對(duì)于GenAI的潛力,高管的看法對(duì)許多CISO來說猶如迷人的海妖之歌。
根據(jù)NTT Data最近的一項(xiàng)調(diào)查,89%的高管“非常擔(dān)心與GenAI部署相關(guān)的潛在安全風(fēng)險(xiǎn)”,但報(bào)告發(fā)現(xiàn),這些同樣的高管認(rèn)為“GenAI的潛力和投資回報(bào)率超過了風(fēng)險(xiǎn)”——這種情況可能讓CISO成為風(fēng)險(xiǎn)管理理性聲音中的孤勇者。
而且,這可能已經(jīng)產(chǎn)生了負(fù)面影響,因?yàn)楦鶕?jù)調(diào)查,近一半的企業(yè)CISO“對(duì)GenAI持負(fù)面看法”,感到“壓力重重、受到威脅、不堪重負(fù)”。
這種沖突并不陌生,高管們向業(yè)務(wù)部門負(fù)責(zé)人施壓,要求他們采用新技術(shù)以提高效率并提升業(yè)績(jī),但GenAI是一項(xiàng)風(fēng)險(xiǎn)極高的業(yè)務(wù)——可以說比迄今為止的任何技術(shù)風(fēng)險(xiǎn)都高,它會(huì)產(chǎn)生幻覺、繞過防護(hù)欄、危及合規(guī)性,并吞噬敏感的企業(yè)數(shù)據(jù),而企業(yè)在未進(jìn)行適當(dāng)安全加固的情況下迅速接納它,同時(shí)受到供應(yīng)商推動(dòng),這些供應(yīng)商強(qiáng)調(diào)功能而非安全。
Moor Insights & Strategy的副總裁兼首席分析師Will Townsend表示:“這是蠻荒的西部,大量的AI應(yīng)用和大型語言模型選擇讓人難以審查哪些是安全的,還有一些應(yīng)用看似合法,實(shí)則是數(shù)據(jù)外泄和勒索軟件攻擊的陰謀。”“對(duì)數(shù)據(jù)泄露的擔(dān)憂是真實(shí)的,我們已經(jīng)看到這種情況發(fā)生,同時(shí)伴隨著通過提示注入攻擊引入惡意代碼。”
Townsend表示,CISO面臨的最棘手的GenAI問題之一是,許多GenAI供應(yīng)商在選擇用于訓(xùn)練模型的數(shù)據(jù)時(shí)過于隨意。“這會(huì)給企業(yè)帶來安全風(fēng)險(xiǎn)。”
資深安全領(lǐng)導(dǎo)者Jim Routh曾在Mass Mutual、CVS、Aetna、KPMG、American Express和JP Morgan Chase擔(dān)任過CISO級(jí)別的職務(wù),他表示,GenAI滲透到SaaS解決方案中使問題更加嚴(yán)重。
如今擔(dān)任安全供應(yīng)商Saviynt首席信任官的Routh表示:“GenAI的攻擊面已經(jīng)改變。過去是企業(yè)用戶使用最大供應(yīng)商提供的基礎(chǔ)模型。如今,數(shù)百個(gè)SaaS應(yīng)用程序嵌入了大型語言模型(LLM),并在企業(yè)中廣泛使用,軟件工程師在HuggingFace.com上有超過100萬個(gè)開源LLM可供使用。”
Robert Taylor是一名專注于AI和網(wǎng)絡(luò)安全法律策略的律師,并在達(dá)拉斯的知識(shí)產(chǎn)權(quán)律師事務(wù)所Carstens, Allen & Gourley擔(dān)任法律顧問,他表示,他在各種規(guī)模的企業(yè)中各層級(jí)都看到了一個(gè)共同的主題。
Taylor說:“他們不知道自己不知道什么,至少CISO已經(jīng)準(zhǔn)備好考慮風(fēng)險(xiǎn),并對(duì)AI帶來的安全風(fēng)險(xiǎn)有所了解,但AI帶來了許多新的安全風(fēng)險(xiǎn),他們正在努力應(yīng)對(duì),有一些項(xiàng)目正在評(píng)估GenAI產(chǎn)生的多種類型的安全風(fēng)險(xiǎn),我聽說安全風(fēng)險(xiǎn)類別數(shù)以百計(jì),甚至遠(yuǎn)遠(yuǎn)超過一千種。”
Townsend推測(cè),所有這些都可能對(duì)CISO的心理產(chǎn)生負(fù)面影響。“當(dāng)他們感到不堪重負(fù)時(shí),他們就會(huì)放棄,”他說,“他們會(huì)做自己覺得能做的事,而忽略那些他們覺得無法控制的事。”
問題日益加劇
與此同時(shí),在高管們不斷推進(jìn)的同時(shí),讓他們的CISO因風(fēng)險(xiǎn)而不堪重負(fù),而攻擊者則在迅速行動(dòng)。
Taylor表示:“不法分子正在狂熱地試圖以惡意方式利用這些新技術(shù),因此CISO們有理由擔(dān)心這些新的GenAI解決方案和系統(tǒng)如何被利用。”“GenAI解決方案不是傳統(tǒng)的軟件和服務(wù),它們有一些其他技術(shù)不必應(yīng)對(duì)的漏洞。”
Taylor認(rèn)為,更糟糕的是,與傳統(tǒng)技術(shù)風(fēng)險(xiǎn)相比,GenAI的風(fēng)險(xiǎn)更加無形且不斷變化。
Taylor說:“GenAI在部署后會(huì)繼續(xù)變化,這進(jìn)一步增加了安全風(fēng)險(xiǎn)的機(jī)會(huì),如提示注入、數(shù)據(jù)投毒以及從與GenAI共享的信息中提取機(jī)密信息或個(gè)人身份信息(PII)。”
Forrester的副總裁兼首席分析師Jeff Pollard指出,特別是提示安全,“如果企業(yè)有面向客戶或面向員工但影響客戶的提示,可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問或披露,那么提示安全就是立即且必要的。”
Pollard表示,而且這個(gè)問題很快就會(huì)變得更加嚴(yán)重。“重要的是現(xiàn)在就要學(xué)會(huì)如何保護(hù)這些,因?yàn)檫@是第一個(gè)可能在企業(yè)中廣泛部署的GenAI版本。具有主體性的AI很快就會(huì)到來——如果它還沒有到來的話,這將需要這些控制措施以及更多措施來確保正確安全。”
企業(yè)網(wǎng)D1net(hfnxjk.com):
國(guó)內(nèi)主流的to B IT門戶,旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)