Ang mga generative AI tool tulad ng ChatGPT ay kasalukuyang sumisikat sa buong mundo. Tulad ng anumang bagong teknolohiya, kailangang makahanap ng paraan ang mga CISO upang yakapin ang mga oportunidad habang pinoprotektahan ang organisasyon mula sa mga panganib ng generative AI at ChatGPT. Suriin natin ang mga oportunidad at pinakamahusay na kasanayan sa seguridad sa artikulong ito.
Ano ang Generative AI?
Ang Generative AI ay isang uri ng AI na nakatuon sa paglikha at pagbuo ng mga bagong nilalaman gamit ang mga pamamaraan ng ML. Maaari itong magsama ng mga imahe, teksto, musika, o mga video. Hindi tulad ng karamihan sa mga pamamaraan ng AI na kumikilala ng mga pattern o gumagawa ng mga hula batay sa umiiral na data, ang generative AI ay naglalayong makagawa ng orihinal at malikhaing output.
Ang mga generative AI model ay batay sa mga LLM (Large Language Models), na nangangahulugang sinasanay sila sa malalaking dataset. Natututunan nila ang mga pinagbabatayang pattern at istruktura na nasa datos at ginagawang mga probability model ang mga ito. Pagkatapos, kapag binigyan ng "prompt," ginagamit nila ang natutunang kaalaman upang makabuo ng bagong nilalaman na katulad ng training data, ngunit hindi eksaktong kopya. Bilang resulta, ang mga generative AI model ay maaaring magdisenyo ng mga makatotohanang imahe, magsulat ng magkakaugnay na kwento o tula, gumawa ng musika, at maging gumawa ng mga makatotohanan at mala-tao na pag-uusap.
Isa sa mga karaniwang balangkas na ginagamit para sa generative AI ay tinatawag na GAN – Generative Adversarial Network. Ang mga GAN ay binubuo ng dalawang neural network: isang generator network at isang discriminator network. Ang generator network ay bumubuo ng bagong nilalaman, habang sinusuri ng discriminator network ang nabuong nilalaman at sinusubukang iiba ito mula sa totoong datos. Ang dalawang network ay sinasanay nang magkasama sa isang mapagkumpitensyang proseso kung saan nilalayon ng generator na gumawa ng lalong makatotohanang nilalaman na nanloloko sa discriminator, at sinisikap naman ng discriminator na maging mas mahusay sa pagtukoy ng nabuong nilalaman. Ang adversarial training na ito ay humahantong sa mataas na kalidad at magkakaibang nilalaman na nalilikha.
Ang mga generative AI tool ay may maraming gamit, kabilang ang sining, disenyo, libangan, at maging ang medisina. Gayunpaman, ang generative AI ay nagtataas din ng mga etikal na konsiderasyon, tulad ng potensyal para sa pagbuo ng pekeng nilalaman, maling paggamit ng teknolohiya, bias, at mga panganib sa cybersecurity.
Ang ChatGPT ay isang napakasikat na generative AI chatbot na inilabas noong Nobyembre 2022, na nagdulot ng malawakang atensyon sa konsepto at mga kakayahan ng mga generative AI tool.
Ano ang mga Panganib ng Generative AI?
Ang Generative AI ay may ilang kaugnay na panganib na kailangang malaman ng mga security team, tulad ng mga alalahanin sa privacy at phishing. Kabilang sa mga pangunahing panganib sa seguridad ang:
Mga Alalahanin sa Pagkapribado
Ang mga generative AI model ay sinasanay sa malalaking dami ng datos, na maaaring kabilang ang nilalamang binuo ng gumagamit. Kung hindi ito maayos na ginawang anonymous, maaaring malantad ang datos na ito habang isinasagawa ang pagsasanay at sa proseso ng pagbuo ng nilalaman, na magreresulta sa mga paglabag sa datos. Ang mga ganitong paglabag ay maaaring aksidente, ibig sabihin, ang impormasyon ay ibinibigay nang hindi nilayon ng gumagamit na ibahagi ito sa publiko, o sinasadya, sa pamamagitan ng mga inference attack, sa isang malisyosong pagtatangka na ilantad ang sensitibong impormasyon.
Kamakailan lamang, ang mga empleyado ng Samsung nag-paste ng sensitibong data sa ChatGPT, kabilang ang kumpidensyal na source code at mga pribadong tala ng pulong. Ang datos na iyon ay ginagamit na ngayon para sa pagsasanay ng ChatGPT at maaaring gamitin sa mga sagot na ibinibigay ng ChatGPT.
Mga Email na Phishing at Malware
Maaaring gamitin ng mga attacker ang generative AI upang makabuo ng nakakakumbinsi at mapanlinlang na nilalaman, kabilang ang mga phishing email, phishing website, o mga mensahe sa phishing, sa maraming wika. Maaari rin itong gamitin para sa pagpapanggap bilang mga pinagkakatiwalaang entity at tao. Maaari nitong mapataas ang rate ng tagumpay ng atake ng phishing at humahantong sa nakompromisong personal na impormasyon o mga kredensyal.
Bukod pa rito, maaaring gamitin ang generative AI upang makabuo ng malisyosong code o mga variant ng malware. Ang ganitong malware na pinapagana ng AI ay maaaring umangkop at umunlad batay sa mga interaksyon sa target na sistema, na nagpapahusay sa kanilang kakayahang malampasan ang mga depensa at atakehin ang mga sistema habang ginagawang mas mahirap para sa mga depensa ng seguridad na pagaanin ang mga ito.
Pamamahala sa Pag-access
Maaaring gamitin ng mga umaatake ang generative AI upang gayahin o bumuo ng mga makatotohanang kredensyal sa pag-access, tulad ng mga username at password. Maaari itong gamitin para sa paghula ng password, kredensyal na palaman at mga brute force attack, na nagbibigay-daan sa hindi awtorisadong pag-access sa mga system, account, o sensitibong data. Bukod pa rito, ang generative AI ay maaaring lumikha ng mga mapanlinlang na account o profile, na maaaring gamitin upang malampasan ang mga proseso at sistema ng pag-verify at para sa pag-access sa mga mapagkukunan.
Mga Pananakot sa Panloob
Ang mga generative AI tool ay maaaring malisyosong gamitin sa maling paraan ng mga indibidwal sa loob ng organisasyon para sa mga hindi awtorisadong aktibidad. Halimbawa, ang isang empleyado ay maaaring lumikha ng mga mapanlinlang na dokumento o manipulahin ang data, na humahantong sa potensyal na pandaraya, pakikialam sa data, o pagnanakaw ng intelektwal na ari-arian. Maaari ring hindi sinasadyang maglabas ng data ang mga empleyado sa mga tool na ito, na magreresulta sa mga paglabag sa data.
Tumaas na Attack Surface
Ang mga negosyong nagsasama ng mga generative AI tool sa kanilang stack ay maaaring magdulot ng mga bagong kahinaan. Ang mga tool na ito ay maaaring makipag-ugnayan sa mga system at API, na lumilikha ng mga karagdagang entry point para sa mga attacker na mapagsamantalahan.
Mga Paraan na Maaaring Bawasan ng mga Negosyo ang mga Panganib sa Seguridad ng Generative AI at ChatGPT
Ang generative AI ay nagdudulot ng mga oportunidad at panganib sa seguridad. Maaaring gawin ng mga negosyo ang mga sumusunod na hakbang upang matiyak na matatamasa nila ang mga benepisyo ng produktibidad at seguridad ng ChatGPT nang hindi nalalantad sa mga panganib:
Risk Assessment
Magsimula sa pamamagitan ng pagmamapa ng mga potensyal na panganib sa seguridad na nauugnay sa paggamit ng mga generative AI tool sa iyong negosyo. Tukuyin ang mga lugar kung saan ang generative AI ay nagdudulot ng mga kahinaan sa seguridad o potensyal na maling paggamit. Halimbawa, maaari mong i-highlight ang organisasyon ng inhinyero bilang isang grupo na nanganganib na maglabas ng sensitibong code. O, maaari mong tukuyin ang mga extension ng browser na tulad ng ChatGPT bilang isang panganib at kailanganin ang mga ito na hindi paganahin.
Kontrol sa Pag-access, Pagpapatotoo at Awtorisasyon
Magpatupad ng matibay na mga kontrol sa pag-access at mga mekanismo ng beripikasyon upang pamahalaan ang pag-access sa iyong mga sistema pati na rin ang mga aksyon na maaaring gawin ng iyong mga empleyado sa mga generative AI tool. Halimbawa, ang isang platform ng seguridad ng browser maaaring pumigil sa iyong mga empleyado sa pag-paste ng sensitibong code sa mga tool tulad ng ChatGPT.
Mga Regular na Update sa Software at Patching
Manatiling updated sa mga pinakabagong release at security patch para sa iyong mga system. Mag-apply agad ng mga update upang matugunan ang anumang kilalang kahinaan at maprotektahan laban sa mga umuusbong na banta. Sa paggawa nito, mapapahusay mo ang iyong seguridad at mapoprotektahan laban sa lahat ng banta, kabilang ang mga banta na dulot ng mga umaatake na gumagamit ng generative AI.
Pagsubaybay at Pagtuklas ng Anomalya
Mag-deploy ng mga solusyon sa pagsubaybay upang matukoy at tumugon sa mga potensyal na insidente sa seguridad o mga hindi pangkaraniwang aktibidad na may kaugnayan sa mga generative AI tool. Magpatupad ng mga real-time na mekanismo sa pagtukoy ng anomalya upang matukoy ang mga kahina-hinalang pag-uugali, tulad ng mga hindi awtorisadong pagtatangka sa pag-access o mga abnormal na pattern ng data.
Edukasyon at Kamalayan ng Gumagamit
Sanayin ang mga empleyado at gumagamit tungkol sa mga panganib na nauugnay sa generative AI, kabilang ang phishing, sosyal na engineering, at iba pang mga banta sa seguridad. Magbigay ng mga alituntunin kung paano tukuyin at tutugon sa mga potensyal na pag-atake o mga kahina-hinalang aktibidad. Regular na palakasin ang kamalayan sa seguridad sa pamamagitan ng mga programa sa pagsasanay at mga kampanya sa kamalayan.
Bilang pandagdag sa mga pagsasanay na ito, makakatulong ang isang platform ng seguridad ng browser sa pamamagitan ng paghingi ng pahintulot o pagbibigay-katwiran sa paggamit ng isang generative AI tool.
Pagsusuri sa Seguridad ng Vendor
Kung bibili ka ng mga generative AI tool mula sa mga third-party vendor, magsagawa ng masusing pagtatasa ng seguridad ng kanilang mga iniaalok. Suriin ang kanilang mga kasanayan sa seguridad, mga pamamaraan sa paghawak ng data, at pagsunod sa mga pamantayan ng industriya. Tiyaking inuuna ng mga vendor ang seguridad at mayroong matibay na balangkas ng seguridad.
Pagtugon sa Insidente at Pagbawi
Bumuo ng plano ng pagtugon sa insidente na partikular na tumutugon sa mga generative na insidente sa seguridad na may kaugnayan sa AI. Magtatag ng malinaw na mga pamamaraan para sa pagtukoy, pagpigil, at pagbawi mula sa mga paglabag o pag-atake sa seguridad. Regular na subukan at i-update ang plano ng pagtugon sa insidente upang umangkop sa mga umuusbong na banta.
Pakikipagtulungan sa Mga Eksperto sa Seguridad
Humingi ng gabay mula sa mga propesyonal sa seguridad o mga consultant na dalubhasa sa seguridad ng AI at machine learning. Matutulungan ka nila na matukoy ang mga potensyal na panganib, ipatupad ang mga pinakamahusay na kasanayan, at tiyaking ang iyong mga generative AI system ay sapat na ligtas.
Paano Mapipigilan ng LayerX ang Pagtagas ng Data sa ChatGPT at Iba Pang Generative AI Platforms
Plataporma ng Seguridad ng Browser ng LayerX Binabawasan nito ang panganib ng pagkakalantad ng datos ng organisasyon, tulad ng datos ng customer at intelektwal na ari-arian, na dulot ng ChatGPT at iba pang generative AI platform. Sinusuportahan ito ng pagpapagana ng configuration ng patakaran upang maiwasan ang pag-paste ng mga text string, pagbibigay ng detalyadong visibility sa bawat aktibidad ng user sa kanilang browser, pag-detect at pag-disable ng mga extension ng browser na tulad ng ChatGPT, paghingi ng pahintulot o pagbibigay-katwiran ng user upang gumamit ng generative AI tool, at pagpapatupad ng pag-secure ng paggamit ng datos sa lahat ng iyong SaaS app. Tangkilikin ang produktibidad na pinapagana ng mga generative AI tool nang walang panganib.
