趋势与观点 | AI改变组织和专业人员处理信息风险和安全的五种方式

人工智能 (AI) 正在迅速改变组织高层对信息风险和安全方法的看法。当前媒体对人工智能的关注,以及组织要求安全供应商在产品和服务中集成AI的概念和功能,引起了人们对其当前状态能力和未来潜力的极大兴趣——无论是攻击方还是防御方。攻击方社区已经接受了生成式人工智能等概念,以帮助理解攻击和漏洞,快速开发恶意软件和攻击代码,识别潜在目标和利用弱点。防御者也希望人工智能通过自动化检测、评估和响应威胁和攻击活动来帮助他们快速增强其能力,自动化安全测试,并协助事态和事件调查和响应活动。

信息风险和安全团队必须不断调整和适应其对手的新兴技术、能力和技巧,以及他们可用于增强防御和有效性的工具和能力。对于任何处于大规模识别和部署早期阶段的新兴技术,在少数几个用例被认为是正常的、预期的和有益的之前,通常应该探索广泛而令人兴奋的可能性。当前新兴的人工智能有五种方式可能会改变组织和专业人员处理信息风险和安全的方式:

1. 安全事态和事故响应的调查和行动将变得更加高效和有效。网络事件响应调查和随后的行动往往是与时间赛跑。如果一个组织受到主动攻击或已成为成功攻击的受害者,情况尤其如此。信息风险和安全专业人员花费大量时间收集、处理和分析数据,作为其调查和响应活动的一部分。人工智能有可能使许多数据收集、处理和分析活动自动化,并降低通常与数据收集和处理相关的信噪比(SNR)。虽然人工智能不太可能完全取代人类分析,但它将为信息风险和安全专业人员提供更准确、可操作的数据,以进行分析和协调响应活动。

2. 威胁和漏洞分析将变得更加自动化和普遍。风险和安全专业人员早就认识到,使用威胁和漏洞分析对于了解对手可能如何操作和攻击、发生攻击的可能性以及如果成功发生攻击可能对组织或操作环境产生何种重大影响非常有用。所有这些因素都是安全风险评估活动的基本数据点和输入值。目前,威胁和漏洞分析通常是一个人力密集型且耗时的过程。因此,通常仅在时间点对高可视化业务流程和支持的信息基础架构和相关数据资产进行分析。使用人工智能来支持分析可能会推动更高的自动化和效率,这应该会导致更多的持续使用。

提供产品和服务以支持分析活动的风险和安全供应商和服务提供商将提供包含大型学习模型 (LLM) 的工具和解决方案以支持分析活动。这些LLM将不断更新与攻击者工具、方法和策略相关的情报;存在和/或正在被利用的已知技术漏洞;如何识别漏洞的详细信息;以及可能的纠正措施和/或补偿控制。但是,为了有效,组织内部的信息风险和安全专业人员必须使用特定于其组织的业务流程活动、风险偏好、预期用户活动和行为的数据和见解来丰富这些模型和工具。只有这样,这些工具才会有用,并被业务流程所有者和领导者所接受。这两个数据集的结合将允许人工智能支持的、持续的、自动化的威胁和漏洞分析活动应用于所有实质性业务流程。

3. 应用程序安全性将更加有效。许多安全事态和事件都是由于不安全的应用程序代码、配置错误的应用程序或被攻击者操纵并用作其攻击活动一部分的应用程序造成的。应用程序供应商持续生成的与安全相关的软件补丁和更新的数量提供了明确的证据,表明必须增强当前的应用程序安全方法才能有效。人工智能可能会通过将基于应用程序安全的LMM集成到应用程序开发和安全测试以及保护工具中来加速这些增强功能,例如静态应用程序安全测试 (SAS) 和动态应用程序安全测试 (DAS),软件组合分析 (SCA),Web应用程序防火墙 (WAF),应用程序编程接口 (API) 安全网关以及质量保证和渗透测试。这些LMM可以确保在高效且基于风险的测试环境中,针对已知和预期的攻击者方法和策略的变化和排列对应用程序源代码和正在运行的应用程序进行测试,并具有弹性。

如果用于训练这些工具的LMM不断接受培训,以纳入安全注意事项、依赖关系、编码样式和上下文以及特定于其支持组织的业务活动,那么当前使用的基于AI 的应用程序开发助手工具(例如,Microsoft GitHub Copilot ,GitLab Code Suggestions)可能会产生更安全的代码。已经发现其中许多工具偶尔会产生易受攻击的代码和应用程序,因为它们所接受培训的LMM不是基于高质量、安全的代码,或者因为它们没有考虑适用组织的独特业务需求,而是只利用公共领域的数据输入和LMM。由于这些工具接触到更多的应用程序开发活动和源代码,并接受组织特定代码和应用程序的培训,它们可能会不断改进并提供增强的安全代码开发支持。

人工智能支持的工具可以通过学习新的测试技术,并将其应用于代码开发时工具分析的应用程序代码的结构、上下文和预期行为,从而提高应用程序安全性和质量,保证测试能力的效率。基于人工智能的功能,还可以利用通过学习应用程序代码和从与攻击者方法和策略相关的安全情报源中不断丰富获得的知识,为 WAF 和 API 安全网关持续开发配置策略和规则。

4. 安全工具将更有效地识别和防御已知和新兴的攻击技术和能力。安全供应商一直试图将已知和可能的攻击者方法、策略和功能的学习和知识整合到他们的工具中。随着人工智能功能和针对已知攻击方法和实践进行培训的聚焦安全的LMM的加入,它们的工具和能力可能会更有效地抵御已知和新兴的攻击方法和技术。从历史上看,安全供应商必须等待攻击方法、策略、工具或漏洞被识别出来,然后才能更新他们的工具。这被称为患者零效应,其中安全供应商必须在识别和验证新的攻击、威胁向量或漏洞后,立即更新其检测和响应活动。随着人工智能安全的引入,供应商可能会更准确地对新兴攻击者方法和实践进行预测建模,并可以主动创建识别和防御方法来识别和防范对其服务和工具的威胁。

5. 防御者可能过于依赖人工智能,而忘记了信息风险和安全人类专业人员的关键价值。在组织的信息风险和安全活动中引入人工智能功能有明显的好处,但也可能出现令人担忧的行为。人工智能在当前和不久将来预测的成熟状态不能也不应该取代人类信息风险和安全专业人员的直觉和分析能力。许多安全领导者希望人工智能能够帮助填补目前缺乏可用风险和安全专业人员所造成的空白。事实仍然是,人类风险和安全专业人员具有了解和理解“可能”概念的优势,而计算机,即使使用人工智能,仍然根据二进制(即“是”或“否”)逻辑做出决策。

当前的人工智能安全工具和功能仅与它们所基于的LMM一样有效,并将继续根据它们做出假设和决策。经验丰富的信息风险和安全专业人员敏锐地理解,他们必须始终遵循提供给他们的证据,同时允许“可能”因素的可能性,该因素可以解释不明显的因素,或者对手引入错误信息来误导他们活动的机会。在信息风险和安全活动方面,人类的直觉是强大而必要的,并且在短期内不会被人工智能复制。

信息风险和安全方面唯一不变的是变化。对手始终如一并有效地适应新的安全技术,并改变他们的方法来应对这些技术。有能力的对手还会主动监控和了解基于人工智能的安全工具和功能如何运作并对刺激做出反应。他们可以使用这些见解来确定如何规避此类工具,并在某些情况下,将这些反应用作为其攻击技术的一部分,以提高其有效性和隐藏活动的能力,直到他们希望它们被知道为止。正是由于这些原因,当前支持人工智能的风险和安全工具和功能应被视为对人类信息风险和安全专业人员的补充,而不是他们的替代品。‍

大步向前

对那些有效利用人工智能的组织来说,在信息风险和安全计划和活动中使用人工智能,是在增强信息风险和安全能力方面迈出重要一步。人工智能工具可以为基础和可重复的风险和安全相关活动提供有价值的帮助、见解和自动化。人工智能是对信息风险和安全专业人员的补充,而不是替代,它有可能提高许多组织的信息风险和安全计划的成熟度。相反,如果组织将人工智能视为信息风险和安全专业人员的替代品,他们可能会为自己创造一种虚假的安全感,并且随着时间的推移可能会变得不那么成熟,更容易受到攻击。‍

 

编者按: 本文于2023年6月28日首次发表 于ISACA官网News and Trends/Newsletter/@ISACA。文章内容仅代表作者本人观点。
作者:JOHN P. PIRONTI, CISA, CRISC, CISM, CGEIT, CDPSE, CISSP, ISSAP, ISSMP,是IP Architects LLC总裁。
翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。
校对:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。