基于风险的实用方法可帮助CISO多快好省地将AI应用到网络安全中。

普华永道预测,2030年全球经济中有15.7万亿是人工智能(AI)贡献的。这显然是个好消息。但同时,佛瑞斯特研究所警告称,网络罪犯也能利用并武器化AI攻击公司企业。至于AI如何让人类无工可做的惊悚新闻,我们更是屡见不鲜了。因为与机器学习、人工神经网络(ANN)和多层ANN(亦称深度学习)相关,我们很难看清AI全貌,对CISO如何评估该新兴技术是否适合自家公司毫无头绪。

咨询公司Gartner提供了一些如何对抗此类FUD(恐惧、不确定及怀疑)的建议,其安全分析师 Anton Chuvakin 博士和 Augusto Barros 在博客中拨开了笼罩在AI身上的迷雾。而本文将揭示CISO在投资AI产品及解决方案以提升公司网络安全态势时应考虑的4个实际问题。

问题1:你是否拥有基于风险的、长期且一致的网络安全策略?

没有非常清晰的、成熟的网络安全项目就匆忙上马AI,无异于用金子打水漂。很可能一个问题解决了,两个问题冒出来,甚或发生更糟糕的情况——更加危险且紧急的问题反而被忽略掉。

任何网络安全策略中都不能省略的第一步就是执行全面的数字资产清查登记,包括软件、硬件、数据、用户、证书、许可等等。在云容器、IoT激增、外包和去中心化的时代,维护这么一张完整而保持更新的资产清单是很困难的。但如果你漏掉了这关键一步,那你绝大多数的工作和网络安全投资都将是无用功。

每家公司都应保持一个基于风险的长期网络安全策略,有可衡量的目标和一致的中期里程碑;缓解独立的风险或者根除单个威胁对保持长期的网络安全成功没有太大意义。网络安全团队应有明确的任务和责任范围,以及相应的授权和达成这些目标所需的资源。这并不是说你应该描绘出一幅看上去完美无缺的安全图景,而是要与公司董事会就其风险胃纳达成一致,确保公司网络安全战略在符合该风险胃纳的基础上增量实现。

问题2:全面的AI基准能证明投资回报和其他可衡量的收益吗?

机器学习是AI的子集,其首要原则据说是要尽可能避免使用机器学习。玩笑归玩笑,作为能解决拥有无限输入输出之极端复杂问题的新兴技术,机器学习确实容易出现不可靠和不可预测的情况。而且,机器学习的成本可能非常之高,想要看到投资回报或许要等上几年时间,而到那时,公司的整个业务模型可能都已经过时了。

举个例子。获取、结构化和维护训练数据集可能会耗资、耗时巨大。而且,任务越重大越复杂,构建、训练和维持AI模型不出现误报的负担和成本也就越高。另外,公司企业还有可能因为部署了AI技术而被迫降低运营成本,但显著增高了维护投入(往往超出AI省下的开支)的恶性循环。

最后,AI可能不适用于所做决策要求可追踪解释的某些任务和过程,比如防歧视或符合法律规定。因此,有必要确保全面评估过实现AI是否符合短期和长期经济利益。

问题3:维护一款保持更新的有效AI产品要花多少钱?

金融市场资本为王。AI业务领域,王权显然属于用来训练机器学习模型执行各种任务的训练数据集。

训练数据集的来源、可靠性和足够的量,是大多数AI产品的主要问题;毕竟,AI系统的优良程度就看馈送进去的数据品质了。安全产品往往需要大量的现场训练时间,你至少得有个无风险的网络段来模拟正常运营状况进行训练。一个在公司外部训练出来的通用模型,如果不在公司网络中补充训练,是无法适应你的业务过程和IT架构的。因此,在决定购买AI产品前,请务必确保训练及其相关时间消耗问题已得到解决。

AI产品需经常更新才能达成其保护网络安全的使命,必须紧跟新兴威胁和攻击方法,随时适应公司网络的新变化。所以,问清楚更新频度有多高,更新耗时有多长,谁来负责更新过程。弄清这些问题可以排除补充维护费用带来的惊吓。

问题4:法律和隐私风险谁来承担?

机器学习可能带来重大隐私风险。GDPR的天价罚金还仅仅是冰山一角;数据被非法存储或处理的组织或个人还有可能起诉你并要求赔偿。另外,除了GDPR最高可致全球年营业额4%的高额罚款,很多其他适用法律和规定可能导致的处罚也是必须要考虑的。而且,绝大多数训练数据集无可避免地含有大量个人可识别信息(PII),很可能是在缺乏必要的有效许可的情况下收集的。更糟的是,即便PII是合法收集及处理的,GDPR赋予的权利,比如访问权或删除权,可能也无法提供给数据主体,PII本身有可能是无法提取的。

2010至2018年间,美国共申报了近8,000项专利,其中18%来自网络安全行业。惠普企业曾警示过与专利AI技术的无照使用相关的法律和商业风险。因此,将侵权的法律风险转移到供应商身上是个不错的主意,比如说,在合同里加上一句补偿条款。

很少有高管意识到:如果自己所用的某项技术侵犯了他人专利,公司有可能因间接侵权行为而遭致数百万美元的损失。知识产权法非常复杂,很多问题在某些司法辖区仍悬而未决,会产生怎样的诉讼结果并不明确。所以,一定要向企业法律顾问或持牌律师咨询相关法律问题,最小化自身法律风险。

最后,也是最重要的一点:确认自己的数据不会出于“威胁情报”或“训练”目的而被传输到其他地方,无论合不合法。

普华永道 2019 AI 预测:

https://www.pwc.com/us/en/services/consulting/library/artificial-intelligence-predictions-2019.html

佛瑞斯特研究所AI武器化警告:

https://www.forrester.com/report/Using+AI+For+Evil/-/E-RES143162

Gartner的FUD对抗建议:

https://www.gartner.com/smarterwithgartner/help-clients-find-value-in-ai/

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。