通過網(wǎng)絡(luò)安全模擬和其他實踐對抗AI驅(qū)動的威脅
人工智能已經(jīng)進入多個商業(yè)領(lǐng)域。當世界其他地方都在討論其影響并應(yīng)對工作流程的變化時,網(wǎng)絡(luò)安全專家長期以來一直在處理人工智能在惡意攻擊中的使用。
盡管有這樣的經(jīng)歷,但人工智能日益復(fù)雜的程度總是導(dǎo)致安全專家迎頭趕上。隨著攻擊者使用更多的自學習算法來滲透網(wǎng)絡(luò),靜態(tài)安全態(tài)勢已經(jīng)過時。
那么,企業(yè)應(yīng)該怎么做?以下是每個組織都必須實施的 3 條原則,以應(yīng)對 AI 在數(shù)據(jù)泄露方面的上升。
進行網(wǎng)絡(luò)安全模擬
當被問及創(chuàng)建強大的安全框架時,模擬并不是流程專家首先想到的。然而,網(wǎng)絡(luò)安全模擬不僅僅是安裝一個平臺。這是一種哲學。持續(xù)測試您的安全狀況是模擬的一個例子。
通過探查和模仿攻擊者用來滲透您的系統(tǒng)的方法,您將了解要堵塞哪些漏洞以及您的弱點所在。安全模擬還涉及創(chuàng)建違規(guī)場景并測試您的組織的響應(yīng)情況。
這些練習與演習非常相似,讓您的組織有機會安裝穩(wěn)健的流程并培訓(xùn)員工采取正確的行動。模擬還擴展到安全培訓(xùn)措施。例如,您可以將安全培訓(xùn)游戲化并使用數(shù)據(jù)來創(chuàng)建量身定制的學習路徑。
這種方法與依賴安全專家提供的講座或研討會的典型安全培訓(xùn)計劃形成鮮明對比。這些研討會可以提高認識,但不能確保員工在面臨挑戰(zhàn)時改變他們的行為。即使他們知道攻擊向量,他們也很可能成為攻擊者的犧牲品。
模擬演練幫助他們了解他們在受控環(huán)境中行動的重要性。他們可以犯錯并從中吸取教訓(xùn)。最重要的是,模擬會照顧到不同級別的安全意識,并為每個人提供正確的課程。
例如,為什么開發(fā)人員應(yīng)該接受與銷售助理相同的課程?他們的技術(shù)能力不同,他們接受的培訓(xùn)必須反映這一點。模擬可幫助您無縫地解決這些差異。
采用零信任協(xié)議
普通企業(yè)依賴于基礎(chǔ)設(shè)施蔓延,其中包括微服務(wù)、云容器和 DevOps 管道。這些實體大多是自動化的,因為手動執(zhí)行和維護它們幾乎是不可能的。
然而,安全協(xié)議在很大程度上仍然是手動的。例如,盡管通過 DevSecOps 向左轉(zhuǎn)移,安全仍然是開發(fā)人員需要克服而不是集成的障礙。安全團隊為開發(fā)人員開發(fā)代碼模板,但在需要訪問時仍然手動簽入。
因此,大量訪問是預(yù)先確定的,以確保最佳的應(yīng)用程序性能。問題是這些硬編碼的訪問控制為惡意行為者提供了一種滲透系統(tǒng)的簡便方法。由于基礎(chǔ)薄弱,對此類基礎(chǔ)設(shè)施進行滲透測試毫無意義。
零信任或 ZK 是解決此問題的最佳方法。ZK 非常適合 DevOps 框架,它依靠自動化和 API 來連接組織中龐大的基礎(chǔ)設(shè)施。這讓安全團隊有更多時間專注于重要問題。
ZK 工具還允許安全團隊授予基于時間的訪問權(quán)限,并對他們的云容器實施額外的加密控制。因此,即使數(shù)據(jù)駐留在 CSP 中,您也可以控制您的數(shù)據(jù)。CSP 的安全密鑰遭到破壞不會影響您,因為附加層會保護您。
除了 ZK,您還可以遵循經(jīng)過時間考驗的安全框架,例如 MITRE ATT&CK,以確保您的安全設(shè)備遵循最佳實踐。安全框架可防止您重新發(fā)明輪子,并為您提供一組可輕松復(fù)制的工作流程。
結(jié)果是一個健壯的框架,一開始就由行業(yè)專家預(yù)先驗證。
檢查您的操作
如今,DevOps 幾乎出現(xiàn)在每個組織中,但它往往會忽視安全在創(chuàng)建出色產(chǎn)品中的作用。ZK 安全工具可幫助您將安全轉(zhuǎn)移到左側(cè),但要創(chuàng)建安全文化,您必須更深入地挖掘并檢查您的流程。
通常,安全是一個文化問題,而不是一個基于流程的問題。開發(fā)人員習慣于在緊迫的時間表上進行操作,并且可能無法采用新的基于安全的措施。包含安全性的關(guān)鍵是將其自動化并集成到 DevOps 管道中。
第一步是使用經(jīng)過安全預(yù)驗證的代碼模板。接下來,在每個開發(fā)團隊中安插一名安全團隊成員。這樣,開發(fā)人員在需要幫助時可以輕松獲得專家的幫助。最后,貴公司的管理人員必須宣揚安全對于創(chuàng)造出色產(chǎn)品的重要性。
安全性與您正在開發(fā)的任何功能一樣,都是一種產(chǎn)品特性,因此請將這一點傳達給您的員工。隨著時間的推移,他們會收到消息并開始認真對待安全問題。鑒于 AI 的急劇上升,現(xiàn)在每個員工都對安全負責。
人工智能將繼續(xù)存在
網(wǎng)絡(luò)安全模擬、ZT 和操作檢修是應(yīng)對 AI 對安全態(tài)勢構(gòu)成威脅的好方法。歸根結(jié)底,安全是一個文化問題。這樣對待它會帶來很好的結(jié)果。當與正確的工具結(jié)合使用時,您將設(shè)法顯著降低數(shù)據(jù)泄露的風險。