如同其他新興技術一樣,生成式AI也沒能逃過雙刃劍的命運。
一方面,生成式AI具有巨大的潛力和價值,可以改變生活、工作和教育等多方面,諸多企業都在積極利用生成式AI為業務賦能,加速數智轉型的程序。但另一方面,生成式AI也可能引發資料隱私和安全問題,或是被用於網路攻擊。
當然,技術本身是中立的,它的使用和影響取決於使用它的人。對於更多企業來說,既要應對生成式AI帶來的安全威脅,也要正確合理地確保生成式AI安全落地,保障生成式AI系統的安全。
近日,亞馬遜首席安全官Steve Schmidt接受了《華爾街日報》的訪談,對生成式AI時代下的企業安全熱點議題發表了觀點,並提出了可行建議。Steve還從亞馬遜安全團隊的自身實踐切入,展示了當下企業安全面臨的挑戰變化以及應對措施,包括從程式碼初始階段提升安全效率、資料安全策略制定和推進的做法及建議,以及安全團隊利用AI對抗駭客和人才短缺等領域所做的努力。
利用開箱即用的生成式AI應用,從程式碼階段推動安全行業進級
作為雲計算領域的引領者,亞馬遜和亞馬遜雲科技很早就開始擁抱生成式AI技術,並且在去年上半年推出了全託管式生成式AI服務Amazon Bedrock、用於程式碼生成的智慧服務Amazon CodeWhisperer以及專為企業業務量身定製的生成式人工智慧工作助手AmazonQ。
Steve Schmidt表示,利用生成式AI提升安全程式碼的編寫工作能夠有效推動整個行業進入更高級別的安全領域。
具體到安全層面,在最初的階段編寫更加安全的程式碼是生成式AI帶來的重大影響,對任何企業都是如此,從安全和成本的角度考慮,一開始就編寫安全的程式碼比在編寫完成後、已經進行了整合測試甚至交付給客戶後再去修改咬好得多。事實上,程式碼的編寫方式是資訊保安中最大的槓桿因素之一,開始階段的微小問題可能導致嚴重的安全後果,而生成式AI在這方面可以發揮很多作用。
拿Amazon CodeWhisperer來說,作為具備內建安全功能的AI編碼助手,它可以幫助開發者基於註釋生成程式碼,追蹤開源參考,掃描查詢漏洞,同時其定製功能允許客戶安全地將Amazon CodeWhisperer連線到內部程式碼儲存,以建立多種定製,這為Amazon CodeWhisperer提供了生成符合企業使用內部庫或API、最佳實踐和架構模式的程式碼所需的上下文。客戶可以細緻控制哪些開發者可以訪問這些定製,並且每個定製都與Amazon CodeWhisperer基礎模型隔離。
使用生成式AI時的挑戰及建議
在談到企業在使用生成式AI要注意的安全問題時,Steve Schmidt認為以下三個問題要優先考慮。
首先是資料來源,企業需要知道用資料訓練模型的整個工作流程中,資料的來源是哪裡,以及資料是如何被處理和保護的。
其次是對查詢資料的保護。因為訓練資料並不是企業需要關注的唯一敏感資料集,當企業和使用者開始使用生成式AI和大模型後,會很快掌握如何讓查詢更有效,並在查詢中新增更多細節和具體要求以獲得更好的結果。但查詢這個過程也可能涉及到敏感資訊,企業需要清楚這些資料如何被生成式AI服務處理以及查詢結果是如何產生的。
最後則是AI模型輸出的準確性。從安全形度來看,生成式AI的使用場景定義了風險,由於不同的場景對輸出的準確性各有不同,企業需要保證輸出的結果是準確且符合最佳實踐的。
結合亞馬遜內部的實踐經驗,Steve Schmidt也給出了企業利用生成式AI進行創新時的三條建議。
第一,指導員工安全地使用AI。安全團隊說“不”很容易,但絕非正確的做法,企業在使用生成式AI時最好的做法是教育、告知、指導、設定防護欄,並使用能夠滿足預設目標的雲服務,同時還需要精確瞭解這些服務如何使用和留存資料。
第二,提高資料的可見性。企業需要透過可見性工具瞭解員工如何使用資料,同時需要限制在工作需求之外的資料訪問。一旦監控到員工在非工作需求之外對敏感資料進行訪問,可以及時加以制止。在其他情況下,如果員工使用的資料不太敏感,但違反了政策,企業也可以主動聯絡員工瞭解其目的並尋求解決之道。
第三,透過機制解決問題。機制作為可重複使用的工具,是允許企業隨著時間流逝準確驅動特定行為的,例如在員工出現違規操作時,系統可以透過彈窗等方式來提示員工,並建議使用特定的內部工具,同時可以根據相關問題進行報告。
利用生成式AI對抗網路威脅
在網路安全領域,生成式AI會被駭客用濫用在網路攻擊領域,也會被安全工作人員當做絕佳的防禦工具。例如在2023年3月,微軟推出了Security Copilot工具,這是一個可以強化安全防護能力的工具,該工具可以透過自動化任務,彙集來自多個來源的安全資料和警報,從而快速檢測和響應威脅,以幫助安全團隊提升工作效率。
事實上,透過生成式AI模型構建自動響應流程可以對預定的時間進行快速響應和輸出,尤其是在人工互動領域,大模型可以讓不懂技術的管理人員在安全事件發生時快速理解事件原貌。拿亞馬遜來說,Amazon Detective有一個基於生成式AI的流程來構建安全事件的文字描述,這意味著安全工程師可以拿到準備好的內容,對其進行調整,確保準確,用於解釋正在發生的事件,從而節省數小時的時間。
藉助生成式AI環節網路安全人才短缺
生成式AI技術的一大用途就是把繁重的工作從工程人才身上移走,以讓他們專注於那些真正需要專業知識或者人類判斷力的事情。Steve Schmidt認為,藉助生成式AI提升安全工程師的效率可以有效緩解安全人才短缺。例如使用人工智慧和機器學習技術更快更有效地識別和解決問題。近期生成式AI在檢測客戶賬戶異常行為方面發揮了很大作用,可以更加準確地隔離和提醒個別使用者的高度可疑行為。透過引入生成式AI,企業的安全團隊可以將精力集中在戰略業務計劃和更高價值的任務上,而不僅僅是發現和響應事件。
隨著生成式AI時代的到來,人工智慧將和企業安全相互影響。考慮到生成式AI的強大能力,企業需要透過強有力的安全措施來持續監視、定期更新和修補來應對風險,讓生成式AI為企業產出更多價值。Steve Schmidt的建議,無疑很好反映了亞馬遜雲科技在構建生成式AI創新安全體系方面的豐富經驗和積極探索。
(8666838)
如同其他新興技術一樣,生成式AI也沒能逃過雙刃劍的命運。
一方面,生成式AI具有巨大的潛力和價值,可以改變生活、工作和教育等多方面,諸多企業都在積極利用生成式AI為業務賦能,加速數智轉型的程序。但另一方面,生成式AI也可能引發資料隱私和安全問題,或是被用於網路攻擊。
當然,技術本身是中立的,它的使用和影響取決於使用它的人。對於更多企業來說,既要應對生成式AI帶來的安全威脅,也要正確合理地確保生成式AI安全落地,保障生成式AI系統的安全。
近日,亞馬遜首席安全官Steve Schmidt接受了《華爾街日報》的訪談,對生成式AI時代下的企業安全熱點議題發表了觀點,並提出了可行建議。Steve還從亞馬遜安全團隊的自身實踐切入,展示了當下企業安全面臨的挑戰變化以及應對措施,包括從程式碼初始階段提升安全效率、資料安全策略制定和推進的做法及建議,以及安全團隊利用AI對抗駭客和人才短缺等領域所做的努力。
利用開箱即用的生成式AI應用,從程式碼階段推動安全行業進級
作為雲計算領域的引領者,亞馬遜和亞馬遜雲科技很早就開始擁抱生成式AI技術,並且在去年上半年推出了全託管式生成式AI服務Amazon Bedrock、用於程式碼生成的智慧服務Amazon CodeWhisperer以及專為企業業務量身定製的生成式人工智慧工作助手AmazonQ。
Steve Schmidt表示,利用生成式AI提升安全程式碼的編寫工作能夠有效推動整個行業進入更高級別的安全領域。
具體到安全層面,在最初的階段編寫更加安全的程式碼是生成式AI帶來的重大影響,對任何企業都是如此,從安全和成本的角度考慮,一開始就編寫安全的程式碼比在編寫完成後、已經進行了整合測試甚至交付給客戶後再去修改咬好得多。事實上,程式碼的編寫方式是資訊保安中最大的槓桿因素之一,開始階段的微小問題可能導致嚴重的安全後果,而生成式AI在這方面可以發揮很多作用。
拿Amazon CodeWhisperer來說,作為具備內建安全功能的AI編碼助手,它可以幫助開發者基於註釋生成程式碼,追蹤開源參考,掃描查詢漏洞,同時其定製功能允許客戶安全地將Amazon CodeWhisperer連線到內部程式碼儲存,以建立多種定製,這為Amazon CodeWhisperer提供了生成符合企業使用內部庫或API、最佳實踐和架構模式的程式碼所需的上下文。客戶可以細緻控制哪些開發者可以訪問這些定製,並且每個定製都與Amazon CodeWhisperer基礎模型隔離。
使用生成式AI時的挑戰及建議
在談到企業在使用生成式AI要注意的安全問題時,Steve Schmidt認為以下三個問題要優先考慮。
首先是資料來源,企業需要知道用資料訓練模型的整個工作流程中,資料的來源是哪裡,以及資料是如何被處理和保護的。
其次是對查詢資料的保護。因為訓練資料並不是企業需要關注的唯一敏感資料集,當企業和使用者開始使用生成式AI和大模型後,會很快掌握如何讓查詢更有效,並在查詢中新增更多細節和具體要求以獲得更好的結果。但查詢這個過程也可能涉及到敏感資訊,企業需要清楚這些資料如何被生成式AI服務處理以及查詢結果是如何產生的。
最後則是AI模型輸出的準確性。從安全形度來看,生成式AI的使用場景定義了風險,由於不同的場景對輸出的準確性各有不同,企業需要保證輸出的結果是準確且符合最佳實踐的。
結合亞馬遜內部的實踐經驗,Steve Schmidt也給出了企業利用生成式AI進行創新時的三條建議。
第一,指導員工安全地使用AI。安全團隊說“不”很容易,但絕非正確的做法,企業在使用生成式AI時最好的做法是教育、告知、指導、設定防護欄,並使用能夠滿足預設目標的雲服務,同時還需要精確瞭解這些服務如何使用和留存資料。
第二,提高資料的可見性。企業需要透過可見性工具瞭解員工如何使用資料,同時需要限制在工作需求之外的資料訪問。一旦監控到員工在非工作需求之外對敏感資料進行訪問,可以及時加以制止。在其他情況下,如果員工使用的資料不太敏感,但違反了政策,企業也可以主動聯絡員工瞭解其目的並尋求解決之道。
第三,透過機制解決問題。機制作為可重複使用的工具,是允許企業隨著時間流逝準確驅動特定行為的,例如在員工出現違規操作時,系統可以透過彈窗等方式來提示員工,並建議使用特定的內部工具,同時可以根據相關問題進行報告。
利用生成式AI對抗網路威脅
在網路安全領域,生成式AI會被駭客用濫用在網路攻擊領域,也會被安全工作人員當做絕佳的防禦工具。例如在2023年3月,微軟推出了Security Copilot工具,這是一個可以強化安全防護能力的工具,該工具可以透過自動化任務,彙集來自多個來源的安全資料和警報,從而快速檢測和響應威脅,以幫助安全團隊提升工作效率。
事實上,透過生成式AI模型構建自動響應流程可以對預定的時間進行快速響應和輸出,尤其是在人工互動領域,大模型可以讓不懂技術的管理人員在安全事件發生時快速理解事件原貌。拿亞馬遜來說,Amazon Detective有一個基於生成式AI的流程來構建安全事件的文字描述,這意味著安全工程師可以拿到準備好的內容,對其進行調整,確保準確,用於解釋正在發生的事件,從而節省數小時的時間。
藉助生成式AI環節網路安全人才短缺
生成式AI技術的一大用途就是把繁重的工作從工程人才身上移走,以讓他們專注於那些真正需要專業知識或者人類判斷力的事情。Steve Schmidt認為,藉助生成式AI提升安全工程師的效率可以有效緩解安全人才短缺。例如使用人工智慧和機器學習技術更快更有效地識別和解決問題。近期生成式AI在檢測客戶賬戶異常行為方面發揮了很大作用,可以更加準確地隔離和提醒個別使用者的高度可疑行為。透過引入生成式AI,企業的安全團隊可以將精力集中在戰略業務計劃和更高價值的任務上,而不僅僅是發現和響應事件。
隨著生成式AI時代的到來,人工智慧將和企業安全相互影響。考慮到生成式AI的強大能力,企業需要透過強有力的安全措施來持續監視、定期更新和修補來應對風險,讓生成式AI為企業產出更多價值。Steve Schmidt的建議,無疑很好反映了亞馬遜雲科技在構建生成式AI創新安全體系方面的豐富經驗和積極探索。
(8666838)
如同其他新興技術一樣,生成式AI也沒能逃過雙刃劍的命運。
一方面,生成式AI具有巨大的潛力和價值,可以改變生活、工作和教育等多方面,諸多企業都在積極利用生成式AI為業務賦能,加速數智轉型的程序。但另一方面,生成式AI也可能引發資料隱私和安全問題,或是被用於網路攻擊。
當然,技術本身是中立的,它的使用和影響取決於使用它的人。對於更多企業來說,既要應對生成式AI帶來的安全威脅,也要正確合理地確保生成式AI安全落地,保障生成式AI系統的安全。
近日,亞馬遜首席安全官Steve Schmidt接受了《華爾街日報》的訪談,對生成式AI時代下的企業安全熱點議題發表了觀點,並提出了可行建議。Steve還從亞馬遜安全團隊的自身實踐切入,展示了當下企業安全面臨的挑戰變化以及應對措施,包括從程式碼初始階段提升安全效率、資料安全策略制定和推進的做法及建議,以及安全團隊利用AI對抗駭客和人才短缺等領域所做的努力。
利用開箱即用的生成式AI應用,從程式碼階段推動安全行業進級
作為雲計算領域的引領者,亞馬遜和亞馬遜雲科技很早就開始擁抱生成式AI技術,並且在去年上半年推出了全託管式生成式AI服務Amazon Bedrock、用於程式碼生成的智慧服務Amazon CodeWhisperer以及專為企業業務量身定製的生成式人工智慧工作助手AmazonQ。
Steve Schmidt表示,利用生成式AI提升安全程式碼的編寫工作能夠有效推動整個行業進入更高級別的安全領域。
具體到安全層面,在最初的階段編寫更加安全的程式碼是生成式AI帶來的重大影響,對任何企業都是如此,從安全和成本的角度考慮,一開始就編寫安全的程式碼比在編寫完成後、已經進行了整合測試甚至交付給客戶後再去修改咬好得多。事實上,程式碼的編寫方式是資訊保安中最大的槓桿因素之一,開始階段的微小問題可能導致嚴重的安全後果,而生成式AI在這方面可以發揮很多作用。
拿Amazon CodeWhisperer來說,作為具備內建安全功能的AI編碼助手,它可以幫助開發者基於註釋生成程式碼,追蹤開源參考,掃描查詢漏洞,同時其定製功能允許客戶安全地將Amazon CodeWhisperer連線到內部程式碼儲存,以建立多種定製,這為Amazon CodeWhisperer提供了生成符合企業使用內部庫或API、最佳實踐和架構模式的程式碼所需的上下文。客戶可以細緻控制哪些開發者可以訪問這些定製,並且每個定製都與Amazon CodeWhisperer基礎模型隔離。
使用生成式AI時的挑戰及建議
在談到企業在使用生成式AI要注意的安全問題時,Steve Schmidt認為以下三個問題要優先考慮。
首先是資料來源,企業需要知道用資料訓練模型的整個工作流程中,資料的來源是哪裡,以及資料是如何被處理和保護的。
其次是對查詢資料的保護。因為訓練資料並不是企業需要關注的唯一敏感資料集,當企業和使用者開始使用生成式AI和大模型後,會很快掌握如何讓查詢更有效,並在查詢中新增更多細節和具體要求以獲得更好的結果。但查詢這個過程也可能涉及到敏感資訊,企業需要清楚這些資料如何被生成式AI服務處理以及查詢結果是如何產生的。
最後則是AI模型輸出的準確性。從安全形度來看,生成式AI的使用場景定義了風險,由於不同的場景對輸出的準確性各有不同,企業需要保證輸出的結果是準確且符合最佳實踐的。
結合亞馬遜內部的實踐經驗,Steve Schmidt也給出了企業利用生成式AI進行創新時的三條建議。
第一,指導員工安全地使用AI。安全團隊說“不”很容易,但絕非正確的做法,企業在使用生成式AI時最好的做法是教育、告知、指導、設定防護欄,並使用能夠滿足預設目標的雲服務,同時還需要精確瞭解這些服務如何使用和留存資料。
第二,提高資料的可見性。企業需要透過可見性工具瞭解員工如何使用資料,同時需要限制在工作需求之外的資料訪問。一旦監控到員工在非工作需求之外對敏感資料進行訪問,可以及時加以制止。在其他情況下,如果員工使用的資料不太敏感,但違反了政策,企業也可以主動聯絡員工瞭解其目的並尋求解決之道。
第三,透過機制解決問題。機制作為可重複使用的工具,是允許企業隨著時間流逝準確驅動特定行為的,例如在員工出現違規操作時,系統可以透過彈窗等方式來提示員工,並建議使用特定的內部工具,同時可以根據相關問題進行報告。
利用生成式AI對抗網路威脅
在網路安全領域,生成式AI會被駭客用濫用在網路攻擊領域,也會被安全工作人員當做絕佳的防禦工具。例如在2023年3月,微軟推出了Security Copilot工具,這是一個可以強化安全防護能力的工具,該工具可以透過自動化任務,彙集來自多個來源的安全資料和警報,從而快速檢測和響應威脅,以幫助安全團隊提升工作效率。
事實上,透過生成式AI模型構建自動響應流程可以對預定的時間進行快速響應和輸出,尤其是在人工互動領域,大模型可以讓不懂技術的管理人員在安全事件發生時快速理解事件原貌。拿亞馬遜來說,Amazon Detective有一個基於生成式AI的流程來構建安全事件的文字描述,這意味著安全工程師可以拿到準備好的內容,對其進行調整,確保準確,用於解釋正在發生的事件,從而節省數小時的時間。
藉助生成式AI環節網路安全人才短缺
生成式AI技術的一大用途就是把繁重的工作從工程人才身上移走,以讓他們專注於那些真正需要專業知識或者人類判斷力的事情。Steve Schmidt認為,藉助生成式AI提升安全工程師的效率可以有效緩解安全人才短缺。例如使用人工智慧和機器學習技術更快更有效地識別和解決問題。近期生成式AI在檢測客戶賬戶異常行為方面發揮了很大作用,可以更加準確地隔離和提醒個別使用者的高度可疑行為。透過引入生成式AI,企業的安全團隊可以將精力集中在戰略業務計劃和更高價值的任務上,而不僅僅是發現和響應事件。
隨著生成式AI時代的到來,人工智慧將和企業安全相互影響。考慮到生成式AI的強大能力,企業需要透過強有力的安全措施來持續監視、定期更新和修補來應對風險,讓生成式AI為企業產出更多價值。Steve Schmidt的建議,無疑很好反映了亞馬遜雲科技在構建生成式AI創新安全體系方面的豐富經驗和積極探索。
(8666838)
如同其他新興技術一樣,生成式AI也沒能逃過雙刃劍的命運。
一方面,生成式AI具有巨大的潛力和價值,可以改變生活、工作和教育等多方面,諸多企業都在積極利用生成式AI為業務賦能,加速數智轉型的程序。但另一方面,生成式AI也可能引發資料隱私和安全問題,或是被用於網路攻擊。
當然,技術本身是中立的,它的使用和影響取決於使用它的人。對於更多企業來說,既要應對生成式AI帶來的安全威脅,也要正確合理地確保生成式AI安全落地,保障生成式AI系統的安全。
近日,亞馬遜首席安全官Steve Schmidt接受了《華爾街日報》的訪談,對生成式AI時代下的企業安全熱點議題發表了觀點,並提出了可行建議。Steve還從亞馬遜安全團隊的自身實踐切入,展示了當下企業安全面臨的挑戰變化以及應對措施,包括從程式碼初始階段提升安全效率、資料安全策略制定和推進的做法及建議,以及安全團隊利用AI對抗駭客和人才短缺等領域所做的努力。
利用開箱即用的生成式AI應用,從程式碼階段推動安全行業進級
作為雲計算領域的引領者,亞馬遜和亞馬遜雲科技很早就開始擁抱生成式AI技術,並且在去年上半年推出了全託管式生成式AI服務Amazon Bedrock、用於程式碼生成的智慧服務Amazon CodeWhisperer以及專為企業業務量身定製的生成式人工智慧工作助手AmazonQ。
Steve Schmidt表示,利用生成式AI提升安全程式碼的編寫工作能夠有效推動整個行業進入更高級別的安全領域。
具體到安全層面,在最初的階段編寫更加安全的程式碼是生成式AI帶來的重大影響,對任何企業都是如此,從安全和成本的角度考慮,一開始就編寫安全的程式碼比在編寫完成後、已經進行了整合測試甚至交付給客戶後再去修改咬好得多。事實上,程式碼的編寫方式是資訊保安中最大的槓桿因素之一,開始階段的微小問題可能導致嚴重的安全後果,而生成式AI在這方面可以發揮很多作用。
拿Amazon CodeWhisperer來說,作為具備內建安全功能的AI編碼助手,它可以幫助開發者基於註釋生成程式碼,追蹤開源參考,掃描查詢漏洞,同時其定製功能允許客戶安全地將Amazon CodeWhisperer連線到內部程式碼儲存,以建立多種定製,這為Amazon CodeWhisperer提供了生成符合企業使用內部庫或API、最佳實踐和架構模式的程式碼所需的上下文。客戶可以細緻控制哪些開發者可以訪問這些定製,並且每個定製都與Amazon CodeWhisperer基礎模型隔離。
使用生成式AI時的挑戰及建議
在談到企業在使用生成式AI要注意的安全問題時,Steve Schmidt認為以下三個問題要優先考慮。
首先是資料來源,企業需要知道用資料訓練模型的整個工作流程中,資料的來源是哪裡,以及資料是如何被處理和保護的。
其次是對查詢資料的保護。因為訓練資料並不是企業需要關注的唯一敏感資料集,當企業和使用者開始使用生成式AI和大模型後,會很快掌握如何讓查詢更有效,並在查詢中新增更多細節和具體要求以獲得更好的結果。但查詢這個過程也可能涉及到敏感資訊,企業需要清楚這些資料如何被生成式AI服務處理以及查詢結果是如何產生的。
最後則是AI模型輸出的準確性。從安全形度來看,生成式AI的使用場景定義了風險,由於不同的場景對輸出的準確性各有不同,企業需要保證輸出的結果是準確且符合最佳實踐的。
結合亞馬遜內部的實踐經驗,Steve Schmidt也給出了企業利用生成式AI進行創新時的三條建議。
第一,指導員工安全地使用AI。安全團隊說“不”很容易,但絕非正確的做法,企業在使用生成式AI時最好的做法是教育、告知、指導、設定防護欄,並使用能夠滿足預設目標的雲服務,同時還需要精確瞭解這些服務如何使用和留存資料。
第二,提高資料的可見性。企業需要透過可見性工具瞭解員工如何使用資料,同時需要限制在工作需求之外的資料訪問。一旦監控到員工在非工作需求之外對敏感資料進行訪問,可以及時加以制止。在其他情況下,如果員工使用的資料不太敏感,但違反了政策,企業也可以主動聯絡員工瞭解其目的並尋求解決之道。
第三,透過機制解決問題。機制作為可重複使用的工具,是允許企業隨著時間流逝準確驅動特定行為的,例如在員工出現違規操作時,系統可以透過彈窗等方式來提示員工,並建議使用特定的內部工具,同時可以根據相關問題進行報告。
利用生成式AI對抗網路威脅
在網路安全領域,生成式AI會被駭客用濫用在網路攻擊領域,也會被安全工作人員當做絕佳的防禦工具。例如在2023年3月,微軟推出了Security Copilot工具,這是一個可以強化安全防護能力的工具,該工具可以透過自動化任務,彙集來自多個來源的安全資料和警報,從而快速檢測和響應威脅,以幫助安全團隊提升工作效率。
事實上,透過生成式AI模型構建自動響應流程可以對預定的時間進行快速響應和輸出,尤其是在人工互動領域,大模型可以讓不懂技術的管理人員在安全事件發生時快速理解事件原貌。拿亞馬遜來說,Amazon Detective有一個基於生成式AI的流程來構建安全事件的文字描述,這意味著安全工程師可以拿到準備好的內容,對其進行調整,確保準確,用於解釋正在發生的事件,從而節省數小時的時間。
藉助生成式AI環節網路安全人才短缺
生成式AI技術的一大用途就是把繁重的工作從工程人才身上移走,以讓他們專注於那些真正需要專業知識或者人類判斷力的事情。Steve Schmidt認為,藉助生成式AI提升安全工程師的效率可以有效緩解安全人才短缺。例如使用人工智慧和機器學習技術更快更有效地識別和解決問題。近期生成式AI在檢測客戶賬戶異常行為方面發揮了很大作用,可以更加準確地隔離和提醒個別使用者的高度可疑行為。透過引入生成式AI,企業的安全團隊可以將精力集中在戰略業務計劃和更高價值的任務上,而不僅僅是發現和響應事件。
隨著生成式AI時代的到來,人工智慧將和企業安全相互影響。考慮到生成式AI的強大能力,企業需要透過強有力的安全措施來持續監視、定期更新和修補來應對風險,讓生成式AI為企業產出更多價值。Steve Schmidt的建議,無疑很好反映了亞馬遜雲科技在構建生成式AI創新安全體系方面的豐富經驗和積極探索。
(8666838)
如同其他新興技術一樣,生成式AI也沒能逃過雙刃劍的命運。
一方面,生成式AI具有巨大的潛力和價值,可以改變生活、工作和教育等多方面,諸多企業都在積極利用生成式AI為業務賦能,加速數智轉型的程序。但另一方面,生成式AI也可能引發資料隱私和安全問題,或是被用於網路攻擊。
當然,技術本身是中立的,它的使用和影響取決於使用它的人。對於更多企業來說,既要應對生成式AI帶來的安全威脅,也要正確合理地確保生成式AI安全落地,保障生成式AI系統的安全。
近日,亞馬遜首席安全官Steve Schmidt接受了《華爾街日報》的訪談,對生成式AI時代下的企業安全熱點議題發表了觀點,並提出了可行建議。Steve還從亞馬遜安全團隊的自身實踐切入,展示了當下企業安全面臨的挑戰變化以及應對措施,包括從程式碼初始階段提升安全效率、資料安全策略制定和推進的做法及建議,以及安全團隊利用AI對抗駭客和人才短缺等領域所做的努力。
利用開箱即用的生成式AI應用,從程式碼階段推動安全行業進級
作為雲計算領域的引領者,亞馬遜和亞馬遜雲科技很早就開始擁抱生成式AI技術,並且在去年上半年推出了全託管式生成式AI服務Amazon Bedrock、用於程式碼生成的智慧服務Amazon CodeWhisperer以及專為企業業務量身定製的生成式人工智慧工作助手AmazonQ。
Steve Schmidt表示,利用生成式AI提升安全程式碼的編寫工作能夠有效推動整個行業進入更高級別的安全領域。
具體到安全層面,在最初的階段編寫更加安全的程式碼是生成式AI帶來的重大影響,對任何企業都是如此,從安全和成本的角度考慮,一開始就編寫安全的程式碼比在編寫完成後、已經進行了整合測試甚至交付給客戶後再去修改咬好得多。事實上,程式碼的編寫方式是資訊保安中最大的槓桿因素之一,開始階段的微小問題可能導致嚴重的安全後果,而生成式AI在這方面可以發揮很多作用。
拿Amazon CodeWhisperer來說,作為具備內建安全功能的AI編碼助手,它可以幫助開發者基於註釋生成程式碼,追蹤開源參考,掃描查詢漏洞,同時其定製功能允許客戶安全地將Amazon CodeWhisperer連線到內部程式碼儲存,以建立多種定製,這為Amazon CodeWhisperer提供了生成符合企業使用內部庫或API、最佳實踐和架構模式的程式碼所需的上下文。客戶可以細緻控制哪些開發者可以訪問這些定製,並且每個定製都與Amazon CodeWhisperer基礎模型隔離。
使用生成式AI時的挑戰及建議
在談到企業在使用生成式AI要注意的安全問題時,Steve Schmidt認為以下三個問題要優先考慮。
首先是資料來源,企業需要知道用資料訓練模型的整個工作流程中,資料的來源是哪裡,以及資料是如何被處理和保護的。
其次是對查詢資料的保護。因為訓練資料並不是企業需要關注的唯一敏感資料集,當企業和使用者開始使用生成式AI和大模型後,會很快掌握如何讓查詢更有效,並在查詢中新增更多細節和具體要求以獲得更好的結果。但查詢這個過程也可能涉及到敏感資訊,企業需要清楚這些資料如何被生成式AI服務處理以及查詢結果是如何產生的。
最後則是AI模型輸出的準確性。從安全形度來看,生成式AI的使用場景定義了風險,由於不同的場景對輸出的準確性各有不同,企業需要保證輸出的結果是準確且符合最佳實踐的。
結合亞馬遜內部的實踐經驗,Steve Schmidt也給出了企業利用生成式AI進行創新時的三條建議。
第一,指導員工安全地使用AI。安全團隊說“不”很容易,但絕非正確的做法,企業在使用生成式AI時最好的做法是教育、告知、指導、設定防護欄,並使用能夠滿足預設目標的雲服務,同時還需要精確瞭解這些服務如何使用和留存資料。
第二,提高資料的可見性。企業需要透過可見性工具瞭解員工如何使用資料,同時需要限制在工作需求之外的資料訪問。一旦監控到員工在非工作需求之外對敏感資料進行訪問,可以及時加以制止。在其他情況下,如果員工使用的資料不太敏感,但違反了政策,企業也可以主動聯絡員工瞭解其目的並尋求解決之道。
第三,透過機制解決問題。機制作為可重複使用的工具,是允許企業隨著時間流逝準確驅動特定行為的,例如在員工出現違規操作時,系統可以透過彈窗等方式來提示員工,並建議使用特定的內部工具,同時可以根據相關問題進行報告。
利用生成式AI對抗網路威脅
在網路安全領域,生成式AI會被駭客用濫用在網路攻擊領域,也會被安全工作人員當做絕佳的防禦工具。例如在2023年3月,微軟推出了Security Copilot工具,這是一個可以強化安全防護能力的工具,該工具可以透過自動化任務,彙集來自多個來源的安全資料和警報,從而快速檢測和響應威脅,以幫助安全團隊提升工作效率。
事實上,透過生成式AI模型構建自動響應流程可以對預定的時間進行快速響應和輸出,尤其是在人工互動領域,大模型可以讓不懂技術的管理人員在安全事件發生時快速理解事件原貌。拿亞馬遜來說,Amazon Detective有一個基於生成式AI的流程來構建安全事件的文字描述,這意味著安全工程師可以拿到準備好的內容,對其進行調整,確保準確,用於解釋正在發生的事件,從而節省數小時的時間。
藉助生成式AI環節網路安全人才短缺
生成式AI技術的一大用途就是把繁重的工作從工程人才身上移走,以讓他們專注於那些真正需要專業知識或者人類判斷力的事情。Steve Schmidt認為,藉助生成式AI提升安全工程師的效率可以有效緩解安全人才短缺。例如使用人工智慧和機器學習技術更快更有效地識別和解決問題。近期生成式AI在檢測客戶賬戶異常行為方面發揮了很大作用,可以更加準確地隔離和提醒個別使用者的高度可疑行為。透過引入生成式AI,企業的安全團隊可以將精力集中在戰略業務計劃和更高價值的任務上,而不僅僅是發現和響應事件。
隨著生成式AI時代的到來,人工智慧將和企業安全相互影響。考慮到生成式AI的強大能力,企業需要透過強有力的安全措施來持續監視、定期更新和修補來應對風險,讓生成式AI為企業產出更多價值。Steve Schmidt的建議,無疑很好反映了亞馬遜雲科技在構建生成式AI創新安全體系方面的豐富經驗和積極探索。
(8666838)
