Ознайомтеся з документом Альянсу з хмарної безпеки про ChatGPT для кіберпрофесіоналів. А також про останні зусилля Білого дому щодо просування відповідального ШІ. Крім того, чи замислювалися ви про управління вразливими системами ШІ? На додаток до цього “хрещений батько ШІ ” б’є на сполох з приводу небезпек ШІ. І багато іншого!
1 – CSA пояснює ChatGPT для фахівців з безпеки
Ви професіонал в галузі безпеки з синдромом “вибуху голови”, викликаним ChatGPT? Приєднуйтесь до клубу.
Ось поширений сценарій: Ваш бізнес хоче використовувати – або, можливо, вже використовує – ChatGPT, а команда безпеки намагається зрозуміти, що можна, а що не можна робити вашій організації з надпопулярним генеративним чатом ШІ.
Команда безпеки повинна розробити та прийняти політики та рекомендації щодо використання, але щоденна лавина інформації про ChatGPT, а також термінове прагнення вашої компанії оптимізувати процеси за допомогою ChatGPT не допомагають.
Альянс хмарної безпеки (CSA) нещодавно випустив цікавий та безкоштовний ресурс, який може допомогти. “Наслідки ChatGPT для безпеки“, 54-сторінковий документ, не присвячений обговоренню технології штучного інтелекту, а покликаний допомогти фахівцям з кібербезпеки зрозуміти можливості ChatGPT та вплив на бізнес.
У документі розглядаються такі теми:
- Пояснення того, що таке ChatGPT;
- Як зловмисники можуть використати його для посилення своїх атак;
- Як захисники можуть використовувати його у своїх програмах кібербезпеки;
- Як безпечно використовувати ChatGPT для бізнесу;
- Обмеження генеративного ШІ;
- Потенційні майбутні розробки.
2 – Білий дім оголошує про заходи щодо підвищення безпеки штучного інтелекту
У міру посилення занепокоєння з приводу можливості зловживання ChatGPT, адміністрація Байдена зустрілася з керівниками технологічних компаній у Білому домі та оголосила про заходи щодо стимулювання розвитку відповідальної ШІ та захисту людей від потенційної шкоди.
Оголошені ініціативи включають:
- 140 мільйонів доларів на запуск семи нових Національних дослідницьких інститутів ШІ для активізації співробітництва в галузі ШІ між науковими колами, урядом та приватним сектором.
- Оцінка існуючих генеративних систем ШІ розробниками ШІ, такими як Google та Microsoft, щоб визначити, чи слід і як їх модифікувати для суспільного блага.
- Нова політика, що визначає, як уряд США розробляє, впроваджує та використовує системи ШІ.
“Як я заявив сьогодні керівникам компаній, що перебувають на передньому краї американських інновацій в галузі ШІ, приватний сектор несе етичну, моральну та юридичну відповідальність за забезпечення безпеки та захисту своєї продукції”, – сказав віце-президент Харріс у своїй заяві.
Серед керівників компаній, що взяли участь у зустрічі, були Сундар Пічаї з Google та Сатья Наделла з Microsoft, а також Сем Альтман із OpenAI, творця ChatGPT.
3 – Чи знаходиться управління вразливістю ШІ на вашому екрані радара?
І так, ще про ШІ: як усувати вразливості програмного забезпечення в ШІ системах?
Чи впорається традиційне управління вразливістю (VM) чи вам потрібні нові процеси та технології?
Оскільки продукти ШІ охоче впроваджуються в організаціях, ці питання здаються дуже актуальними для команд кібербезпеки. Щоб увійти в курс справи, ознайомтеся з новим звітом Стенфордського університету та Джорджтаунського університету під назвою “Змагальне машинне навчання та кібербезпека: Ризики, проблеми та правові наслідки“.
“Доповідь виходить з того, що системи ШІ, особливо засновані на методах машинного навчання, напрочуд вразливі для цілого ряду атак”, – написав один із авторів доповіді, лектор Каліфорнійського університету в Берклі Джим Демпсі у блозі під назвою “Усунення ризиків безпеки ШІ“.
За словами авторів, 35-сторінковий документ, заснований на результатах семінару, проведеного минулого літа, має дві основні цілі:
- Обговорити, чим уразливості ШІ відрізняються від звичайних типів програмних помилок, а також поточний стан обміну інформацією про них.
- Запропонувати рекомендації, які поділяються на чотири категорії високого рівня:
- Розширення традиційної кібербезпеки для вразливостей ШІ;
- Поліпшення обміну інформацією, прозорості та підзвітності;
- Уточнення правового статусу вразливостей ШІ;
- Підвищення безпеки ШІ шляхом проведення ефективних досліджень.
“Вразливості ШІ можуть не збігатися з традиційним визначенням вразливості кібербезпеки “латка до латки”, – йдеться у звіті. “Ці відмінності … породили двозначність щодо статусу вразливостей ШІ та атак ШІ. Це, у свою чергу, ставить низку питань, пов’язаних із корпоративною відповідальністю та державною політикою”.
4 – Гуру ШІ компанії Google звільняється та попереджає про небезпеки ШІ
Не відходячи від теми ШІ – ще один видний діяч попереджає про потенційну небезпеку випуску продуктів ШІ, які можуть бути використані зі злочинною метою.
На цьому тижні Джеффрі Хінтон, піонер ШІ’, заявив, що звільнився з Google, щоб мати можливість вільно висловлювати свої побоювання щодо ризику заподіяння шкоди внаслідок зловмисного використання інструментів генеративного ШІ, таких як ChatGPR.
І знову це тема, яку фахівці з кібербезпеки повинні уважно відстежувати з різних боків: Як запобігати атакам з використанням ШІ та реагувати на них? Як використовувати ШІ для захисту? Як дотримуватись поточних та майбутніх нормативних актів та законів, що регулюють використання ШІ?
У інтерв’ю газеті The New York Times Хінтон закликав технологічні компанії пригальмувати та подумати про те, як зловмисники можуть використовувати генеративний ШІ чат-ботів для активізації своїх зусиль щодо створення хаосу, який, як він побоюється, може бути неминучим.
“Важко зрозуміти, як можна запобігти використанню ШІ для поганих цілей”, – сказав 75-річний Хінтон, лауреат премії Тьюринга, якого часто називають “хрещеним батьком ШІ “.
Він побоюється, що зловмисне використання чат-ботів зі штучним інтелектом прискорить створення неправдивої інформації, включаючи тексти та медіа, які здаватимуться звичайним людям законними, що призведе до широкої помилки щодо того, що є реальністю.
Він повторює настрої, неодноразово виражені останніми місяцями після виходу ChatGPT зацікавленими урядами, організаціями та приватними особами, включаючи понад 1000 експертів у галузі технологій, які підписали у березні лист із проханням запровадити мораторій на ШІ.
5 – CISA пропонує проект форми сертифікації безпеки для постачальників програмного забезпечення
Які запитання слід ставити постачальникам програмного забезпечення, щоб переконатися в безпеці своїх продуктів? Ви можете отримати хороші ідеї з проєкту анкети CISA, який був випущений щоб громадськість могла висловити свої зауваження.
Документ, названий “Загальна форма самоперевірки захищеного програмного забезпечення“, включає, наприклад, питання визначення відповідності вимогам постачальника:
- Чи розробив він своє програмне забезпечення у безпечному середовищі.
- Чи доклав він “сумлінні зусилля” для забезпечення безпеки своїх ланцюжків поставок.
- Чи знає він, звідки надійшли усі компоненти його програмного забезпечення?
- Чи перевіряв він вразливості програмного забезпечення за допомогою автоматизованих засобів.
Після затвердження в остаточній формі ця форма підтвердження безпеки стане тією, яку постачальники програмного забезпечення мають представляти федеральним агентствам США, яким вони продають програмне забезпечення.
6 – Ось топ шкідливих програм за перший квартал 2023 року
Центр інтернет-безпеки (CIS) склав рейтинг найпоширеніших штамів шкідливих програм у першому кварталі 2023 року. Багато хто з них, як завжди, повторює свій шлях, а новачки Laplas, Netshta і ViperSoftX поповнили список.
Ось рейтинг, складений у порядку зменшення на основі інцидентів із шкідливим ПЗ, виявлених Мультидержавним центром обміну інформацією та аналізу (MS-ISAC):
- SessionManager2, шкідливий бекдор для сервера Microsoft IIS, який надає зловмисникам постійний, стійкий до оновлень та прихований доступ до скомпрометованої інфраструктури.
- CoinMiner, криптовалютний майнер, що розповсюджується за допомогою Windows Management Instrumentation (WMI) та EternalBlue.
- Agent Tesla, троян віддаленого доступу (RAT), який перехоплює облікові дані, натискання клавіш та скріншоти.
- NanoCore, RAT, що поширюється через шкідливий спам як шкідливої таблиці Excel.
- Gh0st, RAT для створення бекдорів для контролю кінцевих точок.
- ZeuS, модульний банківський троян, що використовує протоколювання натискань клавіш.
- Ursnif (він же Gozi та Dreambot), банківський троян.
- Laplas, шкідлива програма-кліпер, яка в даний час поширюється за допомогою завантажувача SmokeLoader через фішингові електронні листи зі шкідливими документами.
- ViperSoftX, багатоступінчастий викрадач криптовалюти, що розповсюджується через торренти та файлообмінні сайти.
- Netshta, заразник файлів і викрадач інформації, що розповсюджується через фішинг та знімні носії та націлений на файли, загальні мережеві ресурси та пристрої зберігання даних.
Джерело: Cybersecurity Snapshot: CSA Offers Guidance on How To Use ChatGPT Securely in Your Org
