为了在新时代蓬勃发(fā)展,企业安全(quán)需要减少人工智能带来的风险(xiǎn),并(bìng)充分利(lì)用它(tā)提供的机会。
portant;" />
人工(gōng)智能(AI)正(zhèng)在(zài)创造信息(xī)安全(quán)的新领(lǐng)域。能够独立学习(xí)、推理和(hé)行动的系统将越来越(yuè)多地复制人类的行为。就像人类一样,他们也会有缺陷,但也有能(néng)力(lì)取得伟大的成就。
人工智能(néng)带来了(le)新的信息风(fēng)险,并使(shǐ)一些现有风险更加(jiā)危险。但是,它(tā)也可(kě)以永久使用,并(bìng)且应该成为每个组织防御(yù)性武(wǔ)器库中的关键部分。业务和信息安全领导者都(dōu)必(bì)须在接受(shòu)即(jí)将成为日(rì)常业务中至(zhì)关重(chóng)要的技术之前(qián),先了解风险和(hé)机遇。
人工智能已经(jīng)在许多主(zhǔ)流业务用例中找到了自己的方式。组织(zhī)使用(yòng)AI的(de)变体来支持客户服务,人力(lì)资源(yuán)和银行欺诈(zhà)检测等领域的(de)流程。但是,这种炒作可能导致人们(men)对AI的真正含义及其对业务和安全的真(zhēn)正含义感到(dào)困惑(huò)和怀疑。很(hěn)难将一厢(xiāng)情愿的想法与现(xiàn)实分开。
人工智能带来(lái)的信息(xī)风险是(shì)什么?
随着组织采用(yòng)AI系统,它们对于日常(cháng)业务运营(yíng)将变得越来(lái)越重要。一些组织已经拥有或将拥有完(wán)全依赖AI技术的业务模型。无论组(zǔ)织使用了AI的哪些功能,这(zhè)样的(de)系统和支持AI的信息都会存在固有的漏洞,并且(qiě)受到意外和对抗性风险的威(wēi)胁。受(shòu)损的AI系统将做出错误的决策并产生意外的结果。
同时,组织开始面临复杂的基于(yú)AI的攻击,这些攻击(jī)有可能以前所未有(yǒu)的(de)速度和规模破坏信息并造成严重的业务影响。采取(qǔ)措施保护内部AI系统(tǒng)并防御外部AI威胁,对于降低信息风险至关重要。
尽管组织采用(yòng)的AI系统提供了诱人(rén)的目标,但对抗性(xìng)攻(gōng)击(jī)者(zhě)也(yě)开始将AI用(yòng)于自己的攻击。AI是一种功能强大(dà)的工具,可(kě)用(yòng)来增强攻击(jī)技术,甚至创建(jiàn)全(quán)新(xīn)的(de)攻击技术。组(zǔ)织(zhī)必(bì)须准备好调整防(fáng)御措(cuò)施,以应对基于AI的网络攻击的规模和复杂性。
人(rén)工智能提供的防御性机会
安(ān)全从业(yè)者总是(shì)在努力跟上攻击者使用(yòng)的方法,而AI系统至少可以通过(guò)显著增强各(gè)种防御机制(zhì)来(lái)提供短期的能力提升。AI可以将(jiāng)大量任务自动化(huà),帮助人手不足的安全部(bù)门填补(bǔ)专(zhuān)业技能缺口,提高从业人员的效率。
为了保护自己免受现有威胁,AI可以让防御者领先一步(bù)。然而(ér),对手并不是静止不(bú)动的——随着支(zhī)持AI的威胁变得越来越复杂,安全从(cóng)业者(zhě)将需要使用AI支(zhī)持的防御来跟上形势。
在应对威胁方面,AI的好处在于,它(tā)可以独立行动(dòng),在不需要人类监督的情况下采取相应措施,而且速度比(bǐ)人类快得(dé)多(duō)。考虑到恶(è)意软件的存在几乎可以在瞬间危(wēi)害整个系统,这是一(yī)个非常(cháng)有价值(zhí)的能力(lì)。
人(rén)工智(zhì)能可以显著增强防(fáng)御机制(zhì)的方(fāng)式有很多,这为我们提供了乐观的理由(yóu),但(dàn)与任何一种新技术一样,人工智能(néng)也不是灵丹妙药(yào)。安(ān)全从业人员(yuán)应(yīng)该(gāi)意识(shí)到部署(shǔ)防御性(xìng)AI所涉及的实际挑战(zhàn)。
在部署防御性AI系统之前,需要(yào)考虑(lǜ)的(de)问题和(hé)考虑的范(fàn)围很窄,而且是(shì)为了完成一种任务(wù)而设(shè)计的。他们需要足够的数据和输入来完成(chéng)这(zhè)项任务。一个单一的(de)防御性AI系(xì)统将(jiāng)不能增强之前概述的所有防御机制(zhì)——一(yī)个组(zǔ)织可能(néng)采(cǎi)用多个系统。在购买和部署防御性AI系(xì)统(tǒng)之前(qián),安全领(lǐng)导应该考虑是否需要一个(gè)AI系(xì)统(tǒng)来解决问题,或者更传统的选择是否(fǒu)会起到(dào)类似或更好的(de)作用。
要(yào)问的问题包(bāo)括:
●问题有局限吗?(例如(rú),它是否可以(yǐ)用一个数据集或一种输入(rù)类型来处理(lǐ),或者它(tā)是否需(xū)要高度理解上下文,通常哪些人更擅长提(tí)供?)
●组织是否有(yǒu)运行(háng)和优化(huà)AI系(xì)统所需(xū)的数据?
安全领(lǐng)导者(zhě)还需要考虑围绕(rào)防御AI的治(zhì)理(lǐ)问题,比如:
●防御性AI系统如何适应组织(zhī)的安(ān)全治理架构?
●组织如何为防御AI系统提供安全保障?
●如何维(wéi)护、备份、测试和修补防御(yù)性(xìng)AI系统(tǒng)?
●组织是否(fǒu)有足够的技术人员来为(wéi)防御AI系统提(tí)供(gòng)监督?
人工智(zhì)能(néng)不会用技术专长和对风险的直觉来取代(dài)对(duì)熟(shú)练安(ān)全(quán)从业人员的需求。这(zhè)些安全从业人员需(xū)要在人(rén)工监视的需要和允许人工智能支(zhī)持的控制自动有效地工作的信心之间取得平衡。这种信心需要时(shí)间来培养,尤其是(shì)在人(rén)工智能被证明不可靠、或(huò)做出糟糕或意外决定(dìng)的故(gù)事不断涌现的(de)情况下。
人(rén)工智能系(xì)统会犯(fàn)错误,人类监督的一(yī)个有益方面是(shì),当事情出(chū)错时,从业人员可以提供反馈,并将其纳(nà)入人工智能的决策过(guò)程。当(dāng)然,人类也会犯(fàn)错,采用(yòng)防(fáng)御性AI的组织需要投(tóu)入(rù)时间(jiān)、培训和(hé)支(zhī)持来帮助(zhù)安全从业人(rén)员学习如何使用智(zhì)能(néng)系统。
如果(guǒ)有时间一(yī)起发展和学(xué)习,人类和AI的结合(hé)应(yīng)该成为组织网络防(fáng)御的一个有价(jià)值的(de)组成部分。
现在开始准备:
能(néng)够独立(lì)学习、推理和行(háng)动的计算机系统预示着一个充满风险和机遇的新技术时代的到来。已经(jīng)出(chū)现的进展只是冰(bīng)山一角(jiǎo),未来还将出现更(gèng)多(duō)的(de)进展。AI系统“思考”的速(sù)度(dù)和规模将随着大数据访问(wèn)的(de)增加(jiā)、计算能力的增强和(hé)编程技术的不断改进而提高。这种力量这种权力将有可能创造(zào)和摧毁一家企业。
可用(yòng)于防御的AI工具和技术也可用于犯罪分子、黑客活动分子和政府支持的(de)组(zǔ)织(zhī)等恶意行为者(zhě)。这些对手很快就会发现使用AI来创建诸如智能恶意软件之类的全新威胁的方法,比如智能恶意软件。使用传(chuán)统控件的安全从业人员(yuán)将无(wú)法应对攻击的速(sù)度、数量和复杂性(xìng)。
为了在新时代蓬勃发展,组织需要(yào)减少AI带(dài)来的风险,并充分利(lì)用AI提供的机会。这意味着(zhe)要保护自己的智能系统并(bìng)部署自己的智(zhì)能防御。人(rén)工智能不再(zài)是对遥(yáo)远未来的憧憬:现在是开始(shǐ)准备(bèi)的时候了!