AI 時代的數據安全三大原則
AI 的炒作和採用似乎正處於歷史高點,根據標準普爾 (S&P) 最近發佈的一份全球 AI 趨勢報告,將近 70% 的受訪者表示,他們目前至少有一個 AI 專案正在投入生產。雖然 AI 的前景可以從根本上重塑業務運營,但它也產生新的風險途徑,無異為大多數企業目前仍束手無策的攻擊者開啟大門。
在過去的 6 個月裡,三份報告 (標準普爾 2023 年 AI 全球趨勢報告、Foundry 2023 年 AI 優先研究以及 Forrester 的安全和隱私問題是採用生成式 AI 的最大障礙報告) 都有相同的發現:數據安全性對於希望採用和實作生成式 AI 的企業來說,構成最大的挑戰和障礙。人們對於實作 AI 的興趣日益高漲,直接增加企業在其雲端環境中儲存的數據量。毫不令人意外地,跨不同雲端架構 (通常也跨越不同地理管轄區) 儲存、存取和處理的數據越多,隨之產生的安全和隱私風險就越大。
如果企業不採取適當的保護措施,他們很快就會成為網路罪犯的主要目標,根據 Unit 42® 2024 年事件回應報告,網路罪犯竊取數據的速度不斷加快,其中有 45% 的攻擊者在展開入侵後的一天之內就能將數據外洩。一旦我們進入這個數據即命脈的新「AI 時代」,了解並優先考慮數據安全的企業將處於領先地位,並且能夠安全地追求 AI 所提供的一切,而不必擔心對於未來造成的衝擊。
為有效的數據安全計劃奠定基礎
全新 AI 時代的有效數據安全計劃包含三個原則:
保護 AI:所有 AI 部署 (包括數據、管道和模型輸出) 都無法以孤立的方式得到保護。安全計劃需要考慮 AI 系統的使用環境及其對敏感數據暴露、有效存取和法規合規性的影響。
AI 模型的保護本身就意味著在整個 AI 管道中對於模型風險、過度存取權限和數據流量違規等情況的識別。
防範 AI:與大多數新技術一樣,人工智慧就像是一把雙面刃。越來越多的網路罪犯會利用 AI 來產生和執行大規模攻擊。就現階段而言,攻擊者會利用生成式 AI 來建立惡意軟體、撰寫能吸引目光的網路釣魚電子郵件,並透過深偽技術在網路上傳播假訊息。攻擊者也有可能會入侵生成式 AI 工具和大型語言模式本身。這可能會導致數據洩露,受影響的工具所產生的內容也可能遭到汙染。
運用 AI 確保安全:AI 如何能成為防禦戰略不可或缺的一部分?防禦技術的採用為防禦者開啟前所未有的預測、追蹤和阻止網路攻擊可能性。AI 提供一種簡化的方法來過濾威脅,並確定最關鍵威脅的優先順序,進而為安全分析師節省無數時間。AI 在模式識別方面也特別有效,這意味著能夠在更早的階段阻止重複攻擊鏈 (例如勒索軟體) 的威脅。
若能夠將這三個數據安全原則置於重心,企業就可以更有信心地利用 AI 進行探索和創新,而不必擔心其會讓公司面臨風險。