Trí thông minh dữ liệu tạo

An ninh mạng

IriusRisk đưa mô hình hóa mối đe dọa vào hệ thống máy học

Tái bản bởi Plato
Tái bản bởi Plato

Ngày:

Lượt xem: 0

Là một phần của quá trình “chuyển sang trái” để kết hợp các cuộc thảo luận về bảo mật trước đó trong vòng đời phát triển phần mềm, các tổ chức đang bắt đầu xem xét mô hình mối đe dọa để xác định các lỗ hổng bảo mật trong thiết kế phần mềm. Với việc các nhà phát triển ngày càng kết hợp học máy vào các ứng dụng của họ, việc lập mô hình mối đe dọa là cần thiết để xác định các rủi ro đối với tổ chức.

Gary McGraw, đồng sáng lập của Viện học máy Berryville. “Tôi đã ở trong tình thế không thể chấp nhận được khi phải nói, 'Chà, có rủi ro này, rủi ro kia, và bầu trời đang sụp đổ', và mọi người nói, 'Chà, tôi phải làm gì với điều đó?

McGraw nói: Đã có rất nhiều cuộc thảo luận về rủi ro trong học máy từ khá lâu rồi, nhưng khó khăn nằm ở việc tìm ra cách giải quyết chúng. Lập mô hình mối đe dọa – xác định các loại mối đe dọa có thể gây hại cho tổ chức – giúp tổ chức suy nghĩ thấu đáo rủi ro bảo mật trong hệ thống máy học chẳng hạn như ngộ độc dữ liệu, thao tác đầu vào và trích xuất dữ liệu. Nếu các nhà phát triển có thể hiểu được các lỗ hổng bảo mật trong thiết kế của họ bằng cách mô hình hóa mối đe dọa, điều đó sẽ giảm thời gian dành cho việc kiểm tra bảo mật trong quá trình phát triển và trước khi sản xuất. Các Hướng dẫn của NIST về các tiêu chuẩn tối thiểu để xác minh phần mềm của nhà phát triển khuyến nghị lập mô hình mối đe dọa để tìm kiếm các vấn đề bảo mật ở cấp độ thiết kế.

Công cụ lập mô hình mối đe dọa của IriusRisk giải quyết thách thức này bằng cách tự động hóa cả mô hình hóa mối đe dọa và phân tích rủi ro kiến ​​trúc. Các nhà phát triển và nhóm bảo mật có thể nhập mã vào công cụ để tạo sơ đồ và mô hình mối đe dọa. Mẫu mô hình mối đe dọa làm cho mô hình mối đe dọa có thể truy cập được ngay cả với những người không quen với các công cụ lập sơ đồ hoặc phân tích rủi ro.

Và Thư viện bảo mật AI & ML mới ra mắt cho phép các tổ chức sử dụng IriusRisk để lập mô hình mối đe dọa cho hệ thống máy học mà họ đang lập kế hoạch nhằm hiểu những rủi ro bảo mật là gì cũng như cách giảm thiểu những rủi ro đó.

McGraw, người cũng là thành viên ban cố vấn của IriusRisk, cho biết: “Cuối cùng thì chúng tôi cũng đã bắt tay vào việc chế tạo những cỗ máy mà mọi người có thể sử dụng để giải quyết rủi ro và kiểm soát rủi ro”. “Khi bạn đưa công nghệ học máy vào thiết kế [hệ thống] của mình và bạn đang sử dụng IriusRisk, giờ đây bạn đã biết những rủi ro nào có thể xảy ra và phải làm gì với điều đó.”

Mô hình mối đe dọa ML trông như thế nào

IriusRisk với Thư viện bảo mật AI & ML giúp các tổ chức đặt câu hỏi cần thiết. Ví dụ:

  1. Hỏi dữ liệu được sử dụng để đào tạo mô hình học máy đến từ đâu. Điều quan trọng nữa là phải hỏi xem có ai có cơ hội nhúng dữ liệu không chính xác hoặc độc hại để khiến máy làm sai hay không.
  2. Hãy xem xét cách máy tiếp tục học hỏi khi nó được đưa vào sản xuất. Các hệ thống máy học trực tuyến và liên tục học hỏi từ người dùng sẽ nguy hiểm hơn những hệ thống không trực tuyến. “Nó phụ thuộc vào người đang sử dụng nó. Có phải người của bạn không? Có phải người xấu không? Đó là tất cả mọi người trên Twitter hay X? McGraw cho biết, lưu ý rằng đã có những ví dụ về các dự án trước đây phải ngừng hoạt động sau khi biết được thông tin phản cảm.
  3. Hỏi xem thông tin bí mật có thể được trích xuất từ ​​máy hay không. Nếu bạn đưa thông tin bí mật vào thuật toán học máy của mình, thông tin đó sẽ không được bảo vệ bằng phương tiện mật mã và có thể bị trích xuất. McGraw nói: “Nếu bạn đưa dữ liệu vào máy thì nó sẽ ở trong máy. “Bạn cần nghĩ đến việc đảm bảo rằng những người sử dụng hệ thống máy học của bạn không thể trích xuất dữ liệu bí mật đó”.

Thư viện bảo mật AI & ML dựa trên Khung rủi ro bảo mật BIML ML, một hệ thống phân loại các mối đe dọa máy học cũng như đánh giá rủi ro kiến ​​trúc của các thành phần máy học điển hình do McGraw phát triển. Khung này được thiết kế để các nhà phát triển, kỹ sư và nhà thiết kế sử dụng để tạo ra các ứng dụng và dịch vụ sử dụng máy học trong giai đoạn thiết kế và phát triển ban đầu của dự án. Với thư viện của IriusRisk, tất cả những người đang sử dụng máy học giờ đây có thể tận dụng khung của BIML.

Thư viện bảo mật AI & ML có sẵn cho cả khách hàng IriusRisk và những người sử dụng phiên bản cộng đồng của nền tảng.

Đã đến lúc lập mô hình mối đe dọa

Theo Stephen de Vries, Giám đốc điều hành của IriusRisk, Thư viện bảo mật AI & ML được phát triển để đáp ứng sự quan tâm của các tổ chức về cách phân tích và bảo mật hệ thống AI và ML. de Vries cho biết trong một tuyên bố: “Chúng tôi nhận thấy sự quan tâm ngày càng tăng từ khách hàng trong lĩnh vực tài chính và công nghệ đối với hướng dẫn về cách phân tích và thiết kế hệ thống ML an toàn”. “Vì đây thường là những dự án mới vẫn đang trong giai đoạn thiết kế nên việc thực hiện mô hình hóa mối đe dọa ở đây sẽ mang lại rất nhiều giá trị, bởi vì các nhóm đó sẽ nhanh chóng hiểu được các mục tiêu bảo mật ở đâu – và họ cần làm gì để đạt được điều đó. ”

Thư viện không giúp đỡ các tổ chức không có khả năng hiển thị về cách sử dụng máy học của họ. McGraw cho biết, giống như các tổ chức có thể có Shadow IT – nơi các bên liên quan trong kinh doanh khác nhau thiết lập máy chủ và ứng dụng web của riêng họ mà không cần sự giám sát của CNTT – họ cũng có thể có máy học trong bóng tối, McGraw nói. Các bộ phận khác nhau đang thử nghiệm các ứng dụng và công cụ mới – nhưng có một khoảng cách giữa những gì từng nhân viên đang sử dụng và những rủi ro mà đội ngũ CNTT và bảo mật biết đến.

McGraw nói: “Mọi người đều nói, 'Tôi không nghĩ mình có bất kỳ công nghệ máy học nào trong tổ chức của mình'. “Nhưng ngay khi họ phát hiện ra điều đó… họ sẽ tìm thấy nó ở khắp mọi nơi.”

Nhiều tổ chức không kết hợp mô hình mối đe dọa trong quá trình thiết kế phần mềm và những quy trình dựa vào quy trình thủ công trong đó một người phân tích từng mối đe dọa tại một thời điểm.

“Nếu bạn có chương trình lập mô hình mối đe dọa hoàn thiện và đang sử dụng công cụ như IriusRisk, thì giờ đây bạn cũng có thể xử lý máy học. Vì vậy, những người đã làm tốt nhất sẽ còn làm tốt hơn nữa,” McGraw nói. “Còn những người không lập mô hình mối đe dọa thì sao? Có lẽ họ nên bắt đầu. Nó không phải là mới. Đã đến lúc phải làm điều đó.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.