W ramach „przesunięcia w lewo”, mającego na celu włączenie dyskusji na temat bezpieczeństwa na wcześniejszym etapie cyklu tworzenia oprogramowania, organizacje zaczynają przyglądać się modelowaniu zagrożeń w celu zidentyfikowania luk w zabezpieczeniach w projektowaniu oprogramowania. Ponieważ programiści coraz częściej włączają uczenie maszynowe do swoich aplikacji, modelowanie zagrożeń jest niezbędne do identyfikacji zagrożeń dla organizacji.

„Ludzie wciąż zmagają się z myślą, że korzystanie z tej bardzo nowej technologii [uczenia maszynowego] wiąże się również z pewnym ryzykiem” – mówi Gary McGraw, współzałożyciel firmy Berryville Instytut Uczenia Maszynowego. „Byłem w sytuacji nie do pozazdroszczenia, kiedy mówiłem: „No cóż, istnieje takie ryzyko, istnieje takie ryzyko i niebo się wali”, a wszyscy pytali: „No cóż, co mam z tym zrobić?”

Od dłuższego czasu toczy się wiele rozmów na temat zagrożeń związanych z uczeniem maszynowym, ale trudność polega na ustaleniu, jak sobie z nimi poradzić, mówi McGraw. Modelowanie zagrożeń – identyfikacja rodzajów zagrożeń, które mogą wyrządzić szkodę organizacji – pomaga organizacjom przemyśleć sytuację zagrożenia bezpieczeństwa w systemach uczenia maszynowego takie jak zatruwanie danych, manipulacja danymi wejściowymi i ekstrakcja danych. Gdyby programiści mogli zrozumieć luki w zabezpieczeniach swoich projektów poprzez modelowanie zagrożeń, skróciłoby to czas spędzany na testowaniu bezpieczeństwa w trakcie opracowywania i przed produkcją. The Wytyczne NIST dotyczące minimalnych standardów weryfikacji oprogramowania przez programistów zaleca modelowanie zagrożeń w celu znalezienia problemów z bezpieczeństwem na poziomie projektu.

Narzędzie do modelowania zagrożeń IriusRisk rozwiązuje to wyzwanie, automatyzując zarówno modelowanie zagrożeń, jak i analizę ryzyka architektury. Programiści i zespoły ds. bezpieczeństwa mogą zaimportować kod do narzędzia w celu wygenerowania diagramów i modeli zagrożeń. Szablony modelowania zagrożeń udostępnij modelowanie zagrożeń nawet osobom niezaznajomionym z narzędziami do tworzenia diagramów lub analizą ryzyka.

Nowo uruchomiona biblioteka zabezpieczeń AI i ML umożliwia organizacjom korzystającym z IriusRisk modelowanie zagrożeń dla planowanego systemu uczenia maszynowego, aby zrozumieć, jakie są zagrożenia bezpieczeństwa, a także jak je złagodzić.

„W końcu zaczynamy budować maszyny, których ludzie będą mogli używać do radzenia sobie z ryzykiem i kontrolowania go” – mówi McGraw, który jest także członkiem rady doradczej IriusRisk. „Kiedy zastosujesz uczenie maszynowe w projekcie swojego [systemu] i korzystasz z IriusRisk, wiesz już, jakie ryzyko się z tym wiąże i co z tym zrobić”.

Jak wygląda modelowanie zagrożeń ML

IriusRisk z Biblioteką zabezpieczeń AI i ML pomaga organizacjom zadawać niezbędne pytania. Na przykład:

1. Pytanie, skąd pochodzą dane używane do uczenia modelu uczenia maszynowego. Ważne jest również, aby zapytać, czy ktoś miał możliwość osadzenia nieprawidłowych lub złośliwych danych, aby maszyna zrobiła coś niewłaściwego.
2. Zastanów się, w jaki sposób maszyna uczy się po rozpoczęciu produkcji. Systemy uczenia maszynowego działające online i uczące się od użytkowników są bardziej niebezpieczne niż te, które nie działają online. „To zależy od tego, kto z niego korzysta. Czy to twoi ludzie? Czy to źli ludzie? Czy to wszyscy na Twitterze, czy X?” McGraw mówi, zauważając, że zdarzały się przykłady wcześniejszych projektów, które musiały zostać wyłączone, gdy dowiedziały się o nieodpowiednich informacjach.
3. Zapytaj, czy można wyodrębnić poufne informacje z urządzenia. Jeśli umieścisz poufne informacje w algorytmie uczenia maszynowego, nie będą one chronione środkami kryptograficznymi i można je wyodrębnić. „Jeśli umieścisz dane w maszynie, zostaną one w maszynie” – mówi McGraw. „Musisz pomyśleć o upewnieniu się, że osoby korzystające z Twojego systemu uczenia maszynowego nie będą mogły wyodrębnić tych poufnych danych”.

Biblioteka zabezpieczeń AI i ML opiera się na ramach ryzyka bezpieczeństwa BIML ML, taksonomii zagrożeń związanych z uczeniem maszynowym, a także architektonicznej ocenie ryzyka typowych komponentów uczenia maszynowego opracowanej przez McGraw. Framework jest przeznaczony do użytku przez programistów, inżynierów i projektantów tworzących aplikacje i usługi wykorzystujące uczenie maszynowe we wczesnych fazach projektowania i rozwoju projektu. Dzięki bibliotece IriusRisk każdy, kto korzysta z uczenia maszynowego, może teraz korzystać ze frameworka BIML.

Biblioteka zabezpieczeń AI i ML jest dostępna zarówno dla klientów IriusRisk, jak i osób korzystających z społecznościowej wersji platformy.

Czas zająć się modelowaniem zagrożeń

Według Stephena de Vriesa, dyrektora generalnego IriusRisk, biblioteka bezpieczeństwa AI & ML została opracowana w odpowiedzi na zainteresowanie organizacji sposobami analizowania i zabezpieczania systemów AI i ML. „Zaobserwowaliśmy wzrost zainteresowania naszych klientów z sektora finansów i technologii wytycznymi dotyczącymi analizowania i zabezpieczania systemów uczenia maszynowego” – stwierdził de Vries w oświadczeniu. „Ponieważ są to często nowe projekty, które są wciąż w fazie projektowania, wykonanie modelowania zagrożeń w tym miejscu dodaje dużą wartość, ponieważ te zespoły bardzo szybko zrozumieją, gdzie są cele bezpieczeństwa – i co muszą zrobić, aby to osiągnąć. ”

Biblioteka nie pomaga organizacjom, które nie mają wglądu w wykorzystanie uczenia maszynowego. Tak jak organizacje mogą korzystać z Shadow IT – w którym różni interesariusze biznesowi konfigurują własne serwery i aplikacje internetowe bez nadzoru IT – tak samo mogą mieć Shadow IT – mówi McGraw. Różne działy wypróbowują nowe aplikacje i narzędzia, ale istnieje rozbieżność między tym, z czego korzystają poszczególni pracownicy, a tym, o czym wiedzą zespoły IT i bezpieczeństwa.

„Wszyscy mówią: «Nie sądzę, żebym w mojej organizacji stosował systemy uczące się»” – mówi McGraw. „Ale gdy tylko się o tym dowiedzą… znajdą to wszędzie”.

Wiele organizacji nie uwzględniają modelowania zagrożeń podczas projektowania oprogramowania oraz te, które opierają się na procesach ręcznych, podczas których osoba analizuje zagrożenia pojedynczo.

„Jeśli masz dojrzały program do modelowania zagrożeń i używasz narzędzia takiego jak IriusRisk, możesz teraz także obsługiwać uczenie maszynowe. Zatem ludzie, którzy już radzą sobie najlepiej, poradzą sobie jeszcze lepiej” – mówi McGraw. „A co z ludźmi, którzy nie zajmują się modelowaniem zagrożeń? Może powinni zacząć. To nie jest nowe. Czas to zrobić.”

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/dr-tech/iriusrisk-brings-threat-modeling-to-machine-learning