Die wachsende Zahl von Anwendungen, die Funktionen und Tools der künstlichen Intelligenz (KI) enthalten, die die Arbeit mit Modellen des maschinellen Lernens (ML) erleichtern, hat für Unternehmen, deren Sicherheitsteams nun die von ihnen ausgehenden Risiken bewerten und verwalten müssen, neue Probleme in der Software-Lieferkette geschaffen diese KI-Komponenten. Sicherheitsteams betrachten die Software-Lieferkette und denken über Open-Source-Komponenten nach. Sie müssen jedoch erkennen, dass ML ein Teil davon ist, und die Sicherheitskontrollen und Datenverwaltungsrichtlinien des Unternehmens anpassen, um der Realität Rechnung zu tragen, dass KI bereits vorhanden ist.
Eine der großen Herausforderungen im Zusammenhang mit dem zunehmenden Einsatz von KI in Unternehmen ist tatsächlich das gleiche Schatten-IT-Problem, mit dem Unternehmensverteidiger seit Jahren zu kämpfen haben, sagt Gary McGraw, Mitbegründer des Berryville Institute of Machine Learning. Schatten-ML und Schatten-KI existieren, weil in vielen Organisationen Unternehmensgruppen und einzelne Mitarbeiter diejenigen sind, die ML-Anwendungen und KI-Tools als Teil ihrer Arbeitsprozesse auswählen und übernehmen. Sicherheitsteams werden oft nicht informiert, wenn diese Tools in das Unternehmen eingeführt werden, und die mangelnde Transparenz bedeutet, dass sie sie nicht verwalten oder die verwendeten Daten nicht schützen können.
Die Frage zum Einsatz von KI sei kürzlich bei einem Treffen mit Führungskräften eines großen Fortune-100-Unternehmens und des Anwendungssicherheits-Startups Legit Security aufgekommen, sagt McGraw (Mitglied des Beirats von Legit Security). Die Plattform von Legit Security, die den gesamten Softwareentwicklungslebenszyklus von der Entwicklung bis zur Bereitstellung abbildet, bietet Einblick in jedes verwendete Tool und jede verwendete Anwendung.
„Der CISO sagte: ‚Maschinelles Lernen ist bei uns gesetzlich nicht erlaubt.‘ „Niemand nutzt es“, sagt McGraw, und das Team konnte die Plattform nutzen, um mehrere Instanzen von ML und KI im Einsatz zu zeigen.
Nicht zu wissen, was ML und KI im Einsatz sind, ist ein wachsendes Problem und beschränkt sich nicht nur auf dieses Unternehmen. In einem aktuelle Forschungsumfrage zu Dark Reading74 % der Befragten gaben an, dass sie glaubten, dass Mitarbeiter öffentliche generative KI-Tools (GenAI) wie ChatGPT für Arbeitszwecke nutzen, obwohl die Tools nicht offiziell autorisiert waren. Ungefähr ein Fünftel der Befragten (18 %) gaben an, dass eine ihrer fünf größten Sorgen in Bezug auf KI darin bestehe, dass sie Mitarbeiter nicht davon abhalten könnten, öffentliche GenAI-Tools zu nutzen.
So finden Sie KI
Legit Security untersucht, wie GenAI-Technologien die Softwareentwicklung verändern, beispielsweise die Verwendung von KI zur Generierung von Code oder die Einbettung großer Sprachmodelle (LLMs) in Produkte, sagt Liav Caspi, Mitbegründer und CTO von Legit Security. Das Nebenprodukt der Plattformzuordnung, wie die Organisation Software entwickelt und bereitstellt, ist eine „sehr detaillierte Bestandsaufnahme“ aller verwendeten Open-Source- und Closed-Source-Softwarekomponenten, Build-Tools, Frameworks, Plug-Ins und sogar der Server, auf denen sich die Entwickler befinden verwenden, sagt Caspi. Da neue Technologien nicht immer von oben nach unten in den Technologie-Stack des Unternehmens eingeführt werden, ist dieser Asset-Katalog oft das erste Mal, dass die Führungskräfte alle verwendeten Softwarekomponenten und Entwicklertools kennenlernen.
„Es stellt sich heraus, dass das, was die Leute denken, und das, was tatsächlich der Fall ist, manchmal nicht übereinstimmen“, sagt McGraw. „Wenn Sie zum CISO oder der Person, die für die Softwaresicherheit verantwortlich ist, sagen: ‚Hey, wussten Sie, dass es sechs davon gibt?‘ und sie sagen: ‚Ich dachte, wir hätten nur zwei‘, [es gibt ein Problem.]“
Neben der Beantwortung von Fragen wie der Anzahl der Bug-Tracking-Systeme in der Organisation, der Anzahl der installierten GitHub-Instanzen, der vorhandenen JIRA-Instanzen oder der Frage, welche Entwickler welche Compiler verwenden, beantwortet Legit Security auch Fragen wie der Standort der Entwickler verwenden LLMs, welche Anwendungen stellen eine Verbindung zu welchem KI-Dienst her, welche Daten werden an diese Dienste gesendet und welche Modelle werden tatsächlich verwendet. Die Frage, ob Daten an andere Dienste gesendet werden, sei besonders wichtig für Unternehmen in regulierten Branchen, sagt Caspi.
„[Wir] haben Dinge entdeckt, die große Organisationen nicht wussten, zum Beispiel wussten sie nicht, dass sie eine bestimmte Bibliothek verwenden. Sie wussten nicht, dass es Entwickler im Ausland gibt, die den Code irgendwo in ein Konto kopiert haben“, sagt Caspi.
Ein weiterer Bereich, der Anlass zur Sorge gibt, ist die Frage, ob sich die Organisation auf KI-generierten Code verlässt, was laut Caspi mit der Einführung verschiedener Tools und Copiloten, die Entwicklern beim Schreiben von Code helfen, immer relevanter wird. In der Dark Reading-Umfrage gaben 28 % der Befragten Bedenken hinsichtlich möglicher Schwachstellen in KI-generiertem Code an.
Derzeit durchsucht die Plattform die Entwicklungsinfrastruktur, um alle von der KI berührten Teile zu identifizieren. Es durchsucht die Repositorys und erkennt LLMs, die in Anwendungen eingebettet sind, ob Code-Generierungstools verwendet wurden, welche Softwarebibliotheken hinzugefügt wurden, welche API-Aufrufe durchgeführt werden und welche Art von Lizenzen verwendet werden. Huggingface wird beispielsweise häufig in Softwareentwicklungsprojekten verwendet, um Modelle für maschinelles Lernen zu erstellen und zu integrieren. Sicherheitsteams müssen über Versionsnummern und die Art und Weise nachdenken, wie Modelle implementiert werden, sagt Caspi.
So sichern Sie ML
Um maschinelles Lernen ordnungsgemäß abzusichern, muss das Unternehmen in der Lage sein, drei Dinge zu tun: herauszufinden, wo maschinelles Lernen eingesetzt wird, ein Bedrohungsmodell des Risikos basierend auf dem, was gefunden wurde, und die Einrichtung von Kontrollen, um diese Risiken zu verwalten.
„Wir müssen maschinelles Lernen finden [und] ein Bedrohungsmodell erstellen, das auf Ihren Erkenntnissen basiert“, sagt McGraw. „Sie haben einiges gefunden und jetzt muss Ihr Bedrohungsmodell angepasst werden. Sobald Sie Ihr Bedrohungsmodell erstellt und einige Risiken und Bedrohungen identifiziert haben, müssen Sie bei all diesen Problemen einige Kontrollen einführen.“
Sobald das Sicherheitsteam weiß, was verwendet wird, kann es entweder die Komponente blockieren oder eine geeignete Richtlinie festlegen, um Sicherheitsüberprüfungen oder „Leitplanken“ zum Entwicklungsprozess hinzuzufügen, stellt Caspi fest. Es ist beispielsweise möglich, dass eine Anwendung in Produktion geht, ohne dass jemand den automatisch generierten Code überprüft, um sicherzustellen, dass keine Probleme in die Codebasis eingeführt wurden. Der Codeblock enthält möglicherweise keine wirklichen Schwachstellen, aber Sicherheitsteams können eine Richtlinie erstellen, die vorschreibt, dass automatisch generierter Code von zwei Personen überprüft wird, bevor er in die Codebasis eingefügt werden kann, sagt er.
„Wir haben viele Erkennungen, die Ihnen sagen, dass Ihnen eine Leitplanke fehlt“, sagt Caspi. Das Sicherheitsteam erhält „so viele Informationen wie möglich über das, was wir gefunden haben“, damit es die Informationen nutzen kann, um Maßnahmen zu ergreifen, sagt Caspi. In einigen Fällen gibt es Hinweise zur besten Vorgehensweise oder zu Best Practices.
Es gibt kein einziges Tool oder keine Plattform, die alle drei Dinge bewältigen kann, aber McGraw sitzt zufällig in den Beiräten von drei Unternehmen, die jedem dieser Bereiche entsprechen. Legit Security findet alles, IriusRisk hilft bei der Bedrohungsmodellierung und Calypso AI führt Kontrollen ein.
„Ich kann sehen, wie sich alle Teile bewegen“, sagt McGraw. „Alle Teile fügen sich zusammen.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/application-security/first-step-in-ai-ml-security-is-finding-them
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 100
- a
- Fähig
- Über uns
- Konto
- über
- Action
- berührt das Schneidwerkzeug
- hinzufügen
- hinzugefügt
- einstellen
- Bereinigt
- Die Annahme
- beratend
- Beirat
- AI
- AI / ML
- Alle
- erlauben
- bereits
- immer
- an
- machen
- Beantwortung
- Antworten
- jedem
- APIs
- Anwendung
- Anwendungssicherheit
- Anwendungen
- angemessen
- SIND
- Bereich
- Bereiche
- künstlich
- künstliche Intelligenz
- Künstliche Intelligenz (AI)
- AS
- beurteilen
- Vermögenswert
- At
- zugelassen
- basierend
- BE
- weil
- Werden
- war
- Bevor
- Sein
- angenommen
- BESTE
- Best Practices
- Big
- Blockieren
- Tafel
- gebracht
- bauen
- Geschäft
- aber
- by
- Aufrufe
- kam
- CAN
- Fähigkeiten
- Häuser
- Fälle
- Katalog
- Kette
- Herausforderungen
- Übernehmen
- ChatGPT
- Schecks
- KKV
- zitiert
- geschlossen
- Co-Gründer
- Code
- Codebasis
- Kommen
- Unternehmen
- Unternehmen
- Komponente
- Komponenten
- Hautpflegeprobleme
- Bedenken
- Sich zusammenschliessen
- enthalten
- Steuerung
- Dazugehörigen
- könnte
- Kurs
- erstellen
- erstellt
- CTO
- Zyklus
- Dunkel
- Dunkle Lektüre
- technische Daten
- Defenders
- liefert
- Lieferanten
- detailliert
- Bestimmen
- Entwickler:in / Unternehmen
- Entwickler
- Entwicklung
- entwickelt
- DID
- didn
- entdeckt
- do
- doesn
- Don
- im
- jeder
- einfacher
- entweder
- eingebettet
- Einbettung
- Mitarbeiter
- gewährleisten
- Unternehmen
- Ganz
- Entitäten
- Äther (ETH)
- Sogar
- Jedes
- alles
- Beispiel
- Führungskräfte
- existieren
- fünfte
- Finden Sie
- Suche nach
- findet
- Vorname
- erstes Mal
- fünf
- Aussichten für
- Vermögen
- gefunden
- Gerüste
- für
- Gary
- Genai
- erzeugen
- generativ
- Generative KI
- bekommen
- GitHub
- Go
- Governance
- Auseinandersetzung
- Gruppen
- persönlichem Wachstum
- die Vermittlung von Kompetenzen,
- hätten
- Griff
- das passiert
- Haben
- he
- Kopfschmerzen
- Hilfe
- hilft
- Ultraschall
- HTTPS
- Umarmendes Gesicht
- i
- identifiziert
- identifizieren
- umgesetzt
- wichtig
- in
- integrieren
- einarbeiten
- Krankengymnastik
- Branchen
- Information
- informiert
- Infrastruktur
- Instanzen
- Institut
- Intelligenz
- in
- eingeführt
- Einleitung
- Inventar
- Probleme
- IT
- nur
- Art
- Wissen
- Wissend
- kennt
- Mangel
- Sprache
- grosse
- LERNEN
- lernen
- Echt
- Bibliotheken
- Bibliothek
- Lizenzen
- Lebensdauer
- Gefällt mir
- Limitiert
- suchen
- SIEHT AUS
- Los
- Maschine
- Maschinelles Lernen
- gemacht
- um
- verwalten
- Weise
- viele
- Mapping
- Landkarten
- Spiel
- Kann..
- Mittel
- Treffen
- Mitglied
- Kommt demnächst...
- ML
- Modell
- Modellieren
- für
- mehr
- ziehen um
- viel
- mehrere
- Need
- Bedürfnisse
- Neu
- nicht
- Notizen
- jetzt an
- Anzahl
- Zahlen
- of
- Offiziell
- vorgenommen,
- on
- einmal
- EINEM
- Einsen
- einzige
- XNUMXh geöffnet
- Open-Source-
- or
- Organisation
- Organisationen
- Andere
- übrig
- in Übersee
- Teil
- besonders
- Teile
- Personen
- person
- Stücke
- Ort
- Plattform
- Plato
- Datenintelligenz von Plato
- PlatoData
- Politik durchzulesen
- Datenschutzrichtlinien
- gestellt
- möglich
- Praktiken
- Gegenwart
- Aufgabenstellung:
- Probleme
- Prozessdefinierung
- anpassen
- Produktion
- Produkte
- Projekte
- richtig
- Risiken zu minimieren
- Öffentlichkeit
- Zwecke
- setzen
- Versetzt
- Frage
- Fragen
- RE
- Lesebrillen
- Realität
- wirklich
- kürzlich
- erkennen
- reflektieren
- geregelt
- regulierte Branchen
- relevant
- sich auf
- Forschungsprojekte
- Befragte
- bewertet
- Überprüfung
- Recht
- Risiko
- Risiken
- Laufen
- s
- Sicherheit
- Said
- gleich
- sagt
- Verbindung
- Sicherheitdienst
- Sicherheitsstart
- sehen
- Auswahl
- geschickt
- Server
- Dienstleistungen
- Shadow
- erklären
- da
- SIX
- So
- Software
- Softwarekomponenten
- Software-Entwicklung
- Software-Sicherheit
- Software-Lieferkette
- einige
- Jemand,
- etwas
- manchmal
- irgendwo
- Quelle
- spezifisch
- Stapel
- Anfang
- Schritt
- Stoppen
- so
- liefern
- Supply Chain
- Umgebung
- Umfrage
- Systeme und Techniken
- T
- Nehmen
- Team
- Teams
- Technologies
- Technologie
- erzählen
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- die Informationen
- ihr
- Sie
- Dort.
- Diese
- vom Nutzer definierten
- think
- Denken
- fehlen uns die Worte.
- diejenigen
- obwohl?
- dachte
- Bedrohung
- Bedrohungen
- nach drei
- Durch
- Zeit
- zu
- gemeinsam
- Werkzeug
- Werkzeuge
- Top
- gerührt
- Drehungen
- XNUMX
- -
- benutzt
- verwendet
- Verwendung von
- verschiedene
- Ve
- Version
- sehr
- Sichtbarkeit
- Sicherheitslücken
- wurde
- we
- GUT
- waren
- Was
- Was ist
- wann
- ob
- welche
- WHO
- deren
- weit
- werden wir
- mit
- ohne
- Arbeiten
- schreiben
- Code schreiben
- Jahr
- U
- Ihr
- Zephyrnet