Como a IA está mudando a segurança na nuvem e a equação de risco

Tempo de leitura: 5 minutos

O boom da IA ​​está amplificando os riscos nos conjuntos de dados empresariais e nos ambientes de nuvem, de acordo com o especialista em segurança cibernética Liat Hayun.

Em entrevista à TechRepublic, Hayun, vice-presidente de gerenciamento de produtos e pesquisa para segurança na nuvem da Tenable, aconselhou as organizações a priorizarem a compreensão de sua exposição e tolerância ao risco, ao mesmo tempo em que priorizam a solução de problemas importantes, como configurações incorretas da nuvem e a proteção de dados confidenciais.

Foto do perfil de Liat Hayun.
Liat Hayun, vice-presidente de gerenciamento de produtos e pesquisa de segurança em nuvem da Tenable

Ela observou que, embora as empresas continuem cautelosas, a acessibilidade da IA ​​está a acentuar certos riscos. No entanto, ela explicou que os CISOs hoje estão evoluindo para facilitadores de negócios – e a IA poderia, em última análise, servir como uma ferramenta poderosa para reforçar a segurança.

Como a IA está afetando a segurança cibernética e o armazenamento de dados

TechRepublic: O que está mudando no ambiente de segurança cibernética devido à IA?

Ver: Em primeiro lugar, a IA tornou-se muito mais acessível às organizações. Se você olhar para trás, há 10 anos, as únicas organizações que criavam IA precisavam ter essa equipe especializada em ciência de dados com doutorado em ciência de dados e estatística para poder criar aprendizado de máquina e algoritmos de IA. A IA tornou-se muito mais fácil de ser criada pelas organizações; é quase como introduzir uma nova linguagem de programação ou uma nova biblioteca em seu ambiente. Muitas outras organizações — não apenas grandes organizações como a Tenable e outras — mas também quaisquer start-ups podem agora aproveitar a IA e introduzi-la em seus produtos.

VEJA: Gartner diz aos líderes de TI australianos para adotarem IA em seu próprio ritmo

A segunda coisa: a IA requer muitos dados. Muitas mais organizações precisam coletar e armazenar maiores volumes de dados, que às vezes também apresentam níveis mais elevados de sensibilidade. Antes, meu serviço de streaming teria salvo apenas poucos detalhes sobre mim. Agora, talvez a minha geografia seja importante, porque eles podem criar recomendações mais específicas com base nisso, ou na minha idade e no meu sexo, e assim por diante. Como agora podem utilizar estes dados para os seus fins comerciais — para gerar mais negócios — estão agora muito mais motivados para armazenar esses dados em volumes mais elevados e com níveis crescentes de sensibilidade.

TechRepublic: Isso está contribuindo para o uso crescente da nuvem?

Ver: Se você deseja armazenar muitos dados, é muito mais fácil fazer isso na nuvem. Cada vez que você decide armazenar um novo tipo de dados, aumenta o volume de dados que você está armazenando. Você não precisa entrar no seu data center e solicitar a instalação de novos volumes de dados. Basta clicar e bam, você tem um novo local de armazenamento de dados. Portanto, a nuvem tornou muito mais fácil o armazenamento de dados.

Esses três componentes formam uma espécie de círculo que se autoalimenta. Porque se for mais fácil armazenar dados, você poderá atualizar mais recursos de IA e estará motivado para armazenar ainda mais dados, e assim por diante. Então foi isso que aconteceu no mundo nos últimos anos – desde que os LLMs se tornaram uma capacidade comum e muito mais acessível para as organizações – introduzindo desafios em todas essas três verticais.

Compreender os riscos de segurança da IA

TechRepublic: Você está vendo riscos específicos de segurança cibernética aumentarem com a IA?

Ver: A utilização da IA ​​nas organizações, ao contrário da utilização da IA ​​por indivíduos em todo o mundo, ainda está numa fase inicial. As organizações querem ter certeza de que estão introduzindo isso de uma forma que, eu diria, não crie nenhum risco desnecessário ou extremo. Então, em termos de estatística, ainda temos apenas alguns exemplos, e eles não são necessariamente uma boa representação porque são mais experimentais.

Um exemplo de risco é o treinamento da IA ​​em dados confidenciais. Isso é algo que estamos vendo. Não é porque as organizações não estejam sendo cuidadosas; é porque é muito difícil separar dados confidenciais de dados não confidenciais e ainda ter um mecanismo de IA eficaz treinado no conjunto de dados correto.

A segunda coisa que estamos vendo é o que chamamos de envenenamento de dados. Portanto, mesmo que você tenha um agente de IA que esteja sendo treinado em dados não confidenciais, se esses dados não confidenciais forem expostos publicamente, como um adversário, como um invasor, posso inserir meus próprios dados nesses dados publicamente expostos e acessíveis ao público. armazenamento de dados e fazer com que sua IA diga coisas que você não pretendia dizer. Não é esta entidade onisciente. Ele sabe o que viu.

TechRepublic: Como as organizações devem avaliar os riscos de segurança da IA?

Ver: Em primeiro lugar, gostaria de perguntar como as organizações podem compreender o nível de exposição que têm, o que inclui a nuvem, a IA e os dados… e tudo relacionado com a forma como utilizam fornecedores terceiros e como utilizam diferentes softwares na sua organização, e assim sobre.

VEJO: Austrália propõe proteções obrigatórias para IA

A segunda parte é: como você identifica as exposições críticas? Portanto, se sabemos que é um ativo acessível publicamente com uma vulnerabilidade de alta gravidade, isso é algo que você provavelmente desejará abordar primeiro. Mas também é uma combinação do impacto, certo? Se você tiver dois problemas muito semelhantes, e um pode comprometer dados confidenciais e o outro não, você deve resolver esse (problema) primeiro.

Você também precisa saber quais etapas tomar para lidar com essas exposições com impacto mínimo nos negócios.

TechRepublic: Quais são alguns dos grandes riscos de segurança na nuvem contra os quais você alerta?

Ver: Há três coisas que costumamos aconselhar aos nossos clientes.

O primeiro é sobre configurações incorretas. Só por causa da complexidade da infraestrutura, da complexidade da nuvem e de todas as tecnologias que ela fornece, mesmo se você estiver em um ambiente de nuvem única — mas especialmente se você estiver indo para várias nuvens — as chances de algo se tornar um problema só porque não foi configurado corretamente ainda é muito alto. Então, isso é definitivamente algo em que eu me concentraria, especialmente ao introduzir novas tecnologias como IA.

O segundo é o acesso com privilégios excessivos. Muitas pessoas pensam que sua organização é supersegura. Mas se a sua casa é um forte e você entrega as chaves a todos ao seu redor, isso ainda é um problema. Portanto, o acesso excessivo a dados sensíveis, a infraestruturas críticas, é outra área de foco. Mesmo que tudo esteja configurado perfeitamente e você não tenha hackers em seu ambiente, isso apresenta riscos adicionais.

O aspecto em que as pessoas mais pensam é identificar atividades maliciosas ou suspeitas assim que elas acontecem. É aqui que a IA pode ser aproveitada; porque se aproveitarmos as ferramentas de IA em nossas ferramentas de segurança em nossa infraestrutura, poderemos usar o fato de que elas podem analisar muitos dados, e podem fazer isso muito rápido, para poder identificar também comportamentos suspeitos ou maliciosos em um ambiente . Assim, podemos abordar esses comportamentos, essas atividades, o mais cedo possível, antes que algo crítico seja comprometido.

Implementar IA é uma “oportunidade boa demais para ser desperdiçada”

TechRepublic: Como os CISOs estão abordando os riscos que você vê com a IA?

Ver: Estou no setor de segurança cibernética há 15 anos. O que adoro ver é que a maioria dos especialistas em segurança, a maioria dos CISOs, são diferentes do que eram há uma década. Em vez de serem guardiões, em vez de dizerem: “Não, não podemos usar isto porque é arriscado”, eles estão se perguntando: “Como podemos usar isto e torná-lo menos arriscado?” O que é uma tendência incrível de se ver. Eles estão se tornando mais facilitadores.

TechRepublic: Você está vendo o lado bom da IA, bem como os riscos?

Ver: As organizações precisam pensar mais sobre como irão introduzir a IA, em vez de pensar “A IA é muito arriscada neste momento”. Você não pode fazer isso.

As organizações que não introduzirem a IA nos próximos anos ficarão para trás. É uma ferramenta incrível que pode beneficiar muitos casos de uso de negócios, internamente para colaboração, análise e insights, e externamente, para as ferramentas que podemos fornecer aos nossos clientes. Há uma oportunidade boa demais para ser perdida. Se eu puder ajudar as organizações a atingirem aquela mentalidade que diz: “OK, podemos usar a IA, mas só precisamos levar esses riscos em consideração”, terei feito o meu trabalho”.

Rolar para cima
Pular para o conteúdo