購買AI前首先要考慮這4個問題
作者:星期一, 二月 25, 20190

基于風險的實用方法可幫助CISO多快好省地將AI應用到網絡安全中。

普華永道預測,2030年全球經濟中有15.7萬億是人工智能(AI)貢獻的。這顯然是個好消息。但同時,佛瑞斯特研究所警告稱,網絡罪犯也能利用并武器化AI攻擊公司企業。至于AI如何讓人類無工可做的驚悚新聞,我們更是屢見不鮮了。因為與機器學習、人工神經網絡(ANN)和多層ANN(亦稱深度學習)相關,我們很難看清AI全貌,對CISO如何評估該新興技術是否適合自家公司毫無頭緒。

咨詢公司Gartner提供了一些如何對抗此類FUD(恐懼、不確定及懷疑)的建議,其安全分析師 Anton Chuvakin 博士和 Augusto Barros 在博客中撥開了籠罩在AI身上的迷霧。而本文將揭示CISO在投資AI產品及解決方案以提升公司網絡安全態勢時應考慮的4個實際問題。

問題1:你是否擁有基于風險的、長期且一致的網絡安全策略?

沒有非常清晰的、成熟的網絡安全項目就匆忙上馬AI,無異于用金子打水漂。很可能一個問題解決了,兩個問題冒出來,甚或發生更糟糕的情況——更加危險且緊急的問題反而被忽略掉。

任何網絡安全策略中都不能省略的第一步就是執行全面的數字資產清查登記,包括軟件、硬件、數據、用戶、證書、許可等等。在云容器、IoT激增、外包和去中心化的時代,維護這么一張完整而保持更新的資產清單是很困難的。但如果你漏掉了這關鍵一步,那你絕大多數的工作和網絡安全投資都將是無用功。

每家公司都應保持一個基于風險的長期網絡安全策略,有可衡量的目標和一致的中期里程碑;緩解獨立的風險或者根除單個威脅對保持長期的網絡安全成功沒有太大意義。網絡安全團隊應有明確的任務和責任范圍,以及相應的授權和達成這些目標所需的資源。這并不是說你應該描繪出一幅看上去完美無缺的安全圖景,而是要與公司董事會就其風險胃納達成一致,確保公司網絡安全戰略在符合該風險胃納的基礎上增量實現。

問題2:全面的AI基準能證明投資回報和其他可衡量的收益嗎?

機器學習是AI的子集,其首要原則據說是要盡可能避免使用機器學習。玩笑歸玩笑,作為能解決擁有無限輸入輸出之極端復雜問題的新興技術,機器學習確實容易出現不可靠和不可預測的情況。而且,機器學習的成本可能非常之高,想要看到投資回報或許要等上幾年時間,而到那時,公司的整個業務模型可能都已經過時了。

舉個例子。獲取、結構化和維護訓練數據集可能會耗資、耗時巨大。而且,任務越重大越復雜,構建、訓練和維持AI模型不出現誤報的負擔和成本也就越高。另外,公司企業還有可能因為部署了AI技術而被迫降低運營成本,但顯著增高了維護投入(往往超出AI省下的開支)的惡性循環。

最后,AI可能不適用于所做決策要求可追蹤解釋的某些任務和過程,比如防歧視或符合法律規定。因此,有必要確保全面評估過實現AI是否符合短期和長期經濟利益。

問題3:維護一款保持更新的有效AI產品要花多少錢?

金融市場資本為王。AI業務領域,王權顯然屬于用來訓練機器學習模型執行各種任務的訓練數據集。

訓練數據集的來源、可靠性和足夠的量,是大多數AI產品的主要問題;畢竟,AI系統的優良程度就看饋送進去的數據品質了。安全產品往往需要大量的現場訓練時間,你至少得有個無風險的網絡段來模擬正常運營狀況進行訓練。一個在公司外部訓練出來的通用模型,如果不在公司網絡中補充訓練,是無法適應你的業務過程和IT架構的。因此,在決定購買AI產品前,請務必確保訓練及其相關時間消耗問題已得到解決。

AI產品需經常更新才能達成其保護網絡安全的使命,必須緊跟新興威脅和攻擊方法,隨時適應公司網絡的新變化。所以,問清楚更新頻度有多高,更新耗時有多長,誰來負責更新過程。弄清這些問題可以排除補充維護費用帶來的驚嚇。

問題4:法律和隱私風險誰來承擔?

機器學習可能帶來重大隱私風險。GDPR的天價罰金還僅僅是冰山一角;數據被非法存儲或處理的組織或個人還有可能起訴你并要求賠償。另外,除了GDPR最高可致全球年營業額4%的高額罰款,很多其他適用法律和規定可能導致的處罰也是必須要考慮的。而且,絕大多數訓練數據集無可避免地含有大量個人可識別信息(PII),很可能是在缺乏必要的有效許可的情況下收集的。更糟的是,即便PII是合法收集及處理的,GDPR賦予的權利,比如訪問權或刪除權,可能也無法提供給數據主體,PII本身有可能是無法提取的。

2010至2018年間,美國共申報了近8,000項專利,其中18%來自網絡安全行業。惠普企業曾警示過與專利AI技術的無照使用相關的法律和商業風險。因此,將侵權的法律風險轉移到供應商身上是個不錯的主意,比如說,在合同里加上一句補償條款。

很少有高管意識到:如果自己所用的某項技術侵犯了他人專利,公司有可能因間接侵權行為而遭致數百萬美元的損失。知識產權法非常復雜,很多問題在某些司法轄區仍懸而未決,會產生怎樣的訴訟結果并不明確。所以,一定要向企業法律顧問或持牌律師咨詢相關法律問題,最小化自身法律風險。

最后,也是最重要的一點:確認自己的數據不會出于“威脅情報”或“訓練”目的而被傳輸到其他地方,無論合不合法。

普華永道 2019 AI 預測:

https://www.pwc.com/us/en/services/consulting/library/artificial-intelligence-predictions-2019.html

佛瑞斯特研究所AI武器化警告:

https://www.forrester.com/report/Using+AI+For+Evil/-/E-RES143162

Gartner的FUD對抗建議:

https://www.gartner.com/smarterwithgartner/help-clients-find-value-in-ai/

相關閱讀

關于AI,你的安全供應商說實話了嗎?

人工智能應用于網絡安全上的局限與未來

AI在網絡安全領域的應用:機器學習 VS. 深度學習

 

分享:
0

相關文章

寫一條評論

 

 

0條評論