进入2021年,随着越来越多的组织采用新技术,人工智能在技术和网络安全方面的未来将继续发展。
根据最近的一项调查,三分之二的组织已经在将智能技术用于网络安全目的。
使用这些工具可以使公司为使用网络犯罪技术不断发展的创新攻击做好充分的准备,并且还可以使用AI技术。
例如,仅在去年,犯罪分子就使用基于AI的软件复制CEO的声音,要求现金转移220,000欧元(约合24.3万美元)。
对于希望在2021年将更多AI集成到其安全堆栈中的公司,必须遵循以下六个步骤,以确保有效使用AI而不损害其他任何地方的安全。
鼓励以负责任的方式使用AI来实现网络安全。
最近的数据发现,四分之三的高管相信使用AI可以使他们的组织对违规行为做出更快的反应。
威胁形势继续迅速变化,网络安全领导者必须采用AI来应对网络犯罪分子制定的新策略。
反过来,公司必须专注于确保政策支持这种拥抱。
例如,美国对AI计划的出口管制应确保公司在使用AI方面继续在全球网络安全市场中保持竞争力。
确保AI概念参与威胁建模和风险管理。
AI的部署正在全球范围内增长。
超过四分之一的AI程序已投入生产,超过三分之一的项目处于高级开发阶段。
但是,请仔细考虑攻击者可能如何尝试破坏这种增长以及新集成的AI系统的稳定性。
尽管尚未广泛使用,但随着数据攻击被广泛采用,网络攻击(包括数据中毒攻击和训练模型的后门程序)可能会针对机器学习系统进行部署。
结合了AI系统的威胁模型很少见,而且往往不成熟。
业务领导者应努力开发方法,以确保AI处于风险管理活动的范围之内,以最大程度地减少此类威胁。
制定和推广AI系统的道德规范。
公共部门和私营部门都应在AI应用程序中使用道德规范,并鼓励将强大的安全性和透明度控件纳入这些道德框架。
有很多方法可以将AI应用于网络安全程序,并且重要的是要确保诸如Microsoft AI原则之类的框架得到认可。
可以支持道德AI的原则包括:消除AI偏见,保护AI数据以及确保人们对AI技术如何影响世界负责。
支持透明度并公开分享新发现。
有关AI的新研究以及新的对抗性攻击和防御措施经常发表在会议论文集和学术期刊上。
但是,有时这些贡献没有足够深入地解释如何得出这些发现,并且许多论文没有提供或链接到代码,这将导致结果的准确再现。
同样,进行AI研究的公司通常会秘密进行,这给AI进度的验证和实施带来了负担。
这为安全从业人员提供了更具挑战性的环境,以评估针对这些模型的可能攻击,最终使公司更难以应对这些威胁。
优先进行有关AI系统的进攻性研究。
在将AI技术应用于产品之前,公司必须验证这些新技术的潜在风险。
组织应确保AI应用程序和相关的机器学习系统对当前的安全程序监视和测试范围有意义。
监视和测试应包括两家公司自发采取的措施,以支持发现可能未注意到的无法预料的AI缺陷,以及安全框架和指南,以及与安全研究人员的协作。
敦促创建和集成保护隐私的机器学习尽管机器学习和AI技术继续变得越来越流行,但对隐私的影响仍有待广泛讨论。
特别是,神经网络可以记住训练数据中的特定示例。
因此,AI系统可能易受模型反转攻击,从而通过反复查询模型以重新创建训练示例,导致模型训练的数据被盗。
如果模型是在敏感数据上训练的,则攻击者可能能够恢复有关训练数据的信息。
隐私漏洞的风险日益增加,导致人们越来越需要采用和开发保留隐私的机器学习系统。
这不仅保护了业务,还保护了使用数据训练模型的消费者。
将AI整合到Cyberse