5月6日至9日,2024年RSA大会在旧金山盛大召开。本届大会以“可能的艺术”(the Art of Possible)为核心主题,鼓励我们为曾被认为不可能实现的梦想而奋斗——通过突破性的创新来彻底改变技术,同时加强防御,应对不断变化的威胁形势。
大会聚焦的关键议题涵盖了量化网络风险、运营技术保护、超越技术层面的协作与社区建设,以及创新和学习机会等多个维度,其中“人工智能的双刃剑”议题尤为引人注目,它强调了AI在改变网络安全格局的同时,也带来了潜在的风险。
当AI技术迸发出无限潜能,安全政策和程序却为创造力和创新带来阻碍时,我们应该如何发挥人为因素,以AI驱动安全发展的同时,让AI变得更加安全?5月6日大会召开首日,众多环节都讨论了人工智能本身的安全问题。
让AI更安全——完善法律政策,清除发展障碍
2024年RSA大会一系列人工智能主题会议中的第一场会议中,Orrick Herrington & Sutcliffe LLP合伙人兼数字商务和游戏全球主管Behnam Dayanim发表了题为“人工智能:法律、政策和常识建议,以远离麻烦”的演讲。
他强调,人工智能政策应涵盖各个风险领域——网络安全和数据机密性、招聘或员工评估中的偏见和歧视、人工智能共同创建的资产的知识产权和作者权等等。网络安全领导者应该认识到并准备好应对人工智能可能成为数据泄漏的来源或攻击者破坏其系统的新入口的方式。
让AI更安全——强化安全意识,创新同步同频
IBM在2024年RSA大会发布的一份新报告中提到:70%的企业高管在生成式AI项目方面将创新置于安全之上,因此企业容易受到一系列网络安全和隐私风险的影响。调查还发现,只有不到四分之一(24%)生成式人工智能项目得到保护。
报告中接受调查的高管强调了与在组织中部署生成式人工智能工具相关的一系列担忧。超过一半 (51%) 的受访者提到了生成式人工智能带来的不可预测的风险和新的安全漏洞,而47%的受访者则强调了针对现有人工智能模型、数据和服务的新攻击。
\ | /
★
IBM数据安全副总裁Akiba Saeedi在接受Infosecurity采访时表示,早期控制是减少(AI)违规行为的关键。如果组织没有及早建立适当的安全控制措施,AI错误配置也可能成为未来违规的主要驱动因素。Saeedi 警告说:“生成式人工智能模型本身呈现出一种以前不存在的新威胁格局。”
\ | /
★
确保工作场所中的生成式人工智能的安全也是报告研究内容之一。大多数(81%)受访者承认,生成式人工智能需要一种全新的安全治理模型,以减轻这些技术面临的风险类型。Saeedi 强调,最重要的方面仍然是拥有正确的基本安全基础设施。安全组件必须适应更广泛的人工智能治理计划,包括偏见和可信度等方面。要将安全环境融入其中,而不是让它成为两个独立的孤岛。
\ | /
★
该报告还强调了“影子人工智能”对企业日益增长的威胁。此问题是由于员工将私人组织数据共享到嵌入生成式AI的第三方应用程序而引起的,可能导致敏感或特权数据暴露,专有数据被纳入第三方模型,如果供应商遇到数据泄露则暴露的数据工件可能成为攻击者的目标。报告指出,此类风险对于安全团队来说尤其难以评估和缓解,因为他们不知道这种风险的使用情况。
让AI更安全——新技术、新应用、新特性
在大会首日举办的创新沙盒比赛中,帮助企业和政府检测深度伪造品的初创企业Reality Defender荣膺冠军。Reality Defender 的 Deepfake 检测平台和 API 采用多模型方法,对于生成 AI 生成媒体的平台具有强大的鲁棒性,使团队能够实时识别欺诈、虚假信息和有害内容。
伴随生成式人工智能工具的高速发展和应用,使得恶意行为者能够以极低甚至免费的成本发起深度造假活动,操纵媒体或进行金融欺诈,带来严重的社会安全威胁。Reality Defender利用主动式人工智能生成媒体检测平台,使用企业级 API 和 Web 应用程序检测音频、视频、图像和文本中人工智能生成和操纵的危险内容,在深度造假成为问题之前阻止它们。Reality Defender 采用革命性的多模型方法,用一组模型来创建强大且大胆的深度伪造检测系统,使用数百种同步专利技术来识别各种内容。
据悉,在本届RSAC创新沙盒中,有一半的厂商聚焦于人工智能安全领域。其中,Antimatter、Bedrock Security、Harmonic和Reality Defender这四家公司专注于为大型模型应用提供数据安全保护和深度伪造检测服务。Dropzone AI则致力于通过人工智能技术提升安全运营的效率和效果。此外,本次大会还汇聚了超过640家供应商,也展示了众多AI安全的最新技术和产品。
Adaptive Shield针对生成式AI的SaaS安全
面向 AI 驱动型应用程序的 Adaptive Shield SaaS 安全态势管理 (SSPM)产品,通过检测和响应功能使企业降低生成式AI日益普及带来的风险。
其部分功能包括每个应用程序的安全评分,以帮助安全团队查明风险级别较高的应用程序;控制 SaaS 应用程序中与 AI 相关的安全设置,以防止数据泄露或任何暴露;影子应用的发现和管理;管理第三方长尾 AI 认可的应用程序,保护自主开发的应用程序和数据管理。
Normalyze DSPM 新特性
数据安全态势管理供应商 Normalyze 将在会议期间展示新功能。其中包括 DSPM for AI,这是一种新的扫描功能,专注于识别大型语言模型(LLM)中使用的敏感数据,以确保AI生成的内容不会暴露敏感的公司信息。
根据 Normalyze 的说法,它还通过检测输入基础或自定义模型的任何敏感数据,帮助保护您在 AWS Bedrock 和 Azure OpenAI 中基于云的 AI 部署。用于本地的 DSPM 为了帮助团队查看和控制非云数据中心中的敏感数据,Normalyze 支持自行管理以及基于云的扫描程序部署,以扫描本地数据。
让AI更安全——中国方案
2024年RSA大会伊始,我们便得以窥见人工智能安全在全球范围的超高热度。在我国,大模型作为新质生产力的代表正成为新一轮工业革命的核心引擎。同时,大模型安全挑战的严峻性也被越来越多人重视。大模型安全既存在传统上的网络与数据安全,又新出现了内容可信、模型可控和和合规向善等多方面的安全挑战。亟需有效的大模型安全防护实践总结、体系化的安全框架、解决方案以及能力支撑。
作为躬身入局AI的数字安全公司,360早在2022年就开始布局人工智能大模型,于2023年发布了国内首个可交付的安全行业大模型。今年3月,360正式升级安全大模型3.0并赋能全系安全产品,在充分利用AI提升运营效率的同时,提出“以模治模”新思路,推出大模型安全解决方案。
在该解决方案中,一方面,利用360安全云围绕“数据、探针、平台、专家、AI”这五个核心要素,在网络与数据安全层面对大模型进行全面防护;另一方面,通过“360大模型原生安全能力增强包”解决大模型内容可信、合规向善、模型可控上存在的安全问题,并利用360独有的大模型安全评估系统,对大模型的安全能力进行实战评估,有序保障大模型原生安全运营。
这套360大模型安全解决方案可以平移复制给有需求的行业客户与合作伙伴,并以标准化的能力产品方式对其他大模型企业进行安全赋能,确保360的大模型安全成果与积累发挥最大价值。
360公司凭借其在安全和AI领域的双重专长,不仅赢得了政府机构的认可,也在多个行业中实现了技术落地,展现了其在大模型安全领域的领导力和实际应用价值。
未来,360将继续引领大模型安全领域的发展,为构建更加安全、可靠的数字化世界贡献力量。
东半球安全盛会巨幕将启
ISC重磅升级ISC.AI 2024
2024年的RSA大会正在如火如荼地进行,将全球网络安全专业人士的热情推向了新高度。与此同时,被誉为“东半球RSAC”的ISC互联网安全大会也即将在今夏盛大开幕。
作为中国人自己的“网络安全顶会”,ISC已经连续举办了11年,每年都在引领全球网络安全的发展趋势,并成为了安全行业最令人期待的盛会。
据悉,今年的ISC大会将升级为ISC.AI 2024,聚焦“安全+AI”,坚守数字安全基础,推动AI重塑安全发展新范式,加速构建数字安全新质生产力的同时,探索AI+新场景,以AI赋能千行百业创新转型。
西方“可能的艺术”正在精彩上演
东方“变革的华章”即将盛大启幕
安全+AI,无限潜能
敬请关注ISC.AI 2024