为了在新时代蓬勃发展,企业安全需要降低人工智能带来的风险,并充分利用它带来的机遇。人工智能(AI)正在开辟信息安全领域的新领域。能够独立学习、推理和行动的系统将越来越多地复制人类行为。就像人类一样,他们可能有缺陷,但也有能力做出伟大的事情。AI引入了新的信息风险,并使一些现有的信息风险更加危险。然而,它也可以永久使用,并且应该成为每个组织防御武器库的关键部分。在采用即将对日常业务至关重要的技术之前,业务和信息安全领导者都必须了解风险和机遇。人工智能已经在许多主流商业用例中找到了自己的出路。组织使用人工智能的变体来支持客户服务、人力资源和银行欺诈检测等领域的流程。然而,这种炒作可能会导致人们对AI的真正含义以及它对业务和安全的真正意义产生混淆和怀疑。很难将一厢情愿的想法与现实分开。人工智能带来的信息风险有哪些?随着组织采用人工智能系统,它们对日常业务运营将变得越来越重要。一些组织已经或将拥有完全依赖人工智能技术的商业模式。无论组织采用何种AI功能,此类系统和支持AI的信息本质上都是脆弱的,并且容易受到意外和对抗性风险的影响。受损的人工智能系统会做出错误的决定并产生意想不到的结果。与此同时,组织开始面临复杂的基于AI的攻击,这些攻击有可能以前所未有的速度和规模破坏信息并造成严重的业务影响。采取措施保护内部AI系统并抵御外部AI威胁对于降低信息风险至关重要。虽然组织采用的AI系统呈现出诱人的目标,但敌对攻击者也开始使用AI进行自己的攻击。AI是一种强大的工具,可用于增强甚至创建全新的攻击技术。组织必须做好准备,使防御措施适应基于人工智能的网络攻击的规模和复杂程度。人工智能提供的防御机会安全从业者总是在努力跟上攻击者使用的方法,而人工智能系统可以通过显着增强各种防御机制至少提供短期的能力提升。人工智能可以自动执行大量任务,帮助人手不足的安全部门填补专业知识缺口并提高从业人员的效率。为了保护自己免受现有威胁,人工智能可以让防御者领先一步。然而,对手并没有停滞不前——随着人工智能威胁变得越来越复杂,安全从业者将需要使用人工智能驱动的防御来跟上。人工智能在应对威胁方面的美妙之处在于它可以独立行动,在没有人类监督的情况下采取适当的行动,而且速度比人类快得多。考虑到恶意软件的存在几乎可以瞬间破坏整个系统,这是一个非常有价值的功能。人工智能可以显着增强防御机制的多种方式提供了乐观的理由,但与任何新技术一样,人工智能不是万灵药。安全从业者应该意识到部署防御性人工智能所涉及的实际挑战。在部署防御性AI系统之前要考虑的问题和注意事项范围很窄,旨在完成一项任务。他们需要足够的数据和输入来完成这项任务。单一的防御性AI系统不会增强之前概述的所有防御机制——一个组织可能会使用多个系统。在购买和部署防御性AI系统之前,安全领导者应考虑是否需要AI系统来解决问题,或者更传统的选择是否可以起到类似或更好的作用。要问的问题包括:问题是否有限?(例如,是否可以用一个数据集或一种类型的输入来解决它,或者它是否需要高水平的上下文理解,这通常由人提供更好?)组织是否有运营和优化AI需要哪些数据系统?安全领导者还需要考虑围绕防御性AI的治理问题,例如:防御性AI系统如何适应组织的安全治理架构?组织如何为防御性人工智能系统提供安全保障?它们是如何维护、备份、测试和修补防御性人工智能系统的?该组织是否有足够的技术人员来监督防御性人工智能系统?人工智能不会取代对具有技术专长和风险直觉的熟练安全从业人员的需求。这些安全从业者需要在人工监督的需求与让人工智能支持的控制自动有效地工作的信心之间取得平衡。这种信心需要时间来培养,尤其是随着人工智能被证明不可靠,或者做出错误或意外决定的故事不断出现。人工智能系统会出错,而人类监督的一个有益方面是,从业者可以在出现问题时提供反馈,并将其纳入人工智能的决策过程。当然,人类会犯错,采用防御性AI的组织需要投入时间、培训和支持来帮助安全从业者学习如何使用智能系统。如果有时间一起发展和学习,人类和人工智能的结合应该成为组织网络防御的重要组成部分。现在开始准备能够独立学习、推理和行动的计算机系统预示着一个充满风险和机遇的新技术时代。已经发生的进展只是冰山一角,未来还会有更多进展。随着对大数据访问的增加、计算能力的提高以及编程技术的不断改进,人工智能系统“思考”的速度和规模将会增加。这种力量,这种力量将有可能创造和摧毁一个企业。可用于防御的AI工具和技术也可以被恶意行为者使用,例如犯罪分子、黑客活动分子和政府支持的组织。这些对手很快就会发现使用AI来制造全新威胁的方法,例如智能恶意软件。使用传统控制的安全从业者将无法应对攻击的速度、数量和复杂性。为了在新时代蓬勃发展,组织需要降低AI带来的风险并充分利用AI带来的机遇。这意味着保护您自己的智能系统并部署您自己的智能防御。人工智能不再是遥远未来的愿景:现在是时候开始准备了!
