниками безпеки, вивчаючи передові генеративні атаки ШІ та те, як на це дивляться зловмисники. У цьому просторі я думаю про два класи речей. Перший клас полягає в тому, що ми бачимо, як зловмисники починають використовувати генеративний штучний інтелект, щоб швидше та краще виконувати те, що вони вже роблять. Контент соціальної інженерії є прикладом цього.

Зловмисники також використовують технологію ШІ, щоб допомогти швидше писати код. Це дуже схоже на те, де знаходиться захист. Частково потужність цієї технології полягає в тому, що вона полегшує клас дій, і це справедливо для зловмисників, але це також дуже вірно для захисників.

Інша сфера, на яку дослідники починають більше звертати увагу, це той факт, що ці генеративні моделі ШІ є кодом. Як і інший код, вони схильні до слабких місць. Важливо, щоб ми розуміли, як захистити їх і переконатися, що вони існують у середовищі, яке має захист.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cloud-security/aws-ciso-cloud-customers-need-secure-ai-workloads