機器學(xué)習(xí)創(chuàng)造新的攻擊面,需要專門的防御
?由于幾乎每個行業(yè)的企業(yè)都將人工智能(AI)技術(shù)集成到他們的硬件和軟件產(chǎn)品中,機器學(xué)習(xí)(ML)輸入和輸出正變得越來越廣泛地可供客戶使用。這自然引起了惡意行為者的注意。
HiddenLayer的首席執(zhí)行官ChristopherSestito談到了機器學(xué)習(xí)安全注意事項以及企業(yè)應(yīng)該擔(dān)心的相關(guān)威脅。
企業(yè)正在慢慢意識到機器學(xué)習(xí)可以為他們開辟的途徑。但是,他們是否也密切關(guān)注網(wǎng)絡(luò)安全?
很少有企業(yè)專注于保護他們的機器學(xué)習(xí)資產(chǎn),更少的企業(yè)將資源分配給機器學(xué)習(xí)安全。造成這種情況的原因有很多,包括競爭的預(yù)算優(yōu)先事項、人才稀缺,以及直到最近還缺乏針對此問題的安全產(chǎn)品。
在過去的十年中,我們看到每個行業(yè)都以前所未有的方式采用人工智能/機器學(xué)習(xí),以應(yīng)對每個可用數(shù)據(jù)的用例。優(yōu)勢已得到證實,但正如我們在其他新技術(shù)中看到的那樣,它們很快成為惡意行為者的新攻擊面。
隨著機器學(xué)習(xí)操作的進步,數(shù)據(jù)科學(xué)團隊在有效性、效率、可靠性和可解釋性方面正在構(gòu)建更成熟的人工智能生態(tài)系統(tǒng),但安全性尚未得到優(yōu)先考慮。對于企業(yè)企業(yè)來說,這不再是一條可行的道路,因為攻擊機器學(xué)習(xí)L系統(tǒng)的動機很明確,攻擊工具可用且易于使用,并且潛在目標正以前所未有的速度增長。
攻擊者如何利用公開的機器學(xué)習(xí)輸入?
隨著機器學(xué)習(xí)模型被集成到越來越多的生產(chǎn)系統(tǒng)中,它們正在硬件和軟件產(chǎn)品、Web應(yīng)用程序、移動應(yīng)用程序等領(lǐng)域向客戶展示。這種趨勢通常被稱為“邊緣人工智能”,它為我們每天使用的所有技術(shù)帶來了令人難以置信的決策能力和預(yù)測能力。向越來越多的最終用戶提供機器學(xué)習(xí)同時將這些相同的機器學(xué)習(xí)資產(chǎn)暴露給威脅參與者。
未通過網(wǎng)絡(luò)公開的機器學(xué)習(xí)模型也面臨風(fēng)險。可以通過傳統(tǒng)的網(wǎng)絡(luò)攻擊技術(shù)訪問這些模型,為對抗性機器學(xué)習(xí)機會鋪平道路。一旦威脅參與者獲得訪問權(quán)限,他們就可以使用多種類型的攻擊。推理攻擊試圖映射或“反轉(zhuǎn)”模型,從而能夠利用模型的弱點、篡改總體產(chǎn)品的功能或復(fù)制和竊取模型本身。
人們已經(jīng)看到了這種攻擊安全供應(yīng)商繞過防病毒或其他保護機制的真實例子。攻擊者還可以選擇毒化用于訓(xùn)練模型的數(shù)據(jù),以誤導(dǎo)系統(tǒng)學(xué)習(xí)不正確,并使決策制定有利于攻擊者。
企業(yè)應(yīng)該特別擔(dān)心哪些針對機器學(xué)習(xí)系統(tǒng)的威脅?
雖然需要防御所有對抗性機器學(xué)習(xí)攻擊類型,但不同的企業(yè)將有不同的優(yōu)先級。利用機器學(xué)習(xí)模型識別欺詐交易的金融機構(gòu)將高度關(guān)注防御推理攻擊。
如果攻擊者了解欺詐檢測系統(tǒng)的優(yōu)勢和劣勢,他們可以使用它來改變他們的技術(shù)以不被發(fā)現(xiàn),完全繞過模型。醫(yī)療保健企業(yè)可能對數(shù)據(jù)中毒更敏感。醫(yī)學(xué)領(lǐng)域是最早使用其海量歷史數(shù)據(jù)集通過機器學(xué)習(xí)預(yù)測結(jié)果的采用者。
數(shù)據(jù)中毒攻擊可能導(dǎo)致誤診、改變藥物試驗結(jié)果、歪曲患者群體等。安全企業(yè)本身目前正專注于機器學(xué)習(xí)繞過攻擊,這些攻擊被積極用于部署勒索軟件或后門網(wǎng)絡(luò)。
在部署機器學(xué)習(xí)驅(qū)動系統(tǒng)時,首席信息安全官(CISO)應(yīng)牢記哪些主要安全注意事項?
如今能給首席信息安全官(CISO)的最好建議是接受我們已經(jīng)在新興技術(shù)中學(xué)到的模式。就像我們在云基礎(chǔ)設(shè)施方面的進步一樣,機器學(xué)習(xí)部署代表了一個新的攻擊面,需要專門的防御。使用Microsoft的Counterfit或IBM的Adversarial Robustness Toolbox等開源攻擊工具,進行對抗性機器學(xué)習(xí)攻擊的門檻每天都在降低。
另一個主要考慮因素是,其中許多攻擊并不明顯,如果不尋找它們,可能無法理解它們正在發(fā)生。作為安全從業(yè)者,已經(jīng)習(xí)慣了勒索軟件,這清楚地表明一個企業(yè)受到了攻擊,數(shù)據(jù)被鎖定或被盜。對抗性機器學(xué)習(xí)攻擊可以定制為在更長的時間內(nèi)發(fā)生,并且有些攻擊(例如數(shù)據(jù)中毒)可能是一個較慢但具有永久性破壞性的過程。?
