网络安全快照:ChatGPT火灾肆虐,NIST问题AI安全指导

了解所有关于NIST的人工智能风险管理新框架。另外,组织是如何平衡人工智能和数据隐私的。另外,看看我们在云安全特别调查。然后读到员工如何转账诈骗方兴未艾。和更多!

深入六事介意2月3日当周的顶部。

1 -在ChatGPT狂热,美国安全框架AI问题

担心制造商和人工智能(AI)系统的用户——以及整个社会缺乏指导与这些产品有关的风险和威胁,美国国家标准与技术研究院(NIST)的介入。

人工智能的新“风险管理框架,“NIST希望建立对人工智能产品的独特的风险,比如他们的脆弱性过度影响和操纵通过篡改数据算法训练。它们也可以过度受任意社会动力学的影响。

而18个月的框架是在建及其建议不是强制性的,它的到来是非常及时的。去年年底推出的生殖AI ChatGPT chatbot引发了狂热的全球讨论人工智能好处和缺点。

新框架旨在帮助AI系统设计师、开发人员和用户地址和管理人工智能风险通过灵活、结构化和可衡量的过程,根据国家标准。“它提供了一个集成的新方法负责实践和可操作的指导实施可信赖的和负责任的AI,“NIST主任劳里大肠Locascio说声明。

NIST,开始研究框架在18个月前,预计定期修改它,计划推出的“可信赖的和负责任的AI资源中心”帮助组织把框架付诸实践。

所有的细节,看看完整的48页框架文档,一个同伴的剧本,启动新闻发布会,语句从感兴趣的个人和组织和为未来的工作路线图以及覆盖布隆伯格,VentureBeat和TechPolicy。

更多信息关于人工智能的风险和ChatGPT明确的承诺和风险:

• ”威胁模型的机器生成的文本:一个全面的调查和检测方法”(美国大学,渥太华大学的研究人员)
• ”生成的人工智能是什么?”(麦肯锡)
• ”ChatGPT人工智能:即将到来的网络安全威胁?”(DarkReading)
• ”2023年网络见解:人工智能”(SecurityWeek)
• ”ChatGPT:希望、梦想、欺骗和网络安全”(GovTech)

视频

介绍了NIST AI风险管理框架(NIST)

你需要知道什么ChatGPT和它如何影响网络安全(SANS研究所)

2 -并继续AI的话题…

虽然NIST旨在告知风险管理和提高AI,另一项研究探索如何组织迄今为止解决人工智能与数据隐私管理治理。

鉴于AI系统提要的个人数据,国际隐私专家协会(IAPP)观察组织的成熟度级别负责任地使用人工智能和安全”隐私和AI治理报告”。

这份报告调查了一个秘密的隐私,政策,法律和技术人工智能专家在北美,欧洲和亚洲,发现:

• 大多数调查组织(70%)是在包括负责人工智能在治理的过程中,而10%的还没开始,20%已经实现这些实践。

• 顶部AI风险令人担忧的受访者的隐私;有害的偏见;糟糕的治理;和缺乏法律明确。

• 一半的组织构建负责任的AI治理的现有的成熟的隐私程序。

• 总的来说,这是一个争取组织发现并获得适当的工具来解决负责人工智能,比如人工智能应用程序检测的偏见。

^{(来源:“隐私和AI治理报告”从国际隐私专家协会(IAPP), 2023年1月)}

报告建议促进负责任的AI,组织应重点关注:

• 获得领导的支持
• 倡导道德使用的数据
• 增长和改善培训使用人工智能
• 实现AI隐私的伦理以同样的方式设计和违约

更多信息:

• ”负责人工智能是一个高层管理人员的问题,所以为什么不组织部署吗?”(地方)
• ”5的方法来避免与负责任的AI人工智能的偏见”(世界经济论坛)
• ”人工智能有倦怠问题负责”(麻省理工学院技术评论)
• ”新报告文件的负责任的AI的商业利益”(麻省理工学院斯隆商学院)

视频

负责人工智能:解决技术最大的公司治理挑战(加州大学伯克利分校)

探索人工智能和数据科学伦理审查过程(Ada Lovelace研究所)

3 -云安全给你一分钱

在我们最近的在线研讨会”DevSecOps指南干净,兼容和安全基础设施代码”和“Tenable.ioCustomer Update: January 2023:“我们调查参与者对他们的云安全计划的几个方面。看看他们说什么!

^{(调查的133名受访者站得住脚的,2023年1月)}

^{(调查的292名受访者站得住脚的,2023年1月)}

^{(调查的215名受访者站得住脚的,2023年1月)}

有关更多信息,请查看这些站得住脚的资源:

• ”云安全:三件事InfoSec领导人需要知道分担责任模型”
• ”云安全成熟的四个阶段”
• ”CNAPP:它是什么和为什么它是重要的安全领导?”
• ”无2022年DevSecOps调查:创建一个文化显著改善您的组织的安全态势”
• ”云安全圆桌会议:扩展云采用不牺牲安全标准”

4 -中钢协预备软件供应链安全的新办公室

需要帮助实现软件供应链安全最佳实践?美国网络安全基础设施安全机构(CISA)计划开设一个办公室的宪章将指导,需求和软件供应链安全的建议采取行动。

这是根据一篇文章从联邦新闻网络(FNN)采访了示范Lyublanovits,前总务管理局官员将矛头新网络供应链风险管理办公室(C-SCRM)。

“我们必须达到这一点,我们搬出去的想法只是广泛思考C-SCRM真正找出块我要开始处理第一,创建路线图,这样我们可以向前移动,“Lyublanovits告诉模糊神经网络。

新办公室的资源将不仅针对帮助美国联邦政府机构,还有州和地方政府,以及私营部门组织。

新闻的新办公室跟去年出版三个由中钢协软件供应链安全指南,美国国家安全局和国家情报总监办公室:一个软件供应商,一个用于软件开发人员,一个用于软件客户。

关于软件供应链安全的更多信息:

• ”供应链安全是什么?”(TechTarget)
• ”促进供应链安全的最佳实践”(ComputerWeekly)
• ”供应链软件最佳实践”(原生云计算基础)
• ”软件供应链安全指导”(美国国家标准与技术研究院)
• ”开源软件安全动员计划”(Linux基金会和开源安全基金会)

视频

如何确保您的软件供应链从依赖到部署(谷歌云)

软件供应链安全(奇怪的循环会议)

新准则下增强软件供应链安全EO 14028(RSA会议)

5 -员工转账诈骗暴涨

网络诈骗的员工得到骗钱转移到网络小偷去了2022年,强调在工作场所网络安全意识培训的重要性。

该发现来自保险公司Beazley集团最新的“网络服务的快照"。本周发布的报告指出,造成的损失,“欺诈指令”诈骗与2021年相比上升了13%。

^{(来源:Beazley集团的“快照”网络服务报告,2023年1月)}

不出所料,Beazley集团预计威胁演员继续在2023年积极追求这种类型的攻击。它建议组织:

• 更好地培训员工关于网络诈骗手段,比如欺骗邮件
• 建立流程验证付款请求
• 提高测井实践
• 身份和访问管理投资

报告还警告说,随着威胁演员水平的复杂的攻击,它是至关重要的对于企业改善他们的配置工具,特别是他们的公共云服务。Beazley建议如下:

• 不要依赖默认安全配置
• 了解和利用你的产品和服务的高级安全设置
• 检查与您的托管服务提供商,以确保它们是微调的安全配置

关于这份报告的更多信息,请查看覆盖率保险业务,全球再保险,保险业务杂志和战略风险。

6 -试着看到我的方式:提高业务安全通信

最后,这里有一些建议供安全领袖们想更好的与他们交流业务。

在博客”与领导有效的谈判技巧,“药剂的研究使各种各样的建议,包括:

• 而不是骂个不停,为什么政策必须坚持,否则,安全领导人应该谈论底层策略以及它们如何作为途径来完成业务目标。

• 努力理解问题正在讨论背后的业务需求,并使安全问题更广泛的业务目标,表明你在同一个方向划船和相同的目的。

• 强调安全控制和功能如何生成一个竞争优势的业务,比如把更好的基础上组织交易,需要特定的安全认证或符合规定。

关于这个主题的更多信息:

• ”如何成为一个与业务一致的安全领袖”(成立)
• ”CxOs需要帮助教育董事会”(云安全联盟)
• ”当向董事会提出7 CISOs犯错”(方案杂志)
• “网络安全董事会:CISO的角色是如何发展的一个新时代”(TechMonitor)
• ”成功的秘诀:CISOs共享前提示成功的演讲”(成立)