Generative AI-verktøy som ChatGPT tar verden med storm. Som all ny teknologi, må CISO-er finne en måte å omfavne mulighetene samtidig som de beskytter organisasjonen mot generative AI- og ChatGPT-risikoer. La oss utforske mulighetene og beste fremgangsmåter for sikkerhet i denne artikkelen.
Hva er Generativ AI?
Generativ AI er en type AI som er fokusert på å skape og generere nytt innhold med ML-teknikker. Dette kan inkludere bilder, tekst, musikk eller videoer. I motsetning til de fleste AI-tilnærminger som gjenkjenner mønstre eller gir spådommer basert på eksisterende data, har generativ AI som mål å produsere originale og kreative resultater.
Generative AI-modeller er basert på LLM-er (Large Language Models), som betyr at de er trent på store datasett. De lærer de underliggende mønstrene og strukturene som finnes i dataene og gjør dem om til sannsynlighetsmodeller. Når de deretter får en "forespørsel" bruker de den lærte kunnskapen til å generere nytt innhold som ligner treningsdataene, men ikke en eksakt kopi. Som et resultat kan generative AI-modeller designe realistiske bilder, skrive sammenhengende historier eller dikt, komponere musikk og til og med produsere realistiske og menneskelignende samtaler.
Et av de vanlige rammeverkene som brukes for generativ AI kalles GAN – Generative Adversarial Network. GAN-er består av to nevrale nettverk: et generatornettverk og et diskriminatornettverk. Generatornettverket genererer nytt innhold, mens diskriminatornettverket evaluerer det genererte innholdet og prøver å skille det fra ekte data. De to nettverkene trenes sammen i en konkurranseprosess der generatoren har som mål å produsere stadig mer realistisk innhold som lurer diskriminatoren, og diskriminatoren streber etter å bli flinkere til å identifisere generert innhold. Denne motstridende opplæringen fører til at høykvalitets og mangfoldig innhold blir skapt.
Generative AI-verktøy har flere bruksområder, inkludert kunst, design, underholdning og til og med medisin. Generativ kunstig intelligens reiser imidlertid også etiske hensyn, som potensialet for å generere falskt innhold, misbruk av teknologien, skjevheter og cybersikkerhetsrisiko.
ChatGPT er en ekstremt populær generativ AI-chatbot som ble utgitt i november 2022, som ga bred oppmerksomhet til konseptet og mulighetene til generative AI-verktøy.
Hva er risikoen med generativ AI?
Generativ AI har flere assosierte risikoer som sikkerhetsteam må være oppmerksomme på, som personvernproblemer og phishing. De viktigste sikkerhetsrisikoene inkluderer:
Personvern Bekymringer
Generative AI-modeller er trent på store mengder data, som kan inkludere brukergenerert innhold. Hvis de ikke er ordentlig anonymisert, kan disse dataene bli avslørt under opplæringsprosessen og i innholdsutviklingsprosessen, noe som resulterer i datainnbrudd. Slike brudd kan være tilfeldige, dvs. informasjon gis uten at brukeren har til hensikt at den skal deles offentlig, eller med vilje, gjennom slutningsangrep, i et ondsinnet forsøk på å avsløre sensitiv informasjon.
Bare nylig, Samsung-ansatte limte inn sensitive data i ChatGPT, inkludert konfidensiell kildekode og private møtenotater. Disse dataene brukes nå til ChatGPT-trening og kan brukes i svarene ChatGPT gir.
Phishing-e-poster og skadelig programvare
Generativ AI kan brukes av angripere til å generere overbevisende og villedende innhold, inkludert phishing-e-poster, phishing-nettsteder eller phishing-meldinger, på flere språk. Den kan også brukes til å etterligne pålitelige enheter og personer. Disse kan øke suksessraten på phishing-angrep og føre til kompromittert personlig informasjon eller legitimasjon.
I tillegg kan generativ AI brukes til å generere ondsinnet kode eller malware-varianter. Slik AI-drevet skadevare kan tilpasse seg og utvikle seg basert på interaksjoner med målsystemet, og forbedrer deres evne til å omgå forsvar og angrepssystemer samtidig som det gjør det vanskeligere for sikkerhetsforsvar å redusere dem.
Adgangsadministrasjon
Angripere kan bruke generativ AI for å simulere eller generere realistiske tilgangslegitimasjoner, for eksempel brukernavn og passord. Disse kan brukes til å gjette passord, legitimasjonsstopping og brute force-angrep, som muliggjør uautorisert tilgang til systemer, kontoer eller sensitive data. I tillegg kan generativ AI opprette uredelige kontoer eller profiler, som kan brukes til å omgå verifiseringsprosesser og systemer og for å få tilgang til ressurser.
Innsidertrusler
Generative AI-verktøy kan misbrukes av enkeltpersoner i organisasjonen for uautoriserte aktiviteter. En ansatt kan for eksempel generere uredelige dokumenter eller manipulere data, noe som kan føre til potensiell svindel, tukling av data eller tyveri av intellektuell eiendom. Ansatte kan også utilsiktet lekke data til disse verktøyene, noe som resulterer i datainnbrudd.
Økt angrepsoverflate
Bedrifter som integrerer generative AI-verktøy i stabelen sin, introduserer potensielt nye sårbarheter. Disse verktøyene kan samhandle med systemer og APIer, og skape flere inngangspunkter som angripere kan utnytte.
Måter bedrifter kan redusere generativ AI og ChatGPT-sikkerhetsrisiko
Generativ AI utgjør muligheter og sikkerhetsrisikoer. Bedrifter kan ta følgende tiltak for å sikre at de kan nyte produktivitetsfordelene og ChatGPT-sikkerheten uten å bli utsatt for risikoen:
Risk Assessment
Start med å kartlegge de potensielle sikkerhetsrisikoene knyttet til bruken av generative AI-verktøy i virksomheten din. Identifiser områdene der generativ AI introduserer sikkerhetssårbarheter eller potensielt misbruk. Du kan for eksempel fremheve ingeniørorganisasjonen som en gruppe med risiko for å lekke sensitiv kode. Eller du kan identifisere ChatGPT-lignende nettleserutvidelser som en risiko og kreve at de deaktiveres.
Tilgangskontroll, autentisering og autorisasjon
Implementer sterke tilgangskontroller og verifiseringsmekanismer for å styre tilgangen til systemene dine, samt handlingene dine ansatte kan utføre i generative AI-verktøy. For eksempel, en nettlesersikkerhetsplattform kan hindre de ansatte i å lime inn sensitiv kode i verktøy som ChatGPT.
Regelmessige programvareoppdateringer og oppdateringer
Hold deg oppdatert med de siste utgivelsene og sikkerhetsoppdateringene for systemene dine. Bruk oppdateringer umiddelbart for å løse alle kjente sårbarheter og beskytte mot nye trusler. Ved å gjøre det vil du forbedre sikkerhetsstillingen din og beskytte mot alle trusler, inkludert de som utgjøres av angripere som bruker generativ AI.
Overvåking og anomalideteksjon
Distribuer overvåkingsløsninger for å oppdage og svare på potensielle sikkerhetshendelser eller uvanlige aktiviteter relatert til generative AI-verktøy. Implementer anomalideteksjonsmekanismer i sanntid for å identifisere mistenkelig oppførsel, for eksempel uautoriserte tilgangsforsøk eller unormale datamønstre.
Brukerutdanning og bevissthet
Lær ansatte og brukere om risikoen forbundet med generativ AI, inkludert phishing, sosialteknikk, og andre sikkerhetstrusler. Gi retningslinjer for hvordan du identifiserer og reagerer på potensielle angrep eller mistenkelige aktiviteter. Styrk regelmessig sikkerhetsbevissthet gjennom opplæringsprogrammer og bevissthetskampanjer.
For å utfylle disse opplæringene kan en nettlesersikkerhetsplattform hjelpe ved å kreve brukersamtykke eller begrunnelse for å bruke et generativt AI-verktøy.
Leverandørsikkerhetsvurdering
Hvis du anskaffer generative AI-verktøy fra tredjepartsleverandører, foreta en grundig sikkerhetsvurdering av tilbudene deres. Evaluer deres sikkerhetspraksis, datahåndteringsprosedyrer og overholdelse av industristandarder. Sørg for at leverandørene prioriterer sikkerhet og har et robust sikkerhetsrammeverk på plass.
Hendelsesrespons og gjenoppretting
Utvikle en responsplan for hendelser som spesifikt tar for seg generative AI-relaterte sikkerhetshendelser. Etabler klare prosedyrer for å oppdage, inneholde og gjenopprette fra sikkerhetsbrudd eller angrep. Test og oppdater regelmessig hendelsesresponsplanen for å tilpasse seg nye trusler.
Samarbeid med sikkerhetseksperter
Søk veiledning fra sikkerhetseksperter eller konsulenter som spesialiserer seg på AI og maskinlæringssikkerhet. De kan hjelpe deg med å identifisere potensielle risikoer, implementere beste praksis og sikre at dine generative AI-systemer er tilstrekkelig sikret.
Hvordan LayerX kan forhindre datalekkasje på ChatGPT og andre generative AI-plattformer
LayerXs nettlesersikkerhetsplattform reduserer eksponeringsrisikoen for organisasjonsdata, som kundedata og åndsverk, som utgjøres av ChatGPT og andre generative Al-plattformer. Dette støttes ved å aktivere policykonfigurasjon for å forhindre innliming av tekststrenger, gi detaljert synlighet i hver brukeraktivitet på nettleseren deres, oppdage og deaktivere ChatGPT-lignende nettleserutvidelser, kreve brukersamtykke eller begrunnelse for å bruke et generativt AI-verktøy, og håndheve sikring av data bruk på tvers av alle SaaS-appene dine. Nyt produktiviteten aktivert av generative AI-verktøy uten risiko.
