Balancing Act: цінність людського досвіду в епоху генеративного ШІ - DATAVERSITY

Акт балансування: цінність людського досвіду в епоху генеративного ШІ – DATAVERSITY

Мітка часу: 9 січня 2024 р., 3:25 ранку
Вихідний вузол: 3052574

Люди вважаються найслабшою ланкою на підприємстві, коли йдеться про безпеку. Справедливо, як на 95 XNUMX% інцидентів кібербезпеки спричинено людською помилкою. Люди мінливі, схильні до помилок і непередбачувані, що робить їх легкою мішенню для кіберзлочинців, які прагнуть проникнути в системи організацій.  

Це робить нашу залежність від машин набагато важливішою. До цього моменту ми могли довіряти машинам працювати з кодом як істиною. Незважаючи на те, що вони можуть бути скомпрометовані через уразливості в коді або через соціальні недоліки їх операторів, проблеми зазвичай вирішуються чітким рішенням. 

Проте з підйомом с генеративний ШІ (GenAI) і великі мовні моделі (LLM), організації зараз стикаються з атаками соціальної інженерії, які обманом змушують штучний інтелект робити те, для чого він не призначений. У міру того, як ми будемо передавати більше до ШІ, буде цікаво спостерігати за розгортанням цих нових шаблонів атак.

Перед лицем цієї дилеми люди знову повинні орієнтуватися в цьому складному ландшафті безпеки ШІ, що розвивається. Це вимагає від CISO чітко повідомити про переваги та недоліки штучного інтелекту та визнати довгий список міркувань безпеки, пов’язаних із продуктами та можливостями на основі штучного інтелекту. 

Поспішне впровадження Generative AI створює нові виклики кібербезпеці

Почнемо з того, що поширеною проблемою GenAI та LLM є надмірна залежність від контенту, створеного ШІ. Довіра до контенту, створеного штучним інтелектом, без перевірки чи перевірки на наявність оманливої ​​чи дезінформації без людського втручання або контролю може призвести до поширення помилкових даних, які інформують про неправильне прийняття рішень і погіршують критичне мислення. Відомо, що LLM мають галюцинації, тому частина дезінформації може бути навіть не результатом злих намірів.

У тому ж ключі, кількість незахищеного коду, який впроваджується після еволюції GenAI, також стане серйозною проблемою для CISO, якщо її не передбачити завчасно. Відомо, що механізми штучного інтелекту пишуть помилковий код із уразливими місцями безпеки. Без належного нагляду з боку людини GenAI дає можливість людям, які не мають належної технічної бази, надсилати код. Це призводить до підвищення ризику безпеки протягом життєвого циклу розробки програмного забезпечення для організацій, які використовують ці інструменти неналежним чином.

Ще однією поширеною проблемою є витік даних. У деяких випадках зловмисники можуть використовувати швидку ін’єкцію, щоб отримати конфіденційну інформацію, яку модель AI дізналася від іншого користувача. Багато разів це може бути нешкідливим, але зловмисне використання, звичайно, не виключено. Зловмисники можуть навмисно досліджувати інструмент штучного інтелекту за допомогою ретельно розроблених підказок, щоб отримати конфіденційну інформацію, яку інструмент запам’ятав, що призведе до витоку конфіденційної інформації.

ШІ може збільшити деякі прогалини в кібербезпеці, але має значний потенціал для усунення інших

Нарешті, зрозуміло, що розповсюдження GenAI і LLM призведе до деякого зменшення поверхні атаки в нашій галузі з кількох причин. По-перше, можливість генерувати код за допомогою GenAI знижує планку того, хто може бути розробником програмного забезпечення, що призводить до слабкішого коду та навіть слабкіших стандартів безпеки. По-друге, GenAI вимагає величезних обсягів даних, а це означає, що масштаб і вплив витоку даних зростатимуть експоненціально. По-третє, як і у випадку з будь-якою новою технологією, розробники можуть бути не в повній мірі обізнані про те, як їх реалізація може бути використана або зловживана. 

Тим не менш, важливо прийняти збалансовану точку зору. Хоча сприяння генерації коду Gen AI може викликати занепокоєння, це також привносить позитивні властивості в ландшафт кібербезпеки. Наприклад, він може ефективно виявляти вразливі місця безпеки, такі як міжсайтовий сценарій (XSS) або впровадження SQL. Ця подвійна природа підкреслює важливість тонкого розуміння. Замість того, щоб розглядати штучний інтелект як виключно згубний, він підкреслює взаємодоповнюючий зв’язок між штучним інтелектом і залученістю людини в кібербезпеку. Керівники CISO повинні розуміти пов’язані з ними ризики GenAI та LLM, одночасно досліджуючи орієнтовані на людину підходи до впровадження GenAI та зміцнення своїх організацій.

Люди підбирають те, що ШІ залишає позаду

Перед CISO поставлено завдання не лише розгадувати складності GenAI. Вони повинні прокласти шлях вперед для своєї організації та продемонструвати керівництву, як їхня організація може продовжувати процвітати у світі, де домінує GenAI. 

Хоча кінцеві користувачі часто є відповідальними за численні вразливості системи безпеки, немає кращого захисту від кіберзлочинності, ніж добре навчена та дбаюча про безпеку людина. Незалежно від того, які засоби виявлення загроз має організація, просто неможливо замінити людину за екраном, коли справа доходить до тестування програмного забезпечення. 

Організації можуть випередити кіберзлочинців, використовуючи силу етичний хакерство. Хоча дехто не наважується запрошувати хакерів у свою мережу через застарілі хибні уявлення, ці законослухняні експерти з кібербезпеки найкраще підійдуть для боротьби зі зловмисниками, тому що, на відміну від ШІ, вони можуть проникнути в голови кібератак.

Фактично, хакери вже доповнюють автоматизовані інструменти в боротьбі з кіберзлочинцями, з 92% від етичні хакери кажучи, що вони можуть знайти вразливості, які сканери не можуть. Знявши завісу з хакерства назавжди, бізнес-лідери можуть прийняти етичне хакерство та людську підтримку, щоб досягти ефективнішого балансу між штучним інтелектом і людьми-експертами в боротьбі з сучасною кіберзлочинністю. Наша недавня Хакерський звіт про безпеку підкреслює це: 91% наших клієнтів стверджують, що хакери надають більш впливові та цінні звіти про вразливості, ніж штучний інтелект або рішення для сканування. Оскільки штучний інтелект продовжує формувати наше майбутнє, спільнота етичних хакерів залишатиметься відданою забезпеченню його безпечної інтеграції.

Поєднання автоматизації з мережею висококваліфікованих хакерів означає, що компанії можуть виявляти критичні недоліки додатків до того, як їх використають. Коли організації ефективно поєднують автоматизовані інструменти безпеки з етичним хакерством, вони усувають прогалини в постійно змінюваній поверхні цифрових атак. 

Це пояснюється тим, що люди та штучний інтелект можуть працювати разом, щоб підвищити продуктивність команди безпеки: 

  1. Розвідка надводної атаки: Сучасні організації можуть розвивати розгалужену та складну ІТ-інфраструктуру, що включає різноманітне як авторизоване, так і несанкціоноване обладнання та програмне забезпечення. Розробка всеохоплюючого індексу ІТ-активів, наприклад програмного та апаратного забезпечення, важлива для зменшення вразливостей, оптимізації керування виправленнями та сприяння відповідності галузевим мандатам. Це також допомагає визначити й проаналізувати точки, через які зловмисник може націлитися на організацію.
  2. Постійні оцінки: Виходячи за межі безпеки на певний момент часу, організації можуть поєднати винахідливість експертів з людської безпеки з уявленнями про поверхню атак у реальному часі для досягнення безперервного тестування цифрового середовища. Безперервне тестування на проникнення дозволяє ІТ-командам переглядати результати постійного моделювання, які демонструють, як би виглядав злом у поточному середовищі та потенційні слабкі місця, до яких команди можуть адаптуватися в режимі реального часу.
  3. Покращення процесу: Довірені хакери можуть передати командам безпеки цінну інформацію про вразливості та активи, щоб допомогти покращити процес.

Висновок

Оскільки генеративний штучний інтелект продовжує розвиватися такими швидкими темпами, CISO повинні використовувати своє розуміння того, як люди можуть співпрацювати, щоб підвищити безпеку штучного інтелекту та заручитися підтримкою правління та керівництва. У результаті організації можуть мати достатній персонал і ресурси для ефективного вирішення цих завдань. Встановлення правильного балансу між швидким впровадженням штучного інтелекту та всебічною безпекою завдяки співпраці з етичними хакерами посилює аргументи для інвестицій у відповідні рішення на основі штучного інтелекту.

Часова мітка:

Більше від ПЕРЕДАЧА