我們正處於 GenAI 革命之中,業界每個人都在思考的問題是—我們如何搭上這強力趨勢,同時又不損害企業的資料安全?正如十年前在預測雲端技術普及的情況一樣,對雲端的安全疑慮也被技術推進,與廣泛應用領域的安全服務逐漸消除。
然而GenAI 的爆發性發展速度還遠快於雲端普及,我們在安全服務這方面實務部署卻遠遠落後。著名的PCWORLD 的一份報告顯示,近 100% 的公司計劃在不久的將來推出一項或多項人工智慧計畫。但其中會有多少公司真正準備好應對 GenAI 對資料安全帶來的獨特挑戰?
生成式人工智慧正在快速發展,能夠協助使我們在工作上處於領先地位。有助於完成日常工作、研究和寫作任務。市場通用的大型語言模型 (LLM) 競爭最佳的輸出品質、速度和資源效率。通過這種方式,企業可以使用通用的GenAI模型,並使用其內部和專有數據進行增強的同時,並保持數據在安全的環境中,無需直接在模型中進行訓練。
新的風險領域可能正在浮現
未經審查的「影子 GenAI」應用程式,因應員工和開發人員方便或進行實驗而使用,繞過安全控制並放大數據洩露或洩露的可能性。這種情況甚至進一步擴大,的確會有公司正阻止員工在其網路上存取 GenAI 工具,而導致員工轉向將敏感數據傳輸到私人設備,或者地端GenAI 工具,這些設備本身以及工具就存在一定風險。
此外,用於GenAI訓練的龐大數據集的移動和收集,帶來了另一個更令人擔憂的面向。由於測試準備和安全措施不足,人工智慧應用程式快速推向市場,會為大眾用戶帶來風險;倉促導入容易導致數據洩露等問題。目前如果沒有對存取控制的全面理解和盤點,可能導致在組織數據治理不知情的狀況下,允許模型或使用者未經授權存取數據。
而內部威脅將使情況進一步複雜化,企業 AI 工具可能成為惡意活動的管道。從模仿合法員工創建欺騙性通信通道,到精確定位敏感數據倉儲,並規避數據外洩防護 (DLP) 監視與控制,內部人員可以利用 GenAI 以更高的複雜性執行秘密行動。
對攻擊者而言,利用 GenAI 製作令人無可懷疑的個人化訊息內容,讓他們可以策劃發動具規模與信任效果的增強型網路釣魚活動。利用 GenAI 以精準的目標對象定製專屬電子郵件,實施逃避傳統檢測方法的網路釣魚攻擊,對網路安全協定構成巨大挑戰。
GenAI 對於傳統DLP 系統的可能挑戰
端點代理程式負擔:部署和管理過多的端點代理程式對端點性能、代理程式更新/管理,和實施數據洩漏政策制定成了重大挑戰。
對數據的可見性不足:從源來到目標的數據流向的即時監控,保持數據一致可見性,是一項重大挑戰;包括有關誰Who(處理數據的使用者身份和他們正在使用的端點)、什麼What(數據中含有的敏感資訊)、如何How(複製/粘貼、上傳、壓縮 ZIP 檔、有關數據傳出管道,操作的上下文資訊)和位置Where(軟體即服務應用程式/USB/GenAI)等。
強制實施控制的意願:大多數傳統的 DLP 現實工作都處於僅監視模式,因為組織擔心強制實施阻擋控制,可能會對用戶體驗和工作效率產生非預期負面影響。傳統的判斷方式不夠智慧,不足以面對現在的人類創新與GenAI的生成內容。
我們需要它
營運轉向引入生成式人工智慧工具行是有充分原因的,也是未來無法擋的趨勢。而組織必須考慮的是,強化使用者教育和意識,對參與 AI/ML 專案的人員進行數據安全最佳實踐教育。在組織內培養數據使用責任文化。 持續監控和改進,定期監控 DLP 系統的有效性,政策的與時俱進,並根據新的威脅和漏洞進行調整;這甚至可以借助機器學習進行持續改進和威脅檢測。
由於每個人都在使用它,那些排斥、保守的人將可能被拋在後面。無論公司政策是什麼,員工都將繼續使用人工智慧來完成他們的任務,並且總會有競爭對手願意以更冒險方式獲得優勢。從長遠來看,公司必須利用人工智慧來保持競爭力,而且是在有效的數據安全治理之下。