生成式AI Gen AI 資安 網路安全 模型訓練

用魔法對付魔法攻擊 GenAI時代網路安全新策略

生成式AI為資安雙面刃 加劇網路威脅也增進防禦

2024-09-11
不同於過往的任何科技,生成式AI快速地顛覆了商業和社會原本的運作方式,促使企業領袖們重新思考原有的觀點、計畫和策略。為了幫助CEO們掌握快速變化的形勢,IBM商業價值研究院發表了一系列主題式、以研究結果為基礎的「生成式AI應用指南」,本篇主題為網路安全。

生成式AI催生了新型態的網路威脅,駭客有了更多的機會利用漏洞,也可以透過更多途徑進行惡意活動。幸運的是,「反之亦然」:生成式AI可以強化企業的防禦能力。短期來說,生成式AI讓曾經一度繁重的資安流程變為高效。透過分析海量資料並識別模式和異常,生成式AI可以及時辨認新出現的威脅。

隨著駭客不斷採用新的攻擊方式,網路安全團隊也需要與時俱進,跟上最新的安全形勢。在這場「貓捉老鼠」的遊戲中,時刻保持警覺將是管理安全漏洞並保持領先一步的關鍵。

每位企業領袖都需要知道,生成式AI技術帶來了新的風險與威脅。如果沒有安全的資料,就無法應用可信任的生成式AI;而在網路安全領域應用生成式AI,將可達到事半功倍的效果。企業應該將生成式AI視為迫切需要加以保護的重要工具平台,並且讓可信任的資料成為全企業的「樑柱」。同時,根據「速度」和「規模」兩個標準,重新定位與調整對網路安全的投資。

生成式AI帶來新的風險與威脅

生成式AI為網路攻擊提供了全新的「彈藥庫」。當今的駭客不再只是偽造電子郵件,而是可以模仿聲音、容貌,甚至個性來誘騙受害者。而這些還只是開始。

隨著生成式AI在今年更為普及,專家們預測,新型態的入侵攻擊的規模、速度、複雜度和精準度將創新高;各種新的威脅形式也會持續湧現。從可能性和潛在影響的角度來看,遭受大規模的自主攻擊將成為企業最大的風險。不過,受訪主管們倒是有不同的看法,他們認為駭客偽造或冒充真實用戶將對企業產生最大的影響,其次是創建惡意程式碼。

企業採用生成式AI的方式也會帶來新的風險。事實上,47%的受訪主管擔心在營運中採用生成式AI,會引發針對企業內部AI模型、資料或服務的新型態攻擊;幾乎所有受訪主管(96%)異口同聲地表示,採用生成式AI可能會使其組織在未來三年內出現安全性漏洞。

資料洩露為全球各型態的組織增加的平均成本為445萬美元,在美國更高達948萬美元。因此許多企業正在加大投資力度,來應對新興網路安全風險。受訪主管表示,其組織2023年的AI網路安全預算比2021年增加了51%。預計到2025年,這項預算將再增加43%。

顯然,企業資安長應該立即採取行動,應對生成式AI的風險,而不是採取分段措施。包含理解當前的AI風險狀況、確保整個AI管道安全無虞,以及投資部署專為保護AI而設計的新型防禦措施。

掌握自身的AI風險

召開董事會等級的會議,召集網路安全、技術、資料和營運主管,共同探討不斷演進的風險,包括哪些使用生成式AI的方式有可能暴露企業機敏資料,並允許未經授權即可存取系統資料。讓每位成員都認識新興的「抗性」AI——即便是在核心資料集發生幾乎察覺不到的細微變化,也可能導致惡意結果。

保護整個AI系統安全無虞

重點放在為用於訓練和調優AI模型的資料進行保護和加密。在模型開發過程中,持續掃描漏洞、惡意軟體和破壞,並在部署模型後監控特定的AI攻擊(例如資料污染和模型盜竊)。

投資部署專為保護AI而設計的新型防禦措施

儘管可以透過擴展現有的安全控制和專業知識,來保護支援AI系統的基礎架構和資料,但偵測和阻止針對AI的抗性攻擊需要採用全新的方法。

安全的資料是應用生成式AI的基礎

資料是生成式AI的命脈;所有模型都仰賴資料來回覆查詢,提供洞察。正因為如此,受訓練的資料成為網路攻擊的主要目標。駭客竊取資料,想以高價出售,資料滲透則提供了獲取非法利潤的新途徑。如果駭客可以更改影響組織生成式AI模型的資料,就可以透過有針對性的操縱或錯誤資訊來影響組織決策。這種不斷演變的威脅,帶來了一系列新的、關於法律、安全和隱私的問題;CEO們需要在全企業層面管理它們。

高階主管們看到上述問題的嚴重性。當採用生成式AI時,84%的受訪主管擔心大規模或極嚴重的網路安全攻擊,有可能造成新的安全漏洞。三分之一的受訪主管表示,如果缺乏全新的治理方式,例如完整的監管框架和獨立的外部審計,就無從管理這些風險。

總體而言,94%的受訪主管認為在部署前確保AI解決方案的安全性,至關重要。然而,只有24%的生成式AI導入專案,計畫在未來六個月內納入網路安全能力。同時有69%的受訪主管表示,談論到應用生成式AI,創新的優先層級高於網路安全。這些數字表明了:理解生成式AI網路安全的需求與落實網路安全之間,存在明顯的落差。為了避免代價高昂且不必要的後果,CEO需要採取有力措施來應對資料網路安全議題,包括投資提升資料保護的能力(例如加密和匿名處理),以及建立資料追蹤與溯源系統,為生成式AI模型所使用的資料品質,提供更好的保障。 企業需要讓可信任的資料成為組織的樑柱;在發展自身的網路安全措施時,考量多種生成式AI模型與數據服務。

將信任與安全嵌入AI應用

以安全、隱私、治理和符規為中心、優先處理資料策略與控管工作。

強調透明度和問責制在管理風險方面,對於防止偏見、幻覺和其他問題的重要性。

為AI績效保護資料

讓資安官負責找出正在訓練或調優的敏感性資料,並將其分類,然後建置防止資料遺失的解決方案,以免因為下指令而洩漏了企業資料。針對機器學習資料集,執行存取資料政策與控管。將AI建模的用途擴及到針對生成式AI的威脅,例如資料污染,以及給出包含機敏資料或不恰當的內容。

將網路安全視為企業的「產品」,將利害關係人視為客戶

網路安全對於保障AI專案順利推進以協助增加營收,扮演著關鍵角色。

為了保障在產品中使用的AI安全,必須讓團隊理解生成式AI可能帶來的網路安全威脅,並強調改變行為以改善資料和安全的價值。確保網路安全成效與業務成效相一致,從而鼓勵採用。

在網路安全領域應用生成式AI可事半功倍

若將生成式AI應用於網路安全領域,可以有效地推進企業發展。

生成式AI可以自動執行重複且耗時的任務,讓資安團隊專心處理更複雜、更具策略性的安全業務。生成式AI還可以偵測和調查威脅行動,並且從歷史事件中學習,以即時調整組織的回應策略。

由於商業效益顯著,CEO面對快速、全面導入生成式AI的壓力。但為了避免這項投資拖累了以成長為動能的企業結構體,企業領袖必須利用生成式AI技術來增加組織韌性。也就是說,主管們不但要避免導入生成式AI的風險,還可以藉著這項科技來增強組織能力。

超過一半的受訪主管(52%)表示,生成式AI將協助他們優化資源分配、能力、人才或技能;而92%的受訪主管表示,採用生成式AI技術將可能增強或提升資安團隊的能力,而不是取代現有人力。

這些新興技術工具可以幫助團隊降低工作的複雜度,專注於最重要的任務。

或許正是如此,84%的受訪主管計畫優先建置生成式AI網路安全解決方案,而非傳統的網路安全解決方案。在網路安全領域使用生成式AI,有助於在整個企業生態系中實現「倍數」效應。

84%的受訪主管表示,開放創新與生態系對於其組織的成長非常重要。由於企業希望建立有助於創新和成長的夥伴關係,故大多數受訪主管預期,是否具備生成式AI的能力,將影響其組織在未來兩年間對選擇雲端運算(59%)和全企業(62%)的生態合作夥伴的選擇。

隨著技術日益成熟,生成式AI在降低風險和創造價值方面的潛力將不斷增加。利用這項新技術、建立全面風險管理能力和韌性的企業,將能夠搶佔先機、「行穩致遠」,並為未來的成長找到有力的制高點。

根據「速度」和「規模」兩項標準,重新定位與調整對網路安全的投資

企業應該讓AI成為強化安全防禦的重要工具,鼓勵資安主管將生成式AI和自動化嵌入到其工具箱,以便大規模地快速應對資安風險與事件。這將大幅提高員工生產力,並讓網路安全賦能企業成長。

運用AI加速實現資安成效

讓不需要人類專業知識和判斷力的日常任務自動化。運用生成式AI簡化人機協作類型的任務,例如生成安全原則、主動搜尋威脅、事件回應等。

部署AI偵測新型態的威脅

更新工具和技術,使資安團隊在速度、規模、準確度和成熟度與駭客並駕齊驅。運用生成式AI更快地識別攻擊模式和異常,讓團隊及時發現新的威脅向量,防患於未然。

合作力量大

與值得信賴的商業夥伴合作,共同定義企業的AI安全成熟度,並執行完備的生成式AI策略,為全公司創造價值。

<本文作者:林翰為台灣IBM諮詢總經理>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!