Lãnh đạo tư tưởng

Bảo mật chuỗi cung ứng phần mềm với Trí tuệ nhân tạo

mm
Đã xuất bản
Đã cập nhật

Không có bí mật nào rằng phần mềm là một phần của cuộc sống hàng ngày của chúng tôi. Chúng tôi sử dụng nó để giữ lịch trình, kết nối với bạn bè và gia đình, quản lý tài chính và thực hiện các nhiệm vụ hàng ngày cho công việc. Sự tiện lợi và tốc độ mà nó mang lại cho chúng tôi, cũng mang lại cho các tội phạm mạng. Đặc biệt là trong những năm gần đây, đã không thể bỏ qua tác động của các cuộc tấn công mạng, đã đóng cửa các tiện ích, đóng băng hoạt động của các công ty lớn,泄露 thông tin cá nhân và cạnh tranh nhạy cảm, và đã được sử dụng để thu thập hàng triệu đô la tiền chuộc.

Lợi ích và Thử thách của Trí tuệ nhân tạo

Trí tuệ nhân tạo (AI) đã tạo ra những khả năng mới thú vị cho chúng tôi trong thương mại và hiệu quả hàng ngày, và nó đã làm điều tương tự cho các tội phạm mạng. Năm này qua năm khác, chúng tôi thấy quy mô và sự tinh vi của các cuộc tấn công tăng lên. Với sự xuất hiện của các công nghệ đổi mới như mạng lưới biên – cho phép giai đoạn phát triển tiếp theo của các thứ như ô tô tự động và 6G – chúng tôi cũng tạo ra nhiều vector tấn công cho các tác nhân đe dọa. Hiện nay, rõ ràng rằng bảo mật mạng không chỉ là điều cần thiết để bảo vệ nền tảng của cuộc sống hiện tại, mà còn để bảo vệ thành công của tương lai. Bảo mật AI là điều không thể thiếu đối với thách thức này.

Một hình ảnh phản chiếu của những gì nó làm cho các kẻ tấn công, AI đóng vai trò là một nhân tố tăng cường cho các đội bảo mật. Quy mô là một trong những yếu tố quan trọng của kinh doanh,当然, nhưng cũng là sự phức tạp, đặc biệt là khi nói đến mạng lưới. AI có thể tăng cường khả năng của một đội bảo mật tốt lên gấp nhiều lần, cho phép họ tìm, ưu tiên và khắc phục các lỗ hổng mạng mà có thể đã bị mất trong đống trước đây. Sự chính xác là chìa khóa ở đây: bằng cách ưu tiên các rủi ro nguy hiểm nhất thông qua AI, các đội bảo mật có thể giảm thiểu rủi ro một cách liên tục.

Beyond các khía cạnh kỹ thuật, AI kết hợp với các bước như hợp nhất bảo mật tạo ra những lợi ích to lớn khi nói đến trải nghiệm người dùng. Thay vì phải thành thạo nhiều công cụ riêng biệt (và đôi khi khá phức tạp) với khả năng tương tác hạn chế và các cổng riêng biệt, người dùng được trao quyền bởi các công cụ AI để làm việc trong một giao diện trực quan, đối thoại. Điều quan trọng là, nó cho phép các đội làm việc từ một cửa sổ tập trung, cung cấp một cái nhìn tổng quan về toàn bộ mạng lưới từ đó để lập chiến lược và điều phối bảo mật.

Điều này tạo ra hiệu quả công việc không thể sao chép được nếu không có hợp nhất và AI. Tất nhiên, chúng tôi tương tác với AI dưới dạng phần mềm. Điều đó có nghĩa là nó không miễn nhiễm với khai thác. Bảo mật AI – không chỉ trong bảo mật, mà còn trong các công cụ hoạt động – phải là một ưu tiên.

Thực tế, các mô hình AI chính nó đang trở thành mục tiêu, vì các đối thủ tìm cách ảnh hưởng đến cách AI được đào tạo và hoạt động bằng cách độc dữ liệu và tìm kiếm và khai thác điểm yếu trực tiếp thông qua các lời nhắc. Họ có thể sử dụng công nghệ giả mạo sâu để làm suy yếu các biện pháp bảo vệ như trò chuyện giọng nói và video. Họ triển khai AI tạo để tạo ra các mồi câu lừa đảo hoàn hảo về mặt ngữ pháp cho kỹ thuật xã hội. Các công cụ AI chuyên dụng có thể quét mạng để tìm và khai thác các lỗ hổng với quy mô chưa từng có. Có một số bước quan trọng mà các tổ chức phải thực hiện để bảo mật việc sử dụng AI của họ.

Lợi ích của Zero Trust cho Trí tuệ nhân tạo

Trước hết và quan trọng nhất, điều quan trọng là phải quản lý nghiêm ngặt việc truy cập vào các dịch vụ và dữ liệu AI. Truy cập mạng Zero Trust (ZTNA) là một phần không thể thiếu của hầu hết các nền tảng bảo mật AI tập trung, và nó là một trong những điều quan trọng nhất. Không có phân đoạn nghiêm ngặt, các công ty vẫn dễ bị tổn thương bởi một kẻ tấn công, người có thể xâm nhập thông qua bất kỳ vector nào – thường nhất là thông tin đăng nhập bị xâm phạm – và sau đó di chuyển ngang sang các hoạt động và dữ liệu có lợi nhuận và gây hại nhất. Với Zero Trust, mỗi người chỉ được cấp quyền truy cập họ cần để thực hiện công việc của mình và không hơn, hạn chế thiệt hại từ bất kỳ truy cập không được ủy quyền nào. Ngoài ra, Zero Trust cũng có thể xác định hành vi người dùng nằm ngoài phạm vi thông thường, vì vậy ngay cả các tình huống xâm phạm người dùng được nhắm mục tiêu cũng có thể được xác định và khắc phục nhanh chóng.

ZTNA cần được kết hợp với các biện pháp bảo vệ AI cụ thể khác. Bảo mật đường ống AI, để các tổ chức có hiểu biết tốt về dữ liệu họ đang tiêu thụ, nguồn gốc và công dụng cụ thể, chứ không phải hút mọi thứ có sẵn, là một ưu tiên. Giáo dục người dùng sẽ ngày càng quan trọng khi các công cụ AI, đặc biệt là các công cụ tạo ra như ChatGPT, lan rộng đến các nhân viên không kỹ thuật hàng ngày. Thiết lập một giao thức cho các lời nhắc bảo mật là một ví dụ, để nhân viên không làm mất thông tin thương mại hoặc thông tin cạnh tranh nhạy cảm hoặc dữ liệu nhạy cảm khác lên các công cụ AI công cộng. Chúng tôi đã thấy tác động này có thể xảy ra với các công ty, thậm chí đến mức làm mất hiệu lực các bằng sáng chế.

AI không chỉ là một xu hướng nhất thời. Nó có đặc điểm của một công nghệ nền tảng mà sự đổi mới của tương lai có thể được xây dựng. Nhưng để đạt được những lợi ích đó, bảo mật trở thành mục tiêu chiến lược chính, một động cơ của sự đổi mới, chứ không phải là một điều được xem xét sau. Thực hiện các hệ thống bảo mật AI tập trung để bảo mật việc sử dụng AI là bước đầu tiên hướng tới tương lai. Bằng cách tận dụng bảo mật AI theo cách này, các tổ chức có thể tận dụng hiệu quả toàn bộ công cụ của họ để trở nên hiệu quả hơn và thúc đẩy hoạt động, chất lượng, tăng trưởng và phát triển tốt hơn.

mm

Mark Ostrowski là người đứng đầu bộ phận Kỹ thuật của khu vực Đông tại Mỹ của Check Point Software. Mark có hơn 20 năm kinh nghiệm trong lĩnh vực bảo mật thông tin và đã giúp thiết kế và hỗ trợ một số môi trường bảo mật lớn nhất trong nước. Với vai trò là người truyền đạt ý tưởng tại Check Point Software, Mark cung cấp tư duy lãnh đạo cho ngành công nghiệp bảo mật thông tin, phác họa bức tranh mối đe dọa hiện tại và giúp các tổ chức hiểu cách họ có thể chủ động giảm thiểu và quản lý rủi ro trong thế giới chuyển đổi số. Mark sở hữu bằng cấp từ trường kỹ thuật tại UMass Dartmouth.