网络安全快照:随着ChatGPT担忧加剧,美国政府考虑人工智能规则

ChatGPT安全担忧上升,拜登政府看着制作人工智能策略控制。此外,据报道,三星限制ChatGPT使用后员工专有数据来喂它。还有,密码怎么失当雇主允许大价钱访问帐户。此外,顶端的身份和访问管理元素来监控。和更多!

深入六事介意4月14日当周的顶部。

1 -日益ChatGPT agita,白宫考虑人工智能规则

看不到尽头的迷恋生成人工智能聊天机器人就像ChatGPT,拜登政府正在考虑创建“护栏”来保护美国公民从人工智能的虐待。

本周,国家电信和信息管理局(NTIA),向白宫提供电信和信息政策问题,宣布它正在寻求公众评论“AI问责。”

拜登的评论将帮助政府制定政策通过“人工智能审计、评估、认证和其他机制”来促进信任AI系统和确保他们工作的目的,在不伤害人。

“公司有责任确保他们的人工智能产品安全使它们可用之前,“读取NTIA的声明。

直接声明涉及关键问题提出释放近几个月以来的多次OpenAI ChatGPT和其他生殖人工智能聊天机器人:他们过早地向公众发布吗?是世界上准备处理的后果滥用和误用这些产品的强大的功能?

主题NTIA是感兴趣的例子包括:信任和安全测试应该AI系统开发人员进行?监管机构如何鼓励AI系统开发人员之间的责任?

得到更多的细节,你可以去NTIA的“AI责任政策置评请求”主页和阅读完整的文档。

关于监管努力的更多信息在ChatGPT和生成人工智能:

• ”英国监管机构:使用ChatGPT如何打破数据隐私规则”(成立)
• ”意大利成为第一个西方国家禁止ChatGPT。这是其他国家所做的”(CNBC)
• ”ChatGPT大火肆虐,NIST问题AI安全指导”(成立)
• ”ChatGPT正进入一个世界在欧洲监管的痛苦”(政客)
• ”世界各国政府试图调节生殖AI”(TechTarget)

视频

在意大利封锁了OpenAI ChatGPT chatbot,欧洲其他国家效仿吗?(用)

潜在危险的AI越来越复杂和受欢迎(PBS NewsHour)

2 -,另一个提醒,ChatGPT不由的秘密

这是一个常规的警告:不要因为机密信息输入到ChatGPT用户输入的所有数据被吸入其庞大的数据存储。一旦存在,人工智能聊天机器人可以用它来回答其他用户的问题。

好,现在我们有一个现实的例子的失礼:据报道,三星员工美联储AI chatbot私人公司的敏感信息,包括专有源代码和会议纪要。

这是根据韩国版的《经济学人》杂志报道作为回应,消费电子巨头现在限制ChatGPT使用。

关于ChatGPT隐私问题相关的更多信息:

• ”三星可能使用ChatGPT员工“限制”,这是为什么”(印度时报》)
• ”一个主要银行已经禁止ChatGPT-should贵公司效仿吗?”(财富)
• ”亚马逊ChatGPT恳求员工不要泄露公司秘密”(未来主义)
• ”ChatGPT有一个很大的隐私问题”(有线)
• ”ChatGPT数据隐私的噩梦,我们应该担心”(Ars Technica)

视频

成都市新对ChatGPT提出了隐私问题(成立)

首席执行官聊天GPT-4背后说他有点害怕的人工智能(美国广播公司)

3 - 1号担心的是什么?你如何区分缺陷修补?

这是两个问题我们在最近的网络研讨会,要求参与者”成立研究股票2022年的回顾和后卫2023年的建议”,成立专家讨论了最近出版的“2022年成立威胁环境报告。“检查出受访者回答。

^{(资料来源:126年研讨会参与者站得住脚的调查,2023年3月)}

^{(资料来源:83年研讨会参与者站得住脚的调查,2023年3月)}

更多信息关于“成立2022年的威胁环境报告”查看:

• 下载完整的报告
• 看按需网络研讨会
• 阅读博客”减少你的暴露通过解决已知的漏洞”
• 看这个股票的洞察力面试站得住脚的资深员工研究工程师分水岭纳

4 -这是一个密码的问题:人们使用前雇主

业务无意中可以给前雇员访问其付费订阅服务,商业软件,电子邮件收件箱和其他数字资源?显然,这种情况往往会认为,和糟糕的密码管理是罪魁祸首。

这是根据一项调查从密码管理器发现,47%的美国员工有了至少一个前雇主的数字账户。这些前员工使用密码时,他们已经在那里工作;让他们从目前的员工;或者只是想他们。

他们做什么?许多偷他们的前雇主的支付工具,有些甚至恶意修补他们的系统和数据。

密码管理器,一个网站,并比较密码经理聘请Pollfish调查1000年美国受访者已经获得雇主在过去五年内的密码。

如何是你能够访问你的前雇主的密码?

^{(来源:密码管理器的调查,2023年4月)}

,更糟糕的是,在那些已经使用前雇主的密码,只有15%的人说他们已经被做,和三分之一表示,密码工作了两年多,其中一小部分人使用了十几年。

多长时间是你或你使用前雇主的密码吗?

^{(来源:密码管理器的调查,2023年4月)}

这些大价钱的动机大多数是节省工具和服务他们,否则要付(58%),而另一些人——大约10%——想要破坏前雇主的操作。

底线:公司需要更好地管理他们的密码。密码管理器的建议包括:

• 任命一名高级职员负责密码管理策略和流程
• 开始在新员工培训,向员工阐明什么是授权和未授权的知识产权和专有信息的处理
• 正确创建激励管理密码和公司账户
• 不断更新你的密码保护的资产,库存和临界速度
• 创建标准操作程序和时间表更新密码

关于密码管理的最佳实践企业的更多信息:

• ”简而言之企业密码安全指导方针”(TechTarget)
• ”选择一个密码管理器为业务:8特性来寻找”(Techopedia)
• ”密码管理工具如何帮助企业防止入侵”(地方)

5 -采用zero-trust架构?检查中钢协的修正模型

如果你评估或者已经实现zero-trust架构,您可能希望查看最新的版本的美国网络安全基础设施安全机构(CISA)“零相信成熟度模型——2.0版”(ZTMM),本周公布的。

ZTMM,中钢协标识实现zero-trust架构的五大支柱——身份、设备、网络、应用程序/工作负载和数据支撑的原则能见度/分析,自动化/编制和治理。

zero-trust成熟的机构还概述了四个阶段:传统的最初的、先进的和最优。最初的阶段是添加到ZTMM在version 2.0中,它提供了“实现一个梯度”在五根柱子。的2.0版本ZTMM zero-trust还增加了一些新的和更新的功能。

^{(来源:中国钢铁工业协会的“零相信成熟度模型——2.0版本,”2023年4月)}

中钢协指南构建在这七个零信任的“原则”概述了由美国国家标准与技术研究院(NIST):

• 认为资源所有数据来源和计算服务
• 保障所有通信无论网络位置
• 授权访问个人资源在每会话的基础上
• 确定访问资源动态策略
• 监视和测量所有拥有的完整性和安全状况和相关资产
• 严格和动态执行身份验证和授权的所有资源,然后才允许进行访问
• 收集尽可能多的信息关于资产的当前状态,网络基础设施和通讯,用它来提高安全性

举例来说,这里的zero-trust架构如何看起来像成熟的最佳阶段。

^{(来源:中国钢铁工业协会的“零信任成熟度模型——2.0版”,2023年4月)}

有关更多信息,读中钢协”零信任成熟度模型——2.0版本”和“企业移动应用零信任原则,”以及行政管理和预算局的联邦零信任策略和NIST的“实现零信任体系结构”。

6 -云安全联盟:我属性来监控

自保护身份和访问管理的重要性(IAM)系统不能强调不够,这是一个快速概述云安全联盟(CSA)的“最高7属性监控”中列出最近的博客”我的配置和监控。”

• 用户身份,包括用户信息的准确性,如名称、角色和组成员关系
• 授予许可,确保权限匹配用户的角色和职责
• 会话管理、验证用户会话终止在一个适当的和及时的方式
• 日志和审计跟踪,以记录和跟踪所有敏感数据的访问和系统
• 我的配置,包括验证身份验证方法的准确性和访问控制策略
• 服务帐户和资源帐户,以确保用户无法使用这些“服务主体”账户访问任何资源
• 编程访问,检查未经授权的访问和滥用api,角色和身份

关于我的更多信息安全,看看这些站得住脚的资源:

• ”Active Directory漏洞:威胁演员如何利用广告缺陷Ransomware攻击”(博客)
• ”如何自动发现广告的威胁消除盲点,使你的SOC身份意识到吗”(按需网络研讨会)
• ”在Active Directory消除攻击路径:仔细看看防止特权升级”(白皮书)
• ”排名前十的Active Directory CISOs必须问安全问题”(博客)
• ”采取一种积极的过程检测和防止广告中重要的攻击路径”(按需网络研讨会)