网络安全快照:CSA提供指导如何使用ChatGPT安全地在你的组织

看看云安全联盟的白皮书ChatGPT网络优点。此外,白宫的最新努力促进负责任的人工智能。还有,你有没有想过人工智能系统的脆弱性管理?此外,人工智能“教父”的声音在AI的危险警报。和更多!

深入六事介意5月5日当周的顶部。

1 - CSA解包ChatGPT安全的人

你是一个安全专业ChatGPT-induced“爆炸头综合症”吗?加入俱乐部。

这是一个常见的场景:你的业务是渴望用-或者已经使用ChatGPT和安全团队正在努力找出有什么好的,不可以为你的组织与超人气的生成-人工智能聊天机器人。

安全团队必须草案和采取使用的政策和指导方针,但每日雪崩ChatGPT信息,以及你公司的紧迫性与ChatGPT简化流程,没有帮助。

一个漂亮的和免费的资源,可以帮助刚刚发布的云安全联盟(CSA)。”安全的影响ChatGPT”54-page白皮书,避开“杂草”讨论人工智能技术,而是旨在帮助网络安全工程师掌握ChatGPT的功能和业务的影响。

在白皮书的主题包括:

• 解释什么是ChatGPT
• 多么糟糕的演员可以使用它来提高他们的攻击呢
• 后卫如何利用它的网络安全项目吗
• 如何安全地使用ChatGPT业务吗
• 生成AI的局限性
• 潜在的未来发展

所有的细节,阅读白皮书并检查了幻灯片关于它。

关于ChatGPT的更多信息,生成人工智能和网络安全:

• ”如何维护网络安全ChatGPT和生成AI扩散”(加速经济)
• ”ChatGPT,人工智能革命,安全、隐私和伦理问题”(SecurityWeek)
• ”人工智能的融合和网络安全在这里:你准备好了吗?”(前年)
• ”生成AI是如何改变安全研究”(成立)
• ”ChatGPT给网络安全带来的新风险”(哈佛商业评论)

视频

ChatGPT:网络安全的救世主还是魔鬼?(安全周报)

介绍了NIST AI风险管理框架(NIST)

2 -白宫揭示努力提高安全的人工智能

潜在的滥用ChatGPT担忧加剧,拜登政府周四在白宫会见了科技ceo宣布措施来刺激发展负责任的AI和保护人们免受潜在危害。

宣布计划包括:

• 1.4亿美元推出七个新国家人工智能研究所推动人工智能协作在学术界、政府和私营部门
• 评估现有生成人工智能系统的AI开发者如谷歌和微软来确定和公共利益应该如何修改它们
• 美国政府新政策来指导如何发展,采用和使用人工智能系统

“今天我分享公司的ceo在美国人工智能创新的前沿,私营企业伦理,道德,和法律责任,以确保产品的安全,”副总裁哈里斯在一份声明中说。

包括谷歌的ceo参加会议Sundar Pichai和微软的萨提亚,Nadella以及山姆从OpenAI奥特曼,ChatGPT制造商。

有关更多信息,阅读白宫的声明,声明中副总裁哈里斯和覆盖边缘,《纽约时报》,市场观察,美联社和CNBC。

3 - AI脆弱性管理你的雷达屏幕上吗?

是的,更多的人工智能:如何解决软件在AI系统漏洞吗?将传统的脆弱性管理(VM)获得成功——或者你需要新的流程和技术吗?

与人工智能产品越来越急切地通过组织中,这些似乎对于网络安全团队高度相关的问题。起床速度,检查出一个新报告来自斯坦福大学和乔治城大学名为“敌对的机器学习和网络安全:风险,挑战,和法律的影响。”

”报告从人工智能系统的前提,特别是基于机器学习的技术,非常容易受到各种攻击,”加州大学伯克利分校讲师吉姆·邓普西,该报告的作者之一,写一个博客名为“解决人工智能的安全风险。”

根据作者,35页的文档,这是基于去年夏天举行的研讨会,旨在实现两个主要目标:

• 讨论如何AI漏洞是不同的从传统类型的软件缺陷,以及信息共享的当前状态

• 提供建议,属于四个高级类别:
  • 扩展传统的人工智能网络安全漏洞
  • 提高信息共享,透明度和问责制
  • 澄清AI漏洞的法律地位
  • 提高人工智能安全通过有效的研究

“人工智能漏洞可能不会直接映射到一个补丁以解决网络安全漏洞的传统定义,”报告写道。“…的差异产生歧义有关AI漏洞和AI攻击的状态。这又提出了一系列的企业责任和公共政策的问题。”

更多信息:

• ”对抗AI袭击突出基本安全问题”(深阅读)
• ”是时候为网络安全强化AI和毫升”(TechTarget)
• ”AI /毫升的脆弱性信息披露和管理系统”(斯坦福大学)
• ”确保政府反对敌对的人工智能”(德勤)
• ”敌对的机器学习解释”(方案)
• ”101年敌对的机器学习:一个新的网络安全边界”(Dataconomy)

视频

机器学习算法的漏洞敌对攻击在社区网络安全(CAE)

AI /毫升数据中毒攻击解释和分析(实时网络)

4 -谷歌的人工智能大师了,关于AI危险警告

和呆在AI的话题,另一个著名的图是警告释放人工智能产品的潜在危险,可能滥用于邪恶的目的。

本周,一个AI先锋,杰弗里•辛顿说,他从谷歌辞职,这样他可以自由的声音担忧的风险危害ChatGPR等恶意使用生成人工智能工具。

再一次,这是一个话题,网络安全工程师应密切跟踪从不同角度:如何预防和应对AI-powered攻击?如何利用人工智能防御?你如何符合当前和未来的法律法规管理AI使用?(见本博客的第一项。)

在一个《纽约时报》采访时,辛顿敦促科技公司放慢速度,考虑如何糟糕的演员可以使用生成的人工智能聊天机器人来强化他们的努力创建混乱——他担心可能是不可避免的。

“很难看到如何阻止坏的演员使用不好的事情,”75岁的辛顿说,一位图灵奖得主通常被称为“人工智能的教父”。

他的担忧包括恶意使用人工智能聊天机器人将加速创建虚假信息,包括文本和媒体,将会出现合法的普通人,创造广泛的困惑什么是真实的。

他情感上的回应表示近几个月反复释放ChatGPT以来有关政府、组织和个人,包括1000多名技术专家签名一封信要求一个AI暂停3月。

关于网络安全的更多信息和生成的人工智能,看看这些站得住脚的资源:

• ”六件事了解ChatGPT和网络安全”
• ”如何站得住脚的利用人工智能简化研究活动吗”
• ”随着ChatGPT担忧加剧,美国政府考虑人工智能规则”
• ”ChatGPT大火肆虐,NIST问题AI安全指导”
• ”ChatGPT使用会导致侵犯隐私数据”

视频

生成AI是如何改变安全研究

GPT-4和ChatGPT作为吸引网络钓鱼诈骗促进假OpenAI令牌

5 -中钢协漂浮草案“安全认证”形式的软件供应商

什么问题你应该问你的软件供应商,以确保他们的产品是安全的?你可能会从一个好主意草案问卷中钢协发布了所以,公众可以评论。

被称为“安全软件Self-Attestation常见,“文档包括,例如,确定供应商的问题:

• 开发的软件在一个安全的环境
• 做了一个“诚信努力”,以确保供应链的安全
• 知道所有的软件组件
• 使用自动化工具检查软件漏洞

在最终形式的批准之后,这安全认证的形式将软件供应商需要提交的美国联邦机构出售软件。

如果你想评论草案的形式所以,你必须在6月26日。

更多信息:

• ”GSA开始收集信件的认证软件供应商在6月中旬”(评级)
• ”美国政府软件供应商必须证明他们的解决方案是安全的”(帮助网络安全)
• ”联邦供应商每年给工艺SBOM保证安全的软件开发”(CPO杂志)
• ”5个关键问题在评估软件供应链安全”(深阅读)
• ”如何评估它的网络安全防范服务提供者和议员”(成立)

视频

确保联邦软件供应链的挑战(SC媒体)

新准则下增强软件供应链安全EO 14028(RSA会议)

6 -这是恶意软件在2023年第一季度

网络安全中心(CIS)排名最普遍的恶意软件菌株在2023年第一季度,许多通常的嫌疑人重复亮相,和新人Laplas Netshta, ViperSoftX开裂。

这里有排名,在降序和基于检测到的恶意软件事件多态信息共享和分析中心(MS-ISAC):

• SessionManager2,恶意Microsoft IIS服务器出攻击者持续的后门,update-resistant和隐形破坏的基础设施
• CoinMiner cryptocurrency矿工,传播使用Windows管理规范(WMI)和EternalBlue
• 代理特斯拉,远程访问木马(老鼠)捕获凭据,按键和屏幕截图
• NanoCore,老鼠通过malspam传播恶意的Excel电子表格
• Gh0st,老鼠创建后门控制端点
• 宙斯,模块化银行木马使用击键记录
• Ursnif(又名Gozi Dreambot),银行木马
• Laplas,快船目前由SmokeLoader传播恶意软件通过网络钓鱼邮件下载恶意文件
• ViperSoftX,多级cryptocurrency偷窃者在传播种子和文件共享网站
• Netshta偷窃者文件传播者和信息,通过网络钓鱼和可移动媒体,传播和目标可执行文件、网络共享和存储设备

2023年第一季度前恶意软件

所有的细节,上下文和妥协的指标对于每一个恶意软件,读了CIS报告。

关于恶意软件的更多信息趋势:

• ”恶意软件的统计数据和事实为2023”(Comparitech)
• ”10个常见类型的恶意软件攻击和如何避免它们”(TechTarget)
• ”据说3 cx桌面应用Windows和macOS在袭击供应链妥协”(成立)
• ”2023年Ransomware趋势,统计数据和事实”(TechTarget)
• ”7最常见类型的恶意软件”(前年)