Generatiivne andmeluure

Küberturvalisus

IriusRisk toob masinõppesüsteemidesse ohtude modelleerimise

Taasesitanud Platon
Taasesitanud Platon

kuupäev:

Vaadatud: 0

Osana "nihkest vasakule", et kaasata turvaalased arutelud tarkvaraarenduse elutsükli varasemasse etappi, hakkavad organisatsioonid uurima ohtude modelleerimist, et tuvastada tarkvaradisaini turvavigu. Kuna arendajad lisavad oma rakendustesse üha enam masinõpet, on organisatsiooni riskide tuvastamiseks vajalik ohtude modelleerimine.

"Inimesed maadlevad endiselt kogu ideega, et kui kasutate seda väga uut tehnoloogiat [masinõpe], kaasneb sellega ka hulk riske," ütleb Gary McGraw, ettevõtte kaasasutaja. Berryville'i masinõppe instituut. "Olen olnud kadestamisväärses olukorras, et öelda: "Noh, see oht on ja see oht on ja taevas langeb," ja kõik küsivad: "Noh, mida ma peaksin sellega tegema?"

McGraw ütleb, et masinõpperiskist on juba mõnda aega räägitud palju, kuid raskus seisneb selles, kuidas neid lahendada. Ohtude modelleerimine – organisatsioonile kahju tekitada võivate ohtude tuvastamine – aitab organisatsioonidel läbi mõelda masinõppesüsteemide turvariskid nagu andmete mürgitamine, sisendiga manipuleerimine ja andmete eraldamine. Kui arendajad saaksid ohtude modelleerimise abil mõista oma disainide turvavigu, vähendaks see arenduse ajal ja enne tootmist turvatestimisele kuluvat aega. The NIST-i juhised tarkvara arendaja kontrollimise miinimumstandardite kohta soovitab disainitaseme turvaprobleemide otsimiseks kasutada ohtude modelleerimist.

IriusRiski ohtude modelleerimise tööriist lahendab selle väljakutse, automatiseerides nii ohu modelleerimise kui ka arhitektuuri riskianalüüsi. Arendajad ja turvameeskonnad saavad diagrammide ja ohumudelite loomiseks koodi tööriista importida. Ohtude modelleerimise mallid muuta ohtude modelleerimine kättesaadavaks ka neile, kes ei tunne diagrammitööriistu ega riskianalüüsi.

Ja äsja käivitatud AI & ML Security Library võimaldab IriusRiski kasutavatel organisatsioonidel modelleerida kavandatavat masinõppesüsteemi, et mõista, millised on turvariskid ja kuidas neid riske maandada.

"Lõpuks hakkame ehitama masinaid, mida inimesed saavad kasutada riskide käsitlemiseks ja riskide ohjamiseks," ütleb McGraw, kes on ka IriusRiski nõuandekogu liige. "Kui lisate masinõppe oma [süsteemi] kujundusse ja kasutate IriusRiskit, teate nüüd, millised riskid sellega kaasnevad ja mida sellega ette võtta."

Kuidas näeb välja ML-i ohtude modelleerimine?

IriusRisk koos AI & ML Security Library aitab organisatsioonidel esitada vajalikke küsimusi. Näiteks:

  1. Küsib, kust pärinevad masinõppemudeli koolitamiseks kasutatavad andmed. Samuti on oluline küsida, kas kellelgi oli võimalus manustada ebaõigeid või pahatahtlikke andmeid, et masin valesti käituks.
  2. Mõelge, kuidas masin jätkab õppimist, kui see on tootmises. Masinõppesüsteemid, mis on võrgus ja jätkavad kasutajatelt õppimist, on ohtlikumad kui need, mis pole võrgus. "See sõltub sellest, kes seda kasutab. Kas see on teie rahvas? Kas see on halvad inimesed? Kas kõik on Twitteris või X? McGraw ütleb, märkides, et on olnud näiteid varasematest projektidest, mis tuli pärast ebasoodsa teabe saamist võrguühenduseta kasutusele võtta.
  3. Küsige, kas masinast saab välja võtta konfidentsiaalset teavet. Kui lisate oma masinõppe algoritmi konfidentsiaalset teavet, ei ole see krüptograafiliste vahenditega kaitstud ja seda saab ekstraktida. "Kui sisestate andmed masinasse, on need masinas," ütleb McGraw. "Peate mõtlema sellele, et teie masinõppesüsteemi kasutavad inimesed ei saaks neid konfidentsiaalseid andmeid välja tõmmata."

AI ja ML-i turbeteek põhineb BIML-i ML-i turvariskide raamistikul, masinõppeohtude taksonoomial ja McGraw poolt välja töötatud tüüpiliste masinõppekomponentide arhitektuursel riskihinnangul. Raamistik on mõeldud kasutamiseks arendajatele, inseneridele ja disaineritele, kes loovad masinõpet kasutavaid rakendusi ja teenuseid projekti varajastes projekteerimis- ja arendusfaasides. IriusRiski teegiga saavad kõik masinõpet kasutavad inimesed nüüd BIML-i raamistikku ära kasutada.

AI & ML Security Library on saadaval nii IriusRiski klientidele kui ka neile, kes kasutavad platvormi kogukonna väljaannet.

Aeg olla ohu modelleerimine

IriusRiski tegevjuhi Stephen de Vriesi sõnul töötati AI & ML Security Library välja vastusena organisatsioonide huvile AI ja ML süsteemide analüüsimise ja turvalisuse vastu. "Oleme näinud meie klientide huvi tõusu finants- ja tehnoloogiasektoris, et saada juhiseid ML-süsteemide analüüsimiseks ja turvaliseks kujundamiseks," ütles de Vries oma avalduses. „Kuna tegemist on sageli uute projektidega, mis on alles projekteerimise faasis, annab siin ohumudelite tegemine palju lisaväärtust, sest need meeskonnad saavad väga kiiresti aru, kus on turvaväravapostid – ja mida nad peavad tegema, et sinna jõuda. ”

Teek ei aita organisatsioone, kes ei näe oma masinõppe kasutamist. McGraw ütleb, et samamoodi nagu organisatsioonidel võib olla vari-IT – kus erinevad ettevõtte sidusrühmad loovad oma serverid ja veebirakendused ilma IT-järelevalveta –, võib neil olla ka vari-masinõpe. Erinevad osakonnad proovivad uusi rakendusi ja tööriistu, kuid üksikute töötajate kasutatavate ja IT- ja turvameeskondadele teadaolevate riskide vahel on lõhe.

"Kõik arvavad: "Ma arvan, et minu organisatsioonis pole masinõpet," ütleb McGraw. "Aga niipea, kui nad seda avastavad, leiavad nad selle kõikjalt."

Paljud organisatsioonid ei sisalda ohtude modelleerimist tarkvara kujundamise ajal ja need, mis tuginevad käsitsi protsessidele, kus inimene analüüsib ohte ükshaaval.

„Kui teil on küps ohumodelleerimisprogramm ja kasutate sellist tööriista nagu IriusRisk, saate nüüd hakkama ka masinõppega. Nii et inimestel, kellel juba läheb kõige paremini, läheb veelgi paremini, ”ütleb McGraw. „Aga need inimesed, kes ei tegele ohumodelleerimisega? Võib-olla peaksid nad alustama. See pole uus. On aeg seda teha.”

spot_img

Uusim intelligentsus

spot_img

Autoriõigus @ 2024 Plato Technologies Inc.