Generative AI-værktøjer som ChatGPT tager verden med storm. Ligesom enhver ny teknologi skal CISO'er finde en måde at gribe mulighederne på, samtidig med at organisationen beskyttes mod generative AI- og ChatGPT-risici. Lad os udforske mulighederne og bedste praksis inden for sikkerhed i denne artikel.
Hvad er Generativ AI?
Generativ AI er en type AI, der fokuserer på at skabe og generere nyt indhold med ML-teknikker. Dette kan omfatte billeder, tekst, musik eller videoer. I modsætning til de fleste AI-tilgange, der genkender mønstre eller laver forudsigelser baseret på eksisterende data, sigter generativ AI mod at producere originalt og kreativt output.
Generative AI-modeller er baseret på LLM'er (Large Language Models), hvilket betyder, at de trænes på store datasæt. De lærer de underliggende mønstre og strukturer i dataene at kende og omdanner dem til sandsynlighedsmodeller. Når de får en "prompt", bruger de derefter den lærte viden til at generere nyt indhold, der ligner træningsdataene, men ikke er en nøjagtig kopi. Som et resultat kan generative AI-modeller designe realistiske billeder, skrive sammenhængende historier eller digte, komponere musik og endda producere realistiske og menneskelignende samtaler.
Et af de almindelige rammeværk, der anvendes til generativ AI, kaldes GAN – Generative Adversarial Network. GAN'er består af to neurale netværk: et generatornetværk og et diskriminatornetværk. Generatornetværket genererer nyt indhold, mens diskriminatornetværket evaluerer det genererede indhold og forsøger at skelne det fra reelle data. De to netværk trænes sammen i en konkurrencepræget proces, hvor generatoren sigter mod at producere stadig mere realistisk indhold, der narrer diskriminatoren, og diskriminatoren stræber efter at blive bedre til at identificere genereret indhold. Denne adversarielle træning fører til, at der skabes indhold af høj kvalitet og et mangfoldigt indhold.
Generative AI-værktøjer har flere anvendelsesmuligheder, herunder kunst, design, underholdning og endda medicin. Generativ AI rejser dog også etiske overvejelser, såsom potentialet for at generere falsk indhold, misbrug af teknologien, bias og cybersikkerhedsrisici.
ChatGPT er en ekstremt populær generativ AI-chatbot, der blev udgivet i november 2022, og som skabte bred opmærksomhed omkring konceptet og mulighederne i generative AI-værktøjer.
Hvad er risiciene ved generativ AI?
Generativ AI har adskillige tilknyttede risici, som sikkerhedsteams skal være opmærksomme på, såsom bekymringer om privatlivets fred og phishing. De vigtigste sikkerhedsrisici omfatter:
Beskyttelse af personlige oplysninger
Generative AI-modeller trænes på store mængder data, som kan omfatte brugergenereret indhold. Hvis det ikke anonymiseres korrekt, kan disse data blive eksponeret under træningsprocessen og i indholdsudviklingsprocessen, hvilket resulterer i databrud. Sådanne brud kan være utilsigtede, dvs. information gives uden at brugeren har til hensigt at dele den offentligt, eller bevidst gennem inferensangreb i et ondsindet forsøg på at eksponere følsomme oplysninger.
For nylig har Samsung-medarbejdere indsatte følsomme data i ChatGPT, inklusive fortrolig kildekode og private mødenotater. Disse data bruges nu til ChatGPT-træning og kan muligvis bruges i de svar, ChatGPT leverer.
Phishing-e-mails og malware
Generativ AI kan bruges af angribere til at generere overbevisende og vildledende indhold, herunder phishing-e-mails, phishing-websteder eller phishing-beskeder, på flere sprog. Det kan også bruges til at udgive sig for at være betroede enheder og personer. Disse kan øge succesraten for phishing-angreb og føre til kompromitterede personlige oplysninger eller legitimationsoplysninger.
Derudover kan generativ AI bruges til at generere ondsindet kode eller malwarevarianter. Sådan AI-drevet malware kan tilpasse sig og udvikle sig baseret på interaktioner med målsystemet, hvilket forbedrer deres evne til at omgå forsvar og angribe systemer, samtidig med at det bliver sværere for sikkerhedsforsvar at afbøde dem.
Adgangsstyring
Angribere kan bruge generativ kunstig intelligens til at simulere eller generere realistiske adgangsoplysninger, såsom brugernavne og adgangskoder. Disse kan bruges til at gætte adgangskoder, legitimationsstopning og brute force-angreb, der muliggør uautoriseret adgang til systemer, konti eller følsomme data. Derudover kan generativ kunstig intelligens oprette svigagtige konti eller profiler, som kan bruges til at omgå verifikationsprocesser og -systemer og til at få adgang til ressourcer.
Insider trusler
Generative AI-værktøjer kan ondsindet misbruges af enkeltpersoner i organisationen til uautoriserede aktiviteter. For eksempel kan en medarbejder generere falske dokumenter eller manipulere data, hvilket kan føre til potentiel svindel, datamanipulation eller tyveri af intellektuel ejendom. Medarbejdere kan også utilsigtet lække data til disse værktøjer, hvilket resulterer i databrud.
Øget angrebsoverflade
Virksomheder, der integrerer generative AI-værktøjer i deres stak, kan potentielt introducere nye sårbarheder. Disse værktøjer kan interagere med systemer og API'er og dermed skabe yderligere indgangspunkter, som angribere kan udnytte.
Måder, hvorpå virksomheder kan afbøde generativ AI og ChatGPT-sikkerhedsrisici
Generativ AI indebærer muligheder og sikkerhedsrisici. Virksomheder kan træffe følgende foranstaltninger for at sikre, at de kan nyde godt af produktivitetsfordelene og ChatGPT-sikkerheden uden at blive udsat for risiciene:
Risikovurdering
Start med at kortlægge de potentielle sikkerhedsrisici forbundet med brugen af generative AI-værktøjer i din virksomhed. Identificér de områder, hvor generativ AI introducerer sikkerhedssårbarheder eller potentielt misbrug. For eksempel kan du fremhæve ingeniørorganisationen som en gruppe, der er i risiko for at lække følsom kode. Eller du kan identificere ChatGPT-lignende browserudvidelser som en risiko og kræve, at de deaktiveres.
Adgangskontrol, godkendelse og autorisation
Implementer stærke adgangskontroller og verifikationsmekanismer for at styre adgangen til dine systemer samt de handlinger, dine medarbejdere kan udføre i generative AI-værktøjer. For eksempel en browsersikkerhedsplatform kan forhindre dine medarbejdere i at indsætte følsom kode i værktøjer som ChatGPT.
Regelmæssige softwareopdateringer og programrettelser
Hold dig opdateret med de seneste udgivelser og sikkerhedsrettelser til dine systemer. Installer opdateringer med det samme for at afhjælpe eventuelle kendte sårbarheder og beskytte mod nye trusler. Ved at gøre det forbedrer du din sikkerhedssituation og beskytter mod alle trusler, herunder trusler fra angribere, der bruger generativ kunstig intelligens.
Overvågning og Anomali Detektion
Implementer overvågningsløsninger for at opdage og reagere på potentielle sikkerhedshændelser eller usædvanlige aktiviteter relateret til generative AI-værktøjer. Implementer realtidsmekanismer til anomalidetektering for at identificere mistænkelig adfærd, såsom uautoriserede adgangsforsøg eller unormale datamønstre.
Brugeruddannelse og bevidsthed
Træn medarbejdere og brugere om risiciene forbundet med generativ kunstig intelligens, herunder phishing, social engineeringog andre sikkerhedstrusler. Giv retningslinjer for, hvordan man identificerer og reagerer på potentielle angreb eller mistænkelige aktiviteter. Styrk regelmæssigt sikkerhedsbevidstheden gennem træningsprogrammer og oplysningskampagner.
Som supplement til disse træninger kan en browsersikkerhedsplatform hjælpe ved at kræve brugerens samtykke eller begrundelse for at bruge et generativt AI-værktøj.
Leverandørsikkerhedsvurdering
Hvis du anskaffer generative AI-værktøjer fra tredjepartsleverandører, skal du foretage en grundig sikkerhedsvurdering af deres tilbud. Evaluer deres sikkerhedspraksis, datahåndteringsprocedurer og overholdelse af branchestandarder. Sørg for, at leverandørerne prioriterer sikkerhed og har en robust sikkerhedsramme på plads.
Hændelsesreaktion og genopretning
Udvikl en hændelsesplan, der specifikt adresserer generative AI-relaterede sikkerhedshændelser. Etabler klare procedurer for at detektere, inddæmme og genoprette efter sikkerhedsbrud eller angreb. Test og opdater regelmæssigt hændelsesplanen for at tilpasse sig udviklende trusler.
Samarbejde med sikkerhedseksperter
Søg vejledning fra sikkerhedseksperter eller konsulenter, der specialiserer sig i AI og maskinlæringssikkerhed. De kan hjælpe dig med at identificere potentielle risici, implementere bedste praksis og sikre, at dine generative AI-systemer er tilstrækkeligt sikret.
Hvordan LayerX kan forhindre datalækage på ChatGPT og andre generative AI-platforme
LayerX's browsersikkerhedsplatform mindsker eksponeringsrisikoen for organisationsdata, såsom kundedata og intellektuel ejendom, som ChatGPT og andre generative AI-platforme udgør. Dette understøttes ved at aktivere politikkonfiguration for at forhindre indsættelse af tekststrenge, give detaljeret indsigt i enhver brugeraktivitet i deres browser, detektere og deaktivere ChatGPT-lignende browserudvidelser, kræve brugersamtykke eller begrundelse for at bruge et generativt AI-værktøj og håndhæve sikring af dataforbrug på tværs af alle dine SaaS-apps. Nyd produktiviteten muliggjort af generative AI-værktøjer uden risiko.
