生成式人工智能将对网络安全行业所有企业的运作方式产生重大深远影响。2023年将是网络安全技术进化最快的一年,为未来几十年指明方向。
ChatGPT引发的网络安全“军备竞赛”正在持续发酵,无数真实用例表明网络安全正以不可逆的姿态进入生成式人工智能时代。
生成式人工智能对网络安全团队来说是福是祸?网络安全业界的观点可大致分为“降临派”、“拯救派”和“幸存派”三大类。
降临派认为人工智能是攻击技术的大杀器,将大大加快黑客攻击和网络犯罪的技术迭代,使大规模针对性网络攻击成为可能,网络安全将进入“乱纪元”;拯救派则认为生成式人工智能可极大增强威胁预防、检测和响应能力,是防御者“用魔法打败魔法”的有力武器;幸存派则同时支持前两者的观点,并祈祷自己不会沦为新一轮AI军备竞赛的炮灰。
ChatGPT推动11大网络安全创新
无论是降临派、拯救派还是幸存派,都面临一个共同问题,难以跟踪光速进化、百花齐放的ChatGPT网络安全用例。近日,普华永道高级分析师(拯救派)分享了2023年ChatGPT推动的,即将改变网络安全市场和威胁格局的11大创新,具体如下:
1.人工智能的进攻性技术(恶意)应用
2.AI训练和输出数据的安全防护
3.制订生成式AI使用政策
4.推动安全审计现代化
5.更加关注数据卫生和评估偏见
6.应对快速增长的人工智能风险,练好安全基本功
7.创造新的工作和责任
8.利用人工智能优化网络投资
9.增强威胁情报
10.威胁预防和管理合规风险
11.实施数字信任战略
一、人工智能进攻性技术(恶意)应用
我们正处于一个转折点,今天的人工智能范式巨变影响着每一个人和每一件事。当人工智能掌握在公民和消费者手中时,是人类社会的福祉。但与此同时,ChatGPT这样的生成式人工智能技术也可以被不法分子用于恶意目的,例如开发快速迭代和变异的恶意软件以及高度复杂和定制化的网络钓鱼电子邮件。
——Sean Joyce,普华永道全球网络安全和隐私负责人
二、AI训练和输出数据的安全防护
生成式人工智能已经发展到能帮助公司转变业务的地步,对于领导者来说,重要的是与懂得如何驾驭日益增长的AI安全和隐私问题的企业合作。
原因是双重的。首先,企业必须保护其训练人工智能的方式,因为他们从微调模型中获得的独特知识对于如何经营业务、提供更好的产品和服务以及与员工、客户和生态系统的互动至关重要。
其次,公司还必须保护他们生成式人工智能解决方案的输入和输出信息,因为这些信息会透露企业客户和员工使用该技术所做的事情。
——Mohamed Kande,普华永道美国副主席、美国咨询解决方案联席主管兼全球咨询主管
三、制定生成式人工智能技术的使用政策
企业可以用独特的知识产权和知识内容来不断训练模型,提升生成式人工智能的场景化能力。在此过程中,安全和隐私保护格外重要。对于企业而言,提示(提问)生成式AI生成内容的方式应该是私有的。幸运的是,大多数生成式人工智能平台从一开始就考虑到了这一点,并承诺确保提示、输出和微调内容的安全性和隐私性。
但是,现在所有用户都明白这一点。因此,对于任何企业来说,制定使用生成人工智能的政策,避免机密和个人数据通过人机交互进入公共系统,并在其业务中为生成人工智能建立安全可靠的环境都极为重要。
——Bret Greenstein,普华永道美国合伙人(数据、分析和人工智能)
四、推动安全审计的现代化
安全审计是生成式人工智能最热门的潜在应用领域之一。高级生成式人工智能技术基于复杂条件编写条理清晰、简洁易懂的报告,快速且高效。
生成式人工智能提供了一个信息访问的单点界面,同时还支持文档自动化和分析数据以响应特定查询,而且它非常高效,这对于安全审计人员和客户来说是双赢的。不但能为审计人员提供更好的体验,同时也为客户提供了更好的体验。
——Kathryn Kaminsky,普华永道美国信托解决方案联合负责人
五、更加关注数据安全(卫生)并评估偏见
任何输入人工智能系统的数据都有可能被盗或被滥用。因此,企业首先应该审核输入数据是否安全或者脱敏,这将有助于降低因攻击而丢失机密信息的风险。
此外,重要的是进行适当的数据收集,以制定详细且有针对性的提示并将其输入系统,这样企业可以获得更有价值(且安全)的输出。
企业同样需要详细检视人工智能系统的输出信息,评估系统是否存在任何固有偏差。在此过程中,企业可能需要聘请多元化的专业团队来帮助评估任何偏见。
与编码或脚本解决方案不同,生成式人工智能基于经过训练的模型,因此它们提供的响应不是100%可预测的。生成式人工智能的可靠输出需要幕后技术人员与用户之间的协作。
——Jacky Wagner,普华永道美国网络安全、风险和监管负责人
六、应对快速增长的人工智能风险,练好安全基本功
生成式人工智能正在被广泛采用,实施强大的安全措施是防止威胁行为者的必要条件。网络犯罪分子有可能更容易地制造深度伪造内容并执行恶意软件和勒索软件攻击,公司需要为这些挑战做好准备。
最有效的网络安全措施往往是不起眼的基础工作,例如:通过保持基本的网络卫生和压缩庞大的遗留系统,企业可以大大减少网络犯罪分子的攻击面。
整合运营环境可以降低成本,使企业能够最大限度地提高效率并专注于改进其网络安全措施。
——Joe Nocera,普华永道合伙人负责人(网络、风险和监管营销)
七、创造新的岗位和责任
总的来说,我建议企业考虑采用生成式人工智能,而不是竖起防火墙来抵制,但要有适当的保障措施和风险缓解措施。生成式人工智能在完成工作方面展现了巨大的潜力,可帮助安全人员腾出更多时间和精力从事人类擅长的分析和创造力。
生成式人工智能技术的出现可能会带来与技术本身相关的新工作和责任,并产生确保人工智能以合乎道德和负责任的方式使用的责任。
员工还迫切需要接受人工智能技能培训,从而能够评估和识别创建的内容是否准确。
就像如何使用计算器来完成简单的数学相关任务一样,在生成人工智能的日常使用中仍然需要应用许多人类技能,例如批判性思维和有目的的定制。
从表面上看,人工智能自动化技术似乎对手动任务的能力构成威胁,但它也可以释放创造力并提供帮助、提高技能,帮助人们在工作中脱颖而出。
——Julia Lamm,普华永道美国劳动力战略合伙人
八、利用人工智能优化网络安全投资
即使在经济高度不确定的情况下,2023年大多数企业也没有打算减少网络安全支出。但是,CISO正面临提高安全投资有效性和决策质量的压力,也就是用更少的钱做更多的,这导致CISO热衷于投资于用自动化替代方案取代过度依赖手动风险预防和缓解流程的技术。
虽然生成式AI并不完美,但它非常快速、高效且一致,并且技能会迅速提高。通过实施正确的风险技术,例如为更大的风险覆盖和检测而设计的机器学习机制,企业可以节省大量资金、时间和人员,并且能够更好地应对和抵御未来的任何不确定性。
——Elizabeth McNichol,普华永道美国企业技术解决方案负责人(网络、风险和监管)
九、增强威胁情报
虽然开发生成式AI技术的公司一再声称将确保产品不被滥用于开发和传播恶意软件、错误信息或虚假信息,但已经发生的案例和经验告诉我们,安全问题永远不是硅谷科技公司的第一优先级,用户自己需要未雨绸缪,为即将到来的威胁做好准备。
好消息是,到2023年,我们有望看到生成式人工智能有助于进一步增强威胁情报和其他防御能力。生成式人工智能还将显著提高效率和实时信任决策,例如,以比当前部署的访问和身份模型更高的置信度,给出访问系统和信息的实时判断。
可以肯定的是,生成式人工智能将对网络安全行业的每家公司的运作方式产生重大深远影响。普华永道认为,该行业的集体进步将继续以人为主导,技术为动力,2023年将是网络安全技术进化最快的一年,为未来几十年指明方向。
——Matt Hobbs,普华永道美国微软业务负责人
十、威胁防范与合规风险管理
随着威胁形势的不断发展,富含大量个人信息的医疗行业成了黑客的热门目标。
医疗行业的高管们正在增加他们的网络预算并投资于自动化技术,这些技术不仅可以帮助防止网络攻击,还可以管理合规风险、更好地保护患者和员工数据、降低医疗成本、消除流程效率低下等等。
随着生成式人工智能的不断发展,医疗系统安全面临的风险和机遇都在快速发展变化,这凸显了医疗行业在采用生成式人工智能新技术的同时建立网络防御和弹性的重要性。
——Tiffany Gallagher,普华永道美国医疗行业风险和监管负责人
十一、实施数字信任战略
对于ChatGPT这种突然加速的技术创新,监管的滞后和企业信任的流失在所难免,业界迫切需要一种更具战略性的方法来应对。
通过实施数字信任战略,企业可以更好地协调传统上孤立的功能,例如网络安全、隐私和数据治理,从而使他们能够预测风险,同时为业务释放价值。
数字信任框架核心价值不是满足合规需求,而是优先考虑企业与客户之间的信任和价值交换。
——Toby Spry,普华永道美国数据风险和隐私负责人
声明:本文来自GoUpSec,版权归作者所有。