Generative AI-værktøjer som ChatGPT tager verden med storm. Som enhver ny teknologi skal CISO'er finde en måde at omfavne mulighederne og samtidig beskytte organisationen mod generative AI- og ChatGPT-risici. Lad os undersøge mulighederne og bedste praksis for sikkerhed i denne artikel.
Hvad er Generativ AI?
Generativ AI er en type AI, der er fokuseret på at skabe og generere nyt indhold med ML-teknikker. Dette kan omfatte billeder, tekst, musik eller videoer. I modsætning til de fleste AI-tilgange, der genkender mønstre eller laver forudsigelser baseret på eksisterende data, sigter generativ AI på at producere originalt og kreativt output.
Generative AI-modeller er baseret på LLM'er (Large Language Models), hvilket betyder, at de trænes på store datasæt. De lærer de underliggende mønstre og strukturer til stede i dataene og omdanner dem til sandsynlighedsmodeller. Når de derefter får en "prompt", bruger de den lærte viden til at generere nyt indhold, der ligner træningsdataene, men ikke en nøjagtig kopi. Som et resultat kan generative AI-modeller designe realistiske billeder, skrive sammenhængende historier eller digte, komponere musik og endda producere realistiske og menneskelignende samtaler.
En af de almindelige rammer, der bruges til generativ AI, kaldes GAN – Generative Adversarial Network. GAN'er består af to neurale netværk: et generatornetværk og et diskriminatornetværk. Generatornetværket genererer nyt indhold, mens diskriminatornetværket evaluerer det genererede indhold og forsøger at skelne det fra rigtige data. De to netværk trænes sammen i en konkurrencepræget proces, hvor generatoren sigter mod at producere stadig mere realistisk indhold, der narrer diskriminatoren, og diskriminatoren stræber efter at blive bedre til at identificere genereret indhold. Denne modstridende træning fører til, at der skabes indhold af høj kvalitet og forskelligartet.
Generative AI-værktøjer har flere anvendelsesmuligheder, herunder kunst, design, underholdning og endda medicin. Generativ AI rejser imidlertid også etiske overvejelser, såsom potentialet for at generere falsk indhold, misbrug af teknologien, bias og cybersikkerhedsrisici.
ChatGPT er en ekstremt populær generativ AI-chatbot, der blev frigivet i november 2022, hvilket bragte bred opmærksomhed på konceptet og mulighederne for generative AI-værktøjer.
Hvad er risikoen ved generativ AI?
Generativ AI har adskillige tilknyttede risici, som sikkerhedsteams skal være opmærksomme på, såsom privatlivsproblemer og phishing. De vigtigste sikkerhedsrisici omfatter:
Beskyttelse af personlige oplysninger
Generative AI-modeller trænes på store mængder data, som kan omfatte brugergenereret indhold. Hvis det ikke er korrekt anonymiseret, kan disse data blive afsløret under uddannelsesprocessen og i indholdsudviklingsprocessen, hvilket resulterer i databrud. Sådanne brud kan være tilfældige, dvs. oplysninger leveres uden, at brugeren har til hensigt, at de skal deles offentligt, eller bevidst, gennem slutningsangreb, i et ondsindet forsøg på at afsløre følsomme oplysninger.
For nylig har Samsung-ansatte indsatte følsomme data i ChatGPT, herunder fortrolig kildekode og private mødenotater. Disse data bruges nu til ChatGPT-træning og kan muligvis bruges i de svar, ChatGPT giver.
Phishing-e-mails og malware
Generativ AI kan bruges af angribere til at generere overbevisende og vildledende indhold, herunder phishing-e-mails, phishing-websteder eller phishing-beskeder, på flere sprog. Det kan også bruges til at efterligne betroede enheder og personer. Disse kan øge succesraten af phishing-angreb og føre til kompromitterede personlige oplysninger eller legitimationsoplysninger.
Derudover kan generativ AI bruges til at generere ondsindet kode eller malware-varianter. Sådan AI-drevet malware kan tilpasse sig og udvikle sig baseret på interaktioner med målsystemet, hvilket forbedrer deres evne til at omgå forsvar og angrebssystemer, mens det gør det sværere for sikkerhedsforsvar at afbøde dem.
Adgangsstyring
Angribere kan bruge generativ AI til at simulere eller generere realistiske adgangsoplysninger, såsom brugernavne og adgangskoder. Disse kan bruges til at gætte adgangskoder, legitimationsstopning og brute force-angreb, der muliggør uautoriseret adgang til systemer, konti eller følsomme data. Derudover kan generativ AI oprette svigagtige konti eller profiler, som kan bruges til at omgå verifikationsprocesser og -systemer og til at få adgang til ressourcer.
Insider trusler
Generative AI-værktøjer kan ondsindet misbruges af enkeltpersoner i organisationen til uautoriserede aktiviteter. For eksempel kan en medarbejder generere svigagtige dokumenter eller manipulere data, hvilket fører til potentiel svindel, datamanipulation eller tyveri af intellektuel ejendom. Medarbejdere kan også utilsigtet lække data til disse værktøjer, hvilket resulterer i databrud.
Øget angrebsoverflade
Virksomheder, der integrerer generative AI-værktøjer i deres stak, introducerer potentielt nye sårbarheder. Disse værktøjer kan interagere med systemer og API'er, hvilket skaber yderligere indgangspunkter, som angribere kan udnytte.
Måder, virksomheder kan afbøde generativ AI og ChatGPT-sikkerhedsrisici
Generativ kunstig intelligens udgør muligheder og sikkerhedsrisici. Virksomheder kan træffe følgende foranstaltninger for at sikre, at de kan nyde produktivitetsfordelene og ChatGPT-sikkerheden uden at blive udsat for risici:
Risikovurdering
Start med at kortlægge de potentielle sikkerhedsrisici forbundet med brugen af generative AI-værktøjer i din virksomhed. Identificer de områder, hvor generativ AI introducerer sikkerhedssårbarheder eller potentielt misbrug. For eksempel kan du fremhæve ingeniørorganisationen som en gruppe, der risikerer at lække følsom kode. Eller du kan identificere ChatGPT-lignende browserudvidelser som en risiko og kræve deres deaktivering.
Adgangskontrol, godkendelse og autorisation
Implementer stærke adgangskontroller og verifikationsmekanismer til at styre adgangen til dine systemer samt de handlinger, dine medarbejdere kan udføre i generative AI-værktøjer. For eksempel en browsersikkerhedsplatform kan forhindre dine medarbejdere i at indsætte følsom kode i værktøjer som ChatGPT.
Regelmæssige softwareopdateringer og patching
Hold dig opdateret med de seneste udgivelser og sikkerhedsrettelser til dine systemer. Anvend opdateringer omgående for at løse eventuelle kendte sårbarheder og beskytte mod nye trusler. Ved at gøre det vil du forbedre din sikkerhedsposition og beskytte mod alle trusler, inklusive dem, der udgøres af angribere, der bruger generativ AI.
Overvågning og Anomali Detektion
Implementer overvågningsløsninger til at opdage og reagere på potentielle sikkerhedshændelser eller usædvanlige aktiviteter relateret til generative AI-værktøjer. Implementer anomalidetektionsmekanismer i realtid for at identificere mistænkelig adfærd, såsom uautoriseret adgangsforsøg eller unormale datamønstre.
Brugeruddannelse og bevidsthed
Træn medarbejdere og brugere om de risici, der er forbundet med generativ kunstig intelligens, herunder phishing, social engineeringog andre sikkerhedstrusler. Giv retningslinjer for, hvordan man identificerer og reagerer på potentielle angreb eller mistænkelige aktiviteter. Styrk jævnligt sikkerhedsbevidstheden gennem træningsprogrammer og oplysningskampagner.
For at supplere disse træninger kan en browsersikkerhedsplatform hjælpe ved at kræve brugerens samtykke eller begrundelse for at bruge et generativt AI-værktøj.
Leverandørsikkerhedsvurdering
Hvis du anskaffer generative AI-værktøjer fra tredjepartsleverandører, skal du foretage en grundig sikkerhedsvurdering af deres tilbud. Evaluer deres sikkerhedspraksis, datahåndteringsprocedurer og overholdelse af industristandarder. Sørg for, at leverandørerne prioriterer sikkerhed og har en robust sikkerhedsramme på plads.
Hændelsesreaktion og genopretning
Udvikl en hændelsesresponsplan, der specifikt adresserer generative AI-relaterede sikkerhedshændelser. Etabler klare procedurer til at opdage, indeholde og genoprette efter sikkerhedsbrud eller angreb. Test og opdater regelmæssigt hændelsesresponsplanen for at tilpasse sig nye trusler.
Samarbejde med sikkerhedseksperter
Søg vejledning fra sikkerhedsprofessionelle eller konsulenter, der er specialiserede i AI og maskinlæringssikkerhed. De kan hjælpe dig med at identificere potentielle risici, implementere bedste praksis og sikre, at dine generative AI-systemer er tilstrækkeligt sikret.
Hvordan LayerX kan forhindre datalækage på ChatGPT og andre generative AI-platforme
LayerX's browsersikkerhedsplatform mindsker eksponeringsrisikoen for organisatoriske data, såsom kundedata og intellektuel ejendom, som udgøres af ChatGPT og andre generative Al-platforme. Dette understøttes ved at aktivere politikkonfiguration for at forhindre indsættelse af tekststrenge, give detaljeret synlighed i hver brugeraktivitet på deres browser, opdage og deaktivere ChatGPT-lignende browserudvidelser, kræve brugersamtykke eller begrundelse for at bruge et generativt AI-værktøj og gennemtvinge sikring af data brug på tværs af alle dine SaaS-apps. Nyd produktiviteten aktiveret af generative AI-værktøjer uden risiko.
