从AI应用中的风险,如中毒的训练数据和幻觉现象,到AI赋能的安全措施,再到深度伪造、用户错误以及新型AI生成的攻击技术,网络安全行业正充斥着令人恐惧的安全威胁,这些威胁让CISO们不堪重负。
例如,在2025年4月的RSA会议期间及之后,与会者纷纷对AI带来的恐惧、不确定性和怀疑(FUD)表示强烈不满,尤其是供应商方面的表现。
其中一位是Netflix的信息风险工程师Tony Martin-Vegue,他在RSAC会议后的采访中告诉记者,虽然AI的炒作和潜力很大,但无法阻止其发展,不过有方法可以穿透炒作,并在最关键的地方应用基本控制措施。
首先,他说,要关注企业为何部署AI。“我认为,尽管AI的能力被过度炒作和寄予厚望,但不使用AI也存在风险,也就是说,不使用AI的企业将被淘汰,而使用AI的风险正是所有FUD的来源。”
在应用控制措施方面,他建议采用与采用云、BYOD和其他强大技术时相同的流程,即循环往复地执行,首先要了解AI在何处、如何被使用,由谁使用,以及用于什么目的,然后,重点关注员工与工具共享的数据的安全性。
了解你的AI
“AI是一项将深刻改变社会的基本变革,其影响力甚至可能超过互联网,但这一变革发生得如此之快,以至于很多人难以理解其模糊效应,”SANS研究所AI和新兴威胁研究主管Rob T. Lee解释道。“现在,企业的每个部分都将以不同形式利用AI。你需要一种方法来从根本上降低实施风险,这意味着要了解人们在哪里使用它,以及在什么业务用例下使用,遍及整个企业。”
Lee正在帮助SANS开发社区共识的AI安全指南检查表,他每天花30分钟使用先进的智能体进行各种业务目的,并鼓励其他网络安全和执行领导也这样做,因为一旦他们熟悉了这些程序及其能力,就可以开始选择控制措施了。
例如,Lee提到Moderna在2025年5月宣布将人力资源和IT合并到一个新角色下,即首席人力与数字技术官。“工作不再仅仅涉及人类,而是涉及管理人类和智能体,”Lee解释道,“这要求人力资源和IT以新的方式协作。”
重新审视安全基础
这并不是说因为AI是全新的,当前的安全基础就不重要了,它们当然重要。
美国全国公司董事协会(NACD)的高级网络风险顾问Chris Hetner解释道:“网络安全行业经常在一个回声室中运作,高度反应性。回声室通过谈论自主式AI、AI漂移和其他风险来推动机器运转,然后,一整套新的供应商就会让CISO的组合变得不堪重负。”“AI只是现有技术的延伸。它为我们提供了另一个视角,让我们可以将注意力重新集中在本质上。”
当Hetner提到本质时,他强调了理解业务概况、确定数字景观中的威胁以及辨别业务单元之间互连的重要性,然后,安全领导者应评估在发生泄露或曝光事件时可能产生的运营、法律、监管和财务影响,接着,他们应将这些信息汇总成一个全面的风险概况,提交给执行团队和董事会,以便他们确定愿意接受、缓解和转移哪些风险。
保护数据
鉴于AI被用于分析财务、销售、人力资源、产品开发、客户关系和其他敏感数据,Martin-Vegue认为数据保护应该是风险管理者控制措施列表中的首要任务,这又回到了了解员工如何使用AI、用于什么功能以及他们向AI启用应用程序中输入的数据类型上。
或者,正如2025年5月来自澳大利亚、新西兰、英国和美国安全机构的一份关于AI数据安全的联合备忘录所解释的那样:了解你的数据是什么、在哪里以及将流向哪里。
当然,说起来容易做起来难,因为根据多项调查,大多数企业不知道他们所有的敏感数据在哪里,更不用说如何控制它们了,然而,与其他新技术一样,保护用于LLM的数据归结为用户教育和数据治理,包括传统控制措施,如扫描和加密。
“你的用户可能不了解使用这些AI解决方案的最佳方式,因此网络安全和治理领导者需要帮助设计适用于他们和你的风险管理团队的使用案例和部署方案。”长期从事网络安全分析并在Protect AI担任CISO的Diana Kelley说。
保护模型
Kelley指出了各种AI采用和部署模型之间的风险差异,像ChatGPT这样的免费、公共版本AI,用户将数据插入基于网络的聊天提示中,对员工与界面共享的数据发生的处理几乎没有控制权。支付专业版费用并将AI引入企业内部,企业可以获得更多控制权,但企业许可证和自托管成本往往超出了小企业的承受能力,另一种选择是在受管理的云平台上运行基础模型,如Amazon Bedrock和其他安全配置的云服务,数据在账户持有者的保护环境中进行处理和分析。
“这不是魔法或小火花,尽管在你的应用程序中AI经常被这样表现,它是数学,它是软件,我们知道如何保护软件,然而,AI是一种新型软件,需要新型的安全方法和工具,”Kelley补充道,“模型文件是一种不同类型的文件,因此你需要一个专为其独特结构设计的扫描器。”
模型文件是一组权重和偏差,她继续说道,当它被反序列化时,企业就在运行不受信任的代码,这使得模型成为模型序列化攻击(MSA)的主要目标,网络犯罪分子希望借此操纵目标系统。
除了MSA风险外,AI模型,尤其是从开源获取的模型,还可能成为模仿可信文件名称但包含恶意软件的拼写错误攻击(typosquatting attacks)的受害者,它们还容易受到神经后门和其他供应链漏洞的攻击,这就是为什么Kelley建议在批准模型进行部署和开发之前对其进行扫描。
由于支持AI应用程序的LLM与传统软件不同,对不同类型的扫描和监控的需求导致了专业化解决方案的激增,但迹象表明,随着传统安全供应商开始整合专业工具,如Palo Alto Networks即将收购Protect AI,这个市场正在收缩。
“了解AI技术的工作原理,知道你的员工如何使用它,并建立控制措施,”Kelley重复道,“是的,这需要很多工作,但不必害怕,你也不必相信FUD,这就是我们进行风险管理的方式。”
