网络安全快照:构建自己的ChatGPT ?学会如何避免人工智能模型的安全风险

找出为什么网络团队必须尽快让髋关节人工智能安全。另外,检查前的风险ChatGPT-like llm。同时,了解今年的Verizon DBIR BEC和ransomware说。另外,最新的趋势在SaaS安全。和更多!

深入六事介意6月9日当周的顶部。

1 -弗雷斯特:你必须捍卫AI模型开始“昨天”

添加另一个项目网络安全团队的包装要保护的资产列表:人工智能模型。为什么?他们的组织很可能会马上开始构建人工智能模型内部——如果他们没有这样做。

Forrester Research首席分析师提供的预估的高级分析师杰夫•波拉德和艾莉Mellen在他们最近的博客”捍卫AI模型:从昨天很快”。

人工智能模型的问题是所谓的调整模型——那些组织将使用企业数据在内部构建和定制。调整模型并不与商用混淆,广义模型从微软或谷歌等厂商。

“调整模型是你的敏感和机密数据在哪里最危险,”波拉德和Mellen写道。

“不幸的是,这个时间范围是“很快”,因为它是“昨天。”Forrester预计好tuned-models增殖跨企业,设备,和个人,将需要保护,”他们补充说。

分析师称,潜在攻击这些模型包括:

• 模型盗窃,这将危及影响组织竞争优势的商业模式,因此影响收入

• 推理攻击,黑客找到一种方法对一个模型无意中泄漏敏感数据

• 数据中毒,攻击者篡改模型的数据让它产生不准确的或不受欢迎的结果

分析师预计,安全产品会帮助网络团队通过机器人保护人工智能模式管理,API安全、AI /毫升安全工具和促使工程。

欲知详情,读Forrester Research博客”捍卫AI模型:从昨天很快。”

获得更多的信息关于保护AI模型:

• ”人工智能和机器学习项目有多安全?”(社会网络)
• ”确保人工智能”(ETSI)
• ”OWASP AI安全和隐私的向导”(OWASP)
• ”确保机器学习算法”(ENISA)
• ”敌对的机器学习:分类和术语的攻击和移植”(美国国家标准与技术研究院)

视频

如何安全的AI系统(斯坦福大学)

确保AI系统规模(人工智能基础设施联盟)

2 - OWASP排名为AI llm安全风险

和呆在AI的主题模型安全、OWASP基金会发布了一份“十大安全风险参与部署和管理大型语言模型(llm),生成人工智能聊天机器人ChatGPT一样受欢迎。

这是列表,这是针对开发人员,设计师,建筑师,管理者和组织致力于llm:

• 提示注射,旨在绕过LLM的过滤器或操纵它变成违反自己的控件执行恶意操作
• 数据泄漏,导致意外的披露,通过LLM的反应,敏感数据的专有算法或其他机密信息
• 沙盒不足,LLM不当孤立时访问外部资源或敏感的系统
• 利用llm,让他们执行代码,命令或未经授权的或恶意的行为
• 服务器端请求伪造(SSRF)攻击,旨在得到一个LLM给予意想不到的请求或访问受限资源
• 过度依赖内容由llm不是检查和审查由人类
• LLM的目标之间的偏差和行为,和它的设计用例
• 缺乏访问控制和认证
• 暴露的错误信息和调试信息可能泄露敏感信息
• 恶意操纵llm训练数据

列表中仍处于草案阶段。OWASP鼓励感兴趣的社区成员参与正在进行的工作的推进和精炼的语言模型应用程序的“十大”项目。

得到更多的细节,阅读项目的公告,去项目的主页并检查了风险列表。

关于使用生成人工智能工具的更多信息如ChatGPT安全地和负责任的,看看这些站得住脚的博客:

• ”CSA提供指导如何使用ChatGPT安全地在你的组织”
• ”随着ChatGPT担忧加剧,美国政府考虑人工智能规则”
• ”ChatGPT大火肆虐,NIST问题AI安全指导”
• ”ChatGPT特别版关于最重要的网络专家”
• ”ChatGPT使用会导致侵犯隐私数据”

视频

解剖学的威胁:GPT-4和ChatGPT用作吸引网络钓鱼诈骗促进假OpenAI令牌

站得住脚的网络表:AI脆弱性管理你的雷达屏幕上吗?

3 - Verizon DBIR BEC和ransomware警告说

网络安全团队注意:从商业电子邮件威胁妥协(BEC)和ransomware攻击已经加剧了在过去的一年。

所以说,Verizon 2023数据泄露调查报告(DBIR),分析了大约16000事件和5200年11月1日之间违反2021年和2022年10月31日。

让我们深入了解一些细节BEC诈骗,该攻击诱骗一名员工披露敏感的财务信息或者转账:

• 这些欺诈计划,也被称为“借口”,在频率几乎翻了一番,现在代表半数以上的社会工程事故

• 中值通过BEC被盗数量已经增长到超过50000美元/事件在过去的两年里

关于ransomware,以下是一些重要发现:

• Ransomware占24%的违反,Ransomware运营商提高自动化和效率

• ransomware攻击的平均成本比过去两年翻了一倍,达到26000美元

• 有ransomware袭击在过去的两年里比前五年的总和

Ransomware行动各种加班

^{(来源:Verizon 2023数据违反调查报告,2023年6月)}

其他有趣的发现包括:

• “人为因素”参与违反的74%,这意味着有人犯了一个错误或社会工程诈骗下跌,或攻击者使用偷来的凭证

• 类别的错误导致破坏,其中21%是错误配置,其中大部分是由开发人员和系统管理员

• 外部演员参与违反的83%

• 95%的攻击是金融的动机

• 的三大技术突破受害者的环境:使用偷来的凭证;网络钓鱼;和利用的漏洞

从DBIR获得所有的细节,这是本周公布,现在16年,访问它主要资源页面,请查看它公告,下载完整报告看这个视频:

4 -云安全上衣CISOs的担忧

CISOs最担心他们组织的云安全。不仅如此。在他们的网络安全团队的功能,云安全技能短缺也是世界第一。

这两个结果从欧洲委员会的“2023认证CISO名人堂报告”的网络安全教育和培训组织调查281 c级安全管理人员来自世界各地和来自多个行业。

当受访者被要求的名字他们最关注的领域,云安全名列榜首,49.1%的受访CISOs选择它。数据安全排名第二(34.5%),其次是网络安全管理(32.7%)。

最大的担心网络安全领域

^{(来源:欧洲委员会的“2023认证CISO名人堂的报告”。281名受访者可以选择多个答案)。}

关于最大的地区差距他们组织的需求和可用的人才,云安全再次失控的首选,51.6%的受访者选择。位列第二的数据安全。

差距的需求和人才

^{(来源:欧洲委员会的“2023认证CISO名人堂的报告”。281名受访者可以选择多个答案)。}

得到更多的细节,读报告的公告并检查了完整的报告。

更多信息关于CISOs今天面临的挑战:

• ”2023年5 CISOs面临挑战”(Infosecurity杂志)
• ”现代CISO:今天最大的网络安全问题,接下来会发生什么”(网络安全潜水)
• ”为网络安全管理CISOs分享他们的3大挑战”(深阅读)
• ”对CISOs以及如何进行风险管理的挑战”(SC杂志)

视频

作为一个CISO五个挑战你的脸(Eric科尔)

透明度从CISO的角度(SANS研究所)

5 - CSA看着进化SaaS安全格局

云安全联盟已经揭示的快照saas安全的趋势。

为“2024年年度SaaS安全调查报告:计划和重点,“本周公布,CSA调查1130年和安全优点和发现,除其他事项外,:

• 58%的人说他们当前的SaaS安全工具只覆盖一半或更少的SaaS应用程序

• SaaS收养组织内传播,安全领导人将SaaS安全角色从实际控制器到治理监管,将安全管理委托给利益相关者谁“拥有”特定应用程序和更接近他们的日常使用

• SaaS安全的范围不断扩大,现在包括配置错误,第三方应用到应用的访问,device-to-SaaS风险管理、身份和访问管理和威胁检测和响应

^{(来源:云安全联盟的年度SaaS安全调查报告:2024计划和优先级,2023年6月)}

• SaaS应用程序,提高了他们的支出66%和71%投资增加了SaaS安全工具

• 55%的组织了SaaS安全事件在过去的两年里,从去年的12%

^{(来源:云安全联盟的年度SaaS安全调查报告:2024计划和优先级,2023年6月)}

得到更详细的报告,由自适应保护站得住脚的伙伴,阅读报告的公告和下载完整报告。

关于SaaS的更多信息安全专门和云安全,看看这些站得住脚的博客:

• ”与SaaS数据保护组织的斗争”
• ”云安全基础知识:保护你的Web应用程序”
• ”不要低估SaaS安全”
• ”回顾CSA顶级SaaS治理的最佳实践”
• ”识别XML外部实体:如何站得住脚的。io是可以帮助”

视频

站得住脚的云安全咖啡:Web应用程序安全性

2023年将是今年的SaaS安全| 2023年Web里约热内卢峰会上站得住脚的

6 -指南确保远程访问软件

想提高你的组织如何检测并响应威胁远程访问软件?查看新的“指南确保远程访问软件”由美国和以色列政府共同发表在本周。

指南概述了常见的开发,以及战术、技术和程序中使用这种类型的软件妥协。威胁行动者往往滥用远程访问软件释放隐形“靠土地”攻击——最近在聚光灯下的首选方法Volt台风中国政府支持的黑客组织。

“远程访问可能是一个有用的选择对于许多组织来说,但它也可能是一个向量的威胁到他们的系统中,”Eric Chudow说系统威胁和脆弱性分析主题专家在美国国家安全局。

攻击者的目标远程访问软件由于种种原因,包括:

• 它并不总是触发响应防御安全工具
• 它可以让攻击者绕过软件管理控制策略,以及防火墙规则
• 它可以让攻击者管理多个同时入侵

所有的细节,看看联合预警,公告和长达11页的指南来自美国国家安全局,中钢协、联邦调查局、多态信息共享和分析中心(MS-ISAC)和以色列国家网络理事会(INCD)。