生成式AI的技術不斷推陳出新,可以堪稱是2023年最具有代表性的話題。從簡報設計與用指令自動生成一幅畫,再到程式碼的建置和佈建AI模型,也不禁令人期待未來AI的應用與發展。然而新科技帶給企業便利之於,卻有潛在的資安風險,若是使用不慎,恐會進一步造成資料存取疑慮與外洩的風險,讓生成式AI的優勢變成威脅。「雲世代下的潛在資安風險」系列專題,今天要從AI技術發展的角度來探討,究竟未來在採用相關的新科技助企業發展一臂之力的同時,能夠如何保障資料的安全性 ?
生成式AI應用已無所不在 雲端資安風險隨之增高
ChatGPT是能夠進行自然語言生成的工具,根據ResumeBuilder.com 所做的調查發現,有近25%的企業表示,ChatGPT 能夠讓企業省下最多7萬5美金的成本,這也意味在組織內的某部分工作內容將會在未來隨著ChatGPT更強大的應用而產生變化,甚至很有可能會改寫未來企業在建立經濟模型的基礎。
儘管企業使用ChatGPT,或其他生成式AI的相關工具,幫助企業精簡了人力,提升工作效率,間接省下不少成本,卻可能無意中犧牲了企業的資安防護。Malwarebytes,一間防毒軟體公司,做的調查就指出目前有超過8成的企業擔心生成式AI相關工具所帶來的資安風險。舉例來說,現在可以發現不少人將企業相當隱私的資料拿去ChatGPT進行自然語言訓練,或是駭客現在更能夠使用生成式AI加強攻擊的力道,藉由猜測密碼破解應用程式,進而盜取資料。
防範於未然 生成式AI世代下的資安防護守則
面對日新月異的網路攻擊,加上生成式AI的發展浪潮之下,就連專業的軟體服務商也抵擋不住資安威脅。Circleci 為CI/CD整合平台,提供企業實踐DevOps,然而在先前就傳出有遭鎖定的員工,因日常工作內會有權限能夠在生產環境中建立Token (權杖),而未經授權的第三方駭客就運用各式技術,從中存取部份資料庫,竊取客戶的環境變數、權杖和金鑰,造成雙方損失。
有了這樣的先例,知名的資安情報部落格「Security Intelligence」就對AI浪潮下的雲端資安挑戰,提出了五大策略,維護您的雲端環境安全:
強化存取權管理
「最小存取權限」,是在所有維護企業資料安全策略中的核心。分門別類將相對應的部門在系統中建立完善的存取規則,並開啟雙重驗證登入,強化存取權的管理。關鍵的應用,如AWS Identity Access Management (IAM) 和MFA 的啟用,避免存取權限過大而讓資料有外洩的風險。
運用加密法則
資料加密是上策,無論是靜止狀態抑或是正在傳輸中的資料,都需要嚴守加密法則,避免資料受未經允許的陌生人士給洩漏存取。而管理這些金鑰更是一門學問,定期的更換與輪替將會是在AI時代下保護資安的重要任務。AWS Key Management Service(KMS)是一項完全受管的服務,讓企業能夠自動定期更新與生成加密金鑰,用來保護企業的數據。
雲原生的資安策略
在強調「共同責任模型」的實踐下,企業在建立資安防護策略前,必須要做到共同責任模型中企業負責的項目,同時搭配AWS Security Hub 的集中式告警系統,讓雲原生的資安策略,加上企業實踐的共同責任守則,達到強化資安的效果。
「AI治AI」的資安監控和警示系統
倘若碰上用AI來進行網路攻擊的手段的話,「以AI治AI」會是最好的策略。Security Intelligence 提到,企業採用有AI賦能的告警偵測系統,將能夠加強監控,並提供即時的警示分析。若是將應用程式建置在AWS雲端上,建議使用Amazon GuardDuty 的服務,能夠將威脅偵測視覺化,並運用機器學習的方式來自動化事件處理速度。
定期弱點掃描與滲透測試
藉由定期的雲端環境弱點掃描和滲透測試,幫助企業檢視雲端環境內的各種威脅。若要使用工具的話,Amazon Inspector 將可以提供自動化的定期弱點掃描,並且在雲端帳戶內再開啟ElasticSearch ,協助進行日誌分析,讓雲端資安弱點無所遁形。
在AI技術日漸成熟的情況下,同樣地各式類型的網路威脅也變得多元,甚至將AI作為攻擊武器,盜取企業雲端環境的重要資訊。但企業仍然有其他選擇能夠防範於未然。在未來,我們更有機會看見多項「以AI治AI」的資安防護工具,並且在「資料隱私權」、「定期稽核」與「資源管理」等層面有更高強度的防護及應用,在生成式AI的浪潮下仍然能從容不迫的面對各式雲端資安挑戰。
企業想要提升雲端資安防護,或是正面臨棘手的雲端資安難題嗎? 博弘雲端有專業的資安團隊與解決方案,藉由雲端託管和7×24全面監控,協助您在AI世代全方位提升雲端資料安全 !
