亚马逊首席安全官:如何用生成式AI提高企业的安全水平?

生成式AI正以前所未有的速度快速发展,其影响力遍及各行各业。在企业安全领域,生成式AI无疑是把双刃剑,技术快速发展的同时,也带来了不确定性。很多人想问的是:生成式AI到底是企业安全的福音,还是潜在的隐患?

其实,企业面对生成式AI方面别无选择。因为,生成式AI如果掌握在黑客手里,就可以更轻松地制造更多、更复杂多变的攻击方案。如果掌握在安全人员手里,则可以提高安全工作效率,更好地做出应对。

所以,企业应该思考如何最大化生成式AI的积极影响。此前,亚马逊的首席安全官Steve Schmidt在《华尔街日报》的采访报道中分享了一些洞察和建议。作为大型互联网公司的首席安全观,他站在了安全攻防的前线,希望他的分享能带来一些启发。

连续12年作为AWS CISO,现任Amazon CSO Steve Schmidt

第一阶段从智能编码工具开始拥抱GenAI,对安全有积极作用

我们看到,亚马逊以及亚马逊云科技都在积极拥抱生成式AI技术。2023年上半年,亚马逊云科技就宣布发布做大模型托管的专业服务Amazon Bedrock以及用于代码生成的智能服务Amazon CodeWhisper。

具体到安全方面,Steve Schmidt肯定了生成式AI来写代码对于提高软件开发安全性的价值。他表示,“我认为利用生成式AI提升安全代码的编写工作,能够有效地推动整个行业进入更高级别的安全领域。”

Steve Schmidt认为,生成式AI能让我们在一开始就编写更加安全的代码,对安全行业影响深远。从安全和成本的角度来看,从最开始编写安全的代码,要比在软件开发后期修改更有效。代码编写方式是信息安全的关键,早期的小问题可能导致严重的安全后果。

Amazon CodeWhisperer是一个具有内置安全扫描功能的AI编码助手,能够基于注释生成代码、追踪开源参考并扫描查找漏洞。这个工具对个人开发者免费,对提高代码的安全性具有实际帮助,是所有开发者都可以轻松用起来的工具。

业内很多技术专家都认可,程序开发是人工智能的最早落地的典型场景之一。因为AI可以处理复杂的数据分析任务,自动化重复性工作,还能提供智能决策支持,这些都是提高程序开发效率和质量的关键因素。

如果企业的开发者积极采用像Amazon CodeWhisperer这样的智能代码编写工具,不仅能提高代码编写效率,还能帮助识别潜在的代码缺陷和安全漏洞。对企业来说,可以从智能代码编写工具开始拥抱生成式AI,在安全方面带来积极影响。

第二阶段企业落地GenAI时候要注意的安全挑战

在谈到企业在使用生成式AI要注意的安全问题时,Steve Schmidt认为应该先考虑三个主要的安全挑战。

首先,是关于数据来源和管理的问题。企业需要了解用来用于模型训练的数据来自哪里,以及这些数据在整个工作流程中是如何被处理和保护的。

第二,对查询数据的保护也同样重要。除了训练数据,企业在使用生成式AI时输入的查询也可能会包含敏感信息。企业需要清楚这些数据如何被AI服务处理,以及查询结果是如何产生的。所以,保护查询数据的重要性不亚于训练数据。

第三点,输出的准确性。不同使用场景对AI模型输出的准确性有不同的要求。企业需要确保AI模型的输出不仅准确,还符合企业的最佳实践和业务需求。比如在生成代码时,需要确认代码是否符合预期标准等。

结合亚马逊内部的实践经验,Steve Schmidt也给出了企业内部落地生成式AI的三个安全建议。

第一个建议是帮助员工安全地用AI。他认为,安全团队不要简单拒绝员工使用新技术,而是应该教育、指导员工如何安全地使用AI,可以设置一些防护栏,在技术上使用能够满足安全预设目标的云服务。

第二个建议是增强数据使用的可见性。他认为,应该使用专业的工具来更好地监控员工是如何使用数据的。有了好的数据监控技术之后,就可以限制员工在工作需求之外访问数据,监控员工如何使用外部服务,甚至可以主动解决可能违反数据使用政策的行为。

第三个,建立机制来引导和改善员工的行为。机制是可重复使用的工具,允许我们随着时间的流失精确地驱动特定的行为。例如,当员工违规操作时,系统会通过如弹窗来提示员工,并建议使用特定的内部工具,并就相关问题进行报告。

第三阶段:企业利用生成式AI来对抗安全威胁

Steve Schmidt介绍如何用生成式AI来对抗安全威胁。

首先,生成式AI可以提高安全工程师的工作效率。通过构建自动响应流程,AI可以帮助安全团队优先处理发现的问题,并自动化事件响应。这种方法可以让安全团队将更多精力放在高价值任务上。

大型模型还有助于非技术管理人员在安全事件发生时快速理解情况。去年,亚马逊云科技推出了Amazon Detective,它使用生成式AI来生成安全事件的文字描述,安全工程师就不需要从头开始编写报告了,只需调整和确保描述的准确性即可。

Steve Schmidt认为,生成式AI可以帮助缓解网络安全人才短缺的问题,但并不认为AI会取代安全人员的工作。

他表示,生成式AI增强了人的能力,而不是替代人。生成式AI可以帮助安全人员更快更有效地识别和解决安全问题,消除安全工程师经常必须做的一些重复性工作,使他们能够更有效地完成其他工作。在他看来,世界上真正有技术的安全工程师是不够的。

Steve Schmidt表示,生成式AI让亚马逊能够雇佣更少的人来完成必要的工作。它可以帮助企业降低运营费用,但是,由于合适的人才很难找,所以,亚马逊一直在招聘安全人员,未来也会继续招聘安全人员。

结束语

总之,Steve Schmidt的分享让我们看到了生成式AI在提高企业网络安全方面的潜力。虽然安全挑战很多,但利用新的技术,企业可以不仅提高其安全防御能力,还可以优化资源分配和提升工作效率。可以认为,企业在安全工作方面,应该积极拥抱生成式AI。