Generatieve AI-tools zoals ChatGPT veroveren de wereld stormenderhand. Zoals bij elke nieuwe technologie moeten CISO's een manier vinden om de kansen te omarmen en tegelijkertijd de organisatie te beschermen tegen generatieve AI- en ChatGPT-risico's. Laten we de mogelijkheden en best practices op het gebied van beveiliging in dit artikel eens bekijken.
Wat is generatieve AI?
Generatieve AI is een type AI dat zich richt op het creëren en genereren van nieuwe content met ML-technieken. Dit kunnen afbeeldingen, tekst, muziek of video's zijn. In tegenstelling tot de meeste AI-benaderingen die patronen herkennen of voorspellingen doen op basis van bestaande gegevens, streeft generatieve AI ernaar originele en creatieve output te produceren.
Generatieve AI-modellen zijn gebaseerd op LLM’s (Large Language Models), wat betekent dat ze worden getraind op grote datasets. Ze leren de onderliggende patronen en structuren in de gegevens kennen en zetten deze om in waarschijnlijkheidsmodellen. Vervolgens gebruiken ze, wanneer ze een “prompt” krijgen, de geleerde kennis om nieuwe inhoud te genereren die vergelijkbaar is met de trainingsgegevens, maar geen exacte kopie is. Als gevolg hiervan kunnen generatieve AI-modellen realistische beelden ontwerpen, samenhangende verhalen of gedichten schrijven, muziek componeren en zelfs realistische en mensachtige gesprekken produceren.
Een van de gebruikelijke raamwerken die voor generatieve AI worden gebruikt, heet GAN – Generative Adversarial Network. GAN's bestaan uit twee neurale netwerken: een generatornetwerk en een discriminatornetwerk. Het generatornetwerk genereert nieuwe inhoud, terwijl het discriminatornetwerk de gegenereerde inhoud evalueert en probeert deze te onderscheiden van echte gegevens. De twee netwerken worden samen getraind in een competitief proces waarin de generator ernaar streeft steeds realistischere inhoud te produceren die de discriminator voor de gek houdt, en de discriminator ernaar streeft beter te worden in het identificeren van gegenereerde inhoud. Deze vijandige training leidt tot het creëren van hoogwaardige en gevarieerde inhoud.
Generatieve AI-tools hebben meerdere gebruiksscenario's, waaronder kunst, design, entertainment en zelfs geneeskunde. Generatieve AI brengt echter ook ethische overwegingen met zich mee, zoals het potentieel voor het genereren van nepinhoud, misbruik van de technologie, vooringenomenheid en cyberveiligheidsrisico's.
ChatGPT is een extreem populaire generatieve AI-chatbot die in november 2022 werd uitgebracht en die brede aandacht vestigde op het concept en de mogelijkheden van generatieve AI-tools.
Wat zijn de risico’s van generatieve AI?
Generatieve AI brengt verschillende risico's met zich mee waar beveiligingsteams zich bewust van moeten zijn, zoals privacyproblemen en phishing. De belangrijkste veiligheidsrisico’s zijn onder meer:
Privacybezorgdheden
Generatieve AI-modellen worden getraind op grote hoeveelheden gegevens, waaronder mogelijk door gebruikers gegenereerde inhoud. Als deze gegevens niet op de juiste manier worden geanonimiseerd, kunnen deze gegevens tijdens het trainingsproces en tijdens het ontwikkelingsproces van de inhoud openbaar worden gemaakt, wat kan leiden tot datalekken. Dergelijke inbreuken kunnen per ongeluk plaatsvinden, dat wil zeggen dat informatie wordt verstrekt zonder dat de gebruiker de bedoeling heeft dat deze publiekelijk wordt gedeeld, of opzettelijk via gevolgtrekkingsaanvallen, in een kwaadwillige poging om gevoelige informatie openbaar te maken.
Onlangs hebben Samsung-medewerkers gevoelige gegevens in ChatGPT geplakt, inclusief vertrouwelijke broncode en notulen van privévergaderingen. Die gegevens worden nu gebruikt voor ChatGPT-training en kunnen worden gebruikt in de antwoorden die ChatGPT biedt.
Phishing-e-mails en malware
Generatieve AI kan door aanvallers worden gebruikt om overtuigende en misleidende inhoud te genereren, waaronder phishing-e-mails, phishing-websites of phishing-berichten, in meerdere talen. Het kan ook worden gebruikt voor het nabootsen van vertrouwde entiteiten en personen. Deze kunnen het slagingspercentage vergroten phishing-aanvallen en leiden tot gecompromitteerde persoonlijke informatie of inloggegevens.
Daarnaast kan generatieve AI worden ingezet om kwaadaardige code of malwarevarianten te genereren. Dergelijke door AI aangedreven malware kan zich aanpassen en evolueren op basis van interacties met het doelsysteem, waardoor hun vermogen om verdedigingsmechanismen te omzeilen en systemen aan te vallen wordt vergroot, terwijl het voor beveiligingsverdedigingen moeilijker wordt om deze te ondermijnen.
Toegangsbeheer
Aanvallers kunnen generatieve AI gebruiken om realistische toegangsgegevens, zoals gebruikersnamen en wachtwoorden, te simuleren of te genereren. Deze kunnen worden gebruikt voor het raden van wachtwoorden, referentie vulling en brute force-aanvallen, waardoor ongeautoriseerde toegang tot systemen, accounts of gevoelige gegevens mogelijk wordt gemaakt. Bovendien kan generatieve AI frauduleuze accounts of profielen creëren, die kunnen worden gebruikt om verificatieprocessen en -systemen te omzeilen en om toegang te krijgen tot bronnen.
Insiderbedreigingen
Generatieve AI-tools kunnen kwaadwillig worden misbruikt door personen binnen de organisatie voor ongeoorloofde activiteiten. Een werknemer kan bijvoorbeeld frauduleuze documenten genereren of gegevens manipuleren, wat kan leiden tot mogelijke fraude, geknoei met gegevens of diefstal van intellectueel eigendom. Werknemers kunnen ook onbedoeld gegevens naar deze tools lekken, wat kan leiden tot datalekken.
Verhoogd aanvalsoppervlak
Bedrijven die generatieve AI-tools in hun stack integreren, introduceren mogelijk nieuwe kwetsbaarheden. Deze tools kunnen communiceren met systemen en API's, waardoor extra toegangspunten ontstaan waar aanvallers misbruik van kunnen maken.
Manieren waarop bedrijven generatieve AI en ChatGPT-beveiligingsrisico's kunnen beperken
Generatieve AI brengt kansen en veiligheidsrisico’s met zich mee. Bedrijven kunnen de volgende maatregelen nemen om ervoor te zorgen dat ze kunnen genieten van de productiviteitsvoordelen en ChatGPT-beveiliging zonder te worden blootgesteld aan de risico's:
Risicobeoordeling
Begin met het in kaart brengen van de potentiële veiligheidsrisico’s die gepaard gaan met het gebruik van generatieve AI-tools in uw bedrijf. Identificeer de gebieden waarin generatieve AI beveiligingsproblemen of mogelijk misbruik introduceert. U kunt bijvoorbeeld de technische organisatie markeren als een groep die het risico loopt gevoelige code te lekken. Of u identificeert ChatGPT-achtige browserextensies als een risico en vereist dat deze worden uitgeschakeld.
Toegangscontrole, authenticatie en autorisatie
Implementeer sterke toegangscontroles en verificatiemechanismen om de toegang tot uw systemen te regelen, evenals de acties die uw werknemers kunnen uitvoeren in generatieve AI-tools. Bijvoorbeeld, een browserbeveiligingsplatform kan voorkomen dat uw medewerkers gevoelige code in tools als ChatGPT plakken.
Regelmatige software-updates en patches
Blijf op de hoogte van de nieuwste releases en beveiligingspatches voor uw systemen. Pas updates onmiddellijk toe om bekende kwetsbaarheden aan te pakken en bescherming te bieden tegen opkomende bedreigingen. Door dit te doen verbetert u uw beveiligingshouding en beschermt u zich tegen alle bedreigingen, inclusief de bedreigingen van aanvallers die generatieve AI gebruiken.
Monitoring en detectie van afwijkingen
Implementeer monitoringoplossingen om potentiële beveiligingsincidenten of ongebruikelijke activiteiten gerelateerd aan generatieve AI-tools te detecteren en erop te reageren. Implementeer realtime mechanismen voor het detecteren van afwijkingen om verdacht gedrag te identificeren, zoals ongeautoriseerde toegangspogingen of abnormale gegevenspatronen.
Gebruikerseducatie en -bewustzijn
Train medewerkers en gebruikers over de risico’s die gepaard gaan met generatieve AI, inclusief phishing, social engineeringen andere veiligheidsbedreigingen. Geef richtlijnen voor het identificeren van en reageren op potentiële aanvallen of verdachte activiteiten. Versterk regelmatig het veiligheidsbewustzijn door middel van trainingsprogramma's en bewustmakingscampagnes.
Als aanvulling op deze trainingen kan een browserbeveiligingsplatform helpen door toestemming of rechtvaardiging van de gebruiker te vereisen om een generatieve AI-tool te gebruiken.
Beveiligingsbeoordeling van leveranciers
Als u generatieve AI-tools aanschaft van externe leveranciers, voer dan een grondige beveiligingsbeoordeling van hun aanbod uit. Evalueer hun beveiligingspraktijken, procedures voor gegevensverwerking en naleving van branchenormen. Zorg ervoor dat de leveranciers prioriteit geven aan beveiliging en dat ze over een robuust beveiligingsframework beschikken.
Incidentrespons en herstel
Ontwikkel een incidentresponsplan dat specifiek gericht is op generatieve AI-gerelateerde beveiligingsincidenten. Zorg voor duidelijke procedures voor het detecteren, beheersen en herstellen van inbreuken op de beveiliging of aanvallen. Test en update het incidentresponsplan regelmatig om het aan te passen aan veranderende dreigingen.
Samenwerking met beveiligingsexperts
Vraag advies aan beveiligingsprofessionals of consultants die gespecialiseerd zijn in AI en machine learning-beveiliging. Zij kunnen u helpen potentiële risico’s te identificeren, best practices te implementeren en ervoor te zorgen dat uw generatieve AI-systemen adequaat worden beveiligd.
Hoe LayerX gegevenslekken op ChatGPT en andere generatieve AI-platforms kan voorkomen
Het browserbeveiligingsplatform van LayerX beperkt het blootstellingsrisico van organisatorische gegevens, zoals klantgegevens en intellectueel eigendom, veroorzaakt door ChatGPT en andere generatieve Al-platforms. Dit wordt ondersteund door het inschakelen van beleidsconfiguratie om het plakken van tekstreeksen te voorkomen, het bieden van gedetailleerd inzicht in elke gebruikersactiviteit in hun browser, het detecteren en uitschakelen van ChatGPT-achtige browserextensies, het vereisen van toestemming of rechtvaardiging van de gebruiker om een generatieve AI-tool te gebruiken, en het afdwingen van het beveiligen van gegevens gebruik in al uw SaaS-apps. Geniet zonder risico van de productiviteit die wordt mogelijk gemaakt door generatieve AI-tools.
