Ознакомьтесь с техническим документом Альянса по облачной безопасности о ChatGPT для киберпрофессионалов. А также о последних усилиях Белого дома по продвижению ответственного ИИ. Кроме того, задумывались ли вы об управлении уязвимостями для систем ИИ? В дополнение к этому «крестный отец ИИ» бьет тревогу по поводу опасностей ИИ. И многое другое!
1 – CSA объясняет ChatGPT для специалистов по безопасности
Вы профессионал в области безопасности с синдромом «взрывающейся головы», вызванным ChatGPT? Присоединяйтесь к клубу.
Вот распространенный сценарий: Ваш бизнес хочет использовать – или, возможно, уже использует – ChatGPT, а команда безопасности пытается понять, что можно, а что нельзя делать вашей организации со сверхпопулярным генеративным чатботом ИИ.
Команда безопасности должна разработать и принять политики и рекомендации по использованию, но ежедневная лавина информации о ChatGPT, а также срочное стремление вашей компании оптимизировать процессы с помощью ChatGPT не помогают.
Альянс облачной безопасности (CSA) недавно выпустил интересный и бесплатный ресурс, который может помочь. «Последствия ChatGPT для безопасности«, 54-страничный документ, не посвященный обсуждению технологии искусственного интеллекта, а призванный помочь специалистам по кибербезопасности понять возможности ChatGPT и влияние на бизнес.
В документе рассматриваются следующие темы:
- Объяснение того, что такое ChatGPT.
- Как злоумышленники могут использовать его для усиления своих атак.
- Как защитники могут использовать его в своих программах кибербезопасности.
- Как безопасно использовать ChatGPT для бизнеса.
- Ограничения генеративного ИИ.
- Потенциальные будущие разработки.
2 – Белый дом объявляет о мерах по повышению безопасности искусственного интеллекта
По мере усиления беспокойства по поводу возможности злоупотребления ChatGPT, администрация Байдена встретилась с руководителями технологических компаний в Белом доме и объявила о мерах по стимулированию развития ответственного ИИ и защите людей от потенциального вреда.
Объявленные инициативы включают:
- 140 миллионов долларов на запуск семи новых Национальных исследовательских институтов ИИ для активизации сотрудничества в области ИИ между научными кругами, правительством и частным сектором.
- Оценка существующих генеративных систем ИИ разработчиками ИИ, такими как Google и Microsoft, чтобы определить, следует ли и как их модифицировать для общественного блага.
- Новая политика, определяющая, как правительство США разрабатывает, внедряет и использует системы ИИ.
«Как я заявил сегодня руководителям компаний, находящихся на переднем крае американских инноваций в области ИИ, частный сектор несет этическую, моральную и юридическую ответственность за обеспечение безопасности и защиты своей продукции», – сказал вице-президент Харрис в своем заявлении.
.
Среди руководителей компаний, принявших участие во встрече, были Сундар Пичаи из Google и Сатья Наделла из Microsoft, а также Сэм Альтман из OpenAI, создателя ChatGPT.
3 – Находится ли управление уязвимостями ИИ на вашем экране радара?
И да, еще про ИИ: как устранять уязвимости программного обеспечения в системах ИИ?
Справится ли традиционное управление уязвимостями (VM) или вам нужны новые процессы и технологии?
Поскольку продукты ИИ охотно внедряются в организациях, эти вопросы кажутся весьма актуальными для команд кибербезопасности. Чтобы войти в курс дела, ознакомьтесь с новым отчетом Стэнфордского университета и Джорджтаунского университета под названием «Состязательное машинное обучение и кибербезопасность: Риски, проблемы и правовые последствия«.
«Доклад исходит из того, что системы ИИ, особенно основанные на методах машинного обучения, удивительно уязвимы для целого ряда атак», – написал один из авторов доклада, лектор Калифорнийского университета в Беркли Джим Демпси в блоге под названием «Устранение рисков безопасности ИИ«.
.
По словам авторов, 35-страничный документ, основанный на результатах семинара, проведенного прошлым летом, преследует две основные цели:
- Обсудить, чем уязвимости ИИ отличаются от обычных типов программных ошибок, а также текущее состояние обмена информацией о них.
- Предложить рекомендации, которые делятся на четыре категории высокого уровня:
- Расширение традиционной кибербезопасности для уязвимостей ИИ.
- Улучшение обмена информацией, прозрачности и подотчетности.
- Уточнение правового статуса уязвимостей ИИ.
- Повышение безопасности ИИ путем проведения эффективных исследований.
«Уязвимости ИИ могут не совпадать с традиционным определением уязвимости кибербезопасности «заплатка к заплатке», – говорится в отчете. «Эти различия … породили двусмысленность в отношении статуса уязвимостей ИИ и атак ИИ. Это, в свою очередь, ставит ряд вопросов, связанных с корпоративной ответственностью и государственной политикой».
4 – Гуру ИИ компании Google увольняется и предупреждает об опасностях ИИ
Не отходя от темы ИИ – еще один видный деятель предупреждает о потенциальной опасности выпуска продуктов ИИ, которые могут быть использованы в неблаговидных целях.
На этой неделе Джеффри Хинтон, пионер ИИ, заявил, что уволился из Google, чтобы иметь возможность свободно высказывать свои опасения по поводу риска причинения вреда в результате злонамеренного использования инструментов генеративного ИИ, таких как ChatGPR.
.
И снова это тема, которую специалисты по кибербезопасности должны внимательно отслеживать с разных сторон: Как предотвращать атаки с использованием ИИ и реагировать на них? Как использовать ИИ для защиты? Как соблюдать текущие и будущие нормативные акты и законы, регулирующие использование ИИ?
В интервью газете The New York Times Хинтон призвал технологические компании притормозить и подумать о том, как злоумышленники могут использовать генеративный ИИ чат-ботов для активизации своих усилий по созданию хаоса, который, как он опасается, может быть неизбежным.
«Трудно понять, как можно предотвратить использование ИИ для плохих целей», – сказал 75-летний Хинтон, лауреат премии Тьюринга, которого часто называют «крестным отцом ИИ».
Он опасается, что злонамеренное использование чат-ботов с искусственным интеллектом ускорит создание ложной информации, включая тексты и медиа, которые будут казаться обычным людям законными, что приведет к широкому заблуждению относительно того, что является реальностью.
Он повторяет настроения, неоднократно выраженные в последние месяцы после выхода ChatGPT заинтересованными правительствами, организациями и частными лицами, включая более 1000 экспертов в области технологий, подписавших в марте письмо с просьбой ввести мораторий на ИИ.
5 – CISA предлагает проект формы «сертификации безопасности» для поставщиков программного обеспечения
Какие вопросы следует задавать поставщикам программного обеспечения, чтобы убедиться в безопасности их продуктов? Вы можете почерпнуть хорошие идеи из проекта анкеты CISA, который был выпущен для того, чтобы общественность могла высказать свои замечания.
Документ, названный «Общая форма самопроверки защищенного программного обеспечения«, включает, например, вопросы для определения соответствия требованиям поставщика:
- Разработал ли он свое программное обеспечение в безопасной среде.
- Приложил ли он «добросовестные усилия» для обеспечения безопасности своих цепочек поставок.
- Знает ли он, откуда поступили все компоненты его программного обеспечения?
- Проверял ли он уязвимости программного обеспечения с помощью автоматизированных средств.
После утверждения в окончательной форме эта форма подтверждения безопасности станет той, которую поставщики программного обеспечения должны будут представлять федеральным агентствам США, которым они продают программное обеспечение.
6 – Вот топ вредоносных программ за первый квартал 2023 года
Центр интернет-безопасности (CIS) составил рейтинг наиболее распространенных штаммов вредоносных программ в первом квартале 2023 года. Многие из них, как обычно, повторяют свой путь, а новички Laplas, Netshta и ViperSoftX пополнили список.
Вот рейтинг, составленный в порядке убывания на основе инцидентов с вредоносным ПО, обнаруженных Мультигосударственным центром обмена информацией и анализа (MS-ISAC):
- SessionManager2, вредоносный бэкдор для сервера Microsoft IIS, который предоставляет злоумышленникам постоянный, устойчивый к обновлениям и скрытый доступ к скомпрометированной инфраструктуре.
- CoinMiner, криптовалютный майнер, распространяющийся с помощью Windows Management Instrumentation (WMI) и EternalBlue.
- Agent Tesla, троян удаленного доступа (RAT), который перехватывает учетные данные, нажатия клавиш и скриншоты.
- NanoCore, RAT, распространяющийся через вредоносный спам в виде вредоносной таблицы Excel.
- Gh0st, RAT для создания бэкдоров для контроля конечных точек.
- ZeuS, модульный банковский троян, использующий протоколирование нажатий клавиш.
- Ursnif (он же Gozi и Dreambot), банковский троян.
- Laplas, вредоносная программа-клиппер, которая в настоящее время распространяется с помощью загрузчика SmokeLoader через фишинговые электронные письма с вредоносными документами.
- ViperSoftX, многоступенчатый похититель криптовалюты, распространяющийся через торренты и файлообменные сайты.
- Netshta, заразитель файлов и похититель информации, распространяющийся через фишинг и съемные носители и нацеленный на исполняемые файлы, общие сетевые ресурсы и устройства хранения данных.
Источник: Cybersecurity Snapshot: CSA Offers Guidance on How To Use ChatGPT Securely in Your Org
