首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

​AI-SPM购买指南:用于保护AI基础设施的9种安全态势管理工具

文摘   2024-09-18 19:35   上海  

点击蓝字关注并设为星标

不错过人工智能最新动态









生成式AI在企业中的广泛采用增加了对应急措施的需求,包括AI安全软件。AI对组织基础设施和数据的影响是巨大的,这意味着需要采取广泛的保护措施。这也是攻击者被AI滥用所吸引的原因之一。


安全CSO研究了9家供应商处理人工智能安全态势管理(AI-SPM)的工具。这是一个新兴领域,至少有9家其他供应商正在积极开发类似的产品,这些产品将在未来几个月内全面发布。目前,大多数产品都远未达到应有的全面或集成程度。




01

AI安全态势管理说明


人工智能安全态势管理是一门新兴的网络安全学科,专注于确保AI和机器学习系统的完整性和安全性。AI-SPM包含用于监控、评估和增强AI模型、数据、管道、应用程序和服务安全性的策略、工具和技术,即使这些实体面临的威胁不断演变。

过去,安全态势管理工具专为两种不同的情况而设计:保护一般云操作免受错误配置和滥用,这是云安全态势管理工具的领域;并防止数据泄露或恶意软件感染,这是数据安全态势管理工具的领域。

随着AI和大型语言模型(LLM)的兴起,需要有第三个产品类别来检查托管AI云服务及其SDK(如Hugging Face的Transformers或Azure Open AI SDK)的实例,并防止模型滥用。 

早起报告中,关于不安全AI使用的形势很严峻。一项研究发现,大多数受访者已经找到了绕过其组织对AI使用限制的方法,其中四分之一的人没有任何指导方针。

MITRE(麻省理工学院计划与战术系统实验室)根据真实世界的攻击观察,开发了一个全面的对手策略数据库,称为人工智能系统的对抗性威胁态势(Adversarial Threat Landscape for Artificial-Intelligence Systems)或ATLAS其中包含他们从各种AI来源观察到的700多种AI相关风险。

另一个AI相关攻击方法的重要来源是开放全球应用程序安全项目(OWASP),该项目去年发布了最新的10大大型语言模型漏洞利用列表,安全经理应该在选择任何AI-SPM产品之前检查这些漏洞。

例如,AI模型中使用的训练数据可能成为攻击或注入不良数据的对象,这些数据可用于操纵其结果。比如今年2月,软件制品库管理平台Jfrog的研究人员发现,有100多个模型可以在受害者的机器上执行代码以创建恶意后门。

02

企业为什么需要SPM?


AI-SPM旨在保护企业网络和应用程序免受上述威胁和其他威胁。正如现代企业不会在没有适当防火墙的情况下组装网络一样,AI-SPM“确保AI模型保持可解释、公平、负责、透明和公正。”Forrester分析师AndrasCser对CSO说。

此外,良好的安全卫生要求不应允许AI基础设施被用作黑客横向移动和数据泄露的垫脚石,并且应包括防止和修复配置漂移的策略。

03

AI-SPM的主要趋势和产品特性


所有AI-SPM都使用无代理配置,访问基于云的模型并将数据保留在其现有平台上。这既是一种安全措施,也是为了避免移动所涉及的大量数据存储库。

AI-SPM供应商还利用AI相关机制对这些庞大的数据收集进行分类,以跟踪和保护数据免受潜在的滥用和攻击。其中一些公司已将其AI-SPM与现有的云或数据SPM集成,其中包含连接所有三种类型安全态势的规则、合规性检查、最佳实践和保护策略。

一些供应商提供更全面的解决方案,其中包括各种与AI相关的安全措施,包括保护AI管道和工作负载、识别AI模型引用的敏感数据、检查训练数据是否有第三方或外部应用程序进行任何更改,以及共享AI服务和平台可能受到损害的方式。

一些供应商只对三大云平台的AI服务中的一两项服务进行顶级检查(例如,Amazon拥有十多种与AI相关的服务产品),而其他供应商(例如Securiti和Protectai)则更深入地研究并更全面地检查来自AI供应商本身和其他模型来源的AI数据。

最后,一些供应商一直活跃在开源领域。例如Protectai,它的四个商业工具中有三个是开源版本,以及Orca的GOAT,一个基于OWASP前10大风险的免费学习平台。


04

领先的AI-SPM供应商和产品


CSO邀请了9家安全供应商演示他们的AI相关工具。这些供应商从不同的方向介入AI-SPM。

Protectai从头开始构建了AI SPM,它是在数据和云SPM中发现的功能的超集

Palo Alto Networks、Wiz、Securiti和Orca等一些公司通过将现有的态势平台与全面的AI工具集成和扩展,从而占据领导地位。

Microsoft、Cyera.io和Varonis等其他应用程序则不太完整,也扩展了他们的数据或云SPM。

Legit Security通过AI-SPM扩展了其通用应用程序安全工具。

以下是有关每个供应商及其产品的更多详细信息。

Cyera.io专门从事数据文件级分类。他们有一个DSPM(数据安全态势管理)产品,该产品添加了您可能认为是AI增强的数据链接保护,作为默认产品功能的一部分。他们还提供了一个专门用于Microsoft Copilot数据扫描的专用模块,该模块可以检测诸如内部人员使用的数据。

Legit Security开始保护应用程序工作负载,现已将其平台扩展到AI态势管理。他们检查AI模型、代码存储库、加密密钥和其他与AI相关的实例,并生成风险评分以集中缓解工作。例如,您可以使用他们的工具来跟踪哪些用户正在使用Github的copilot服务或构建不佳或不安全的AI模型。预装了十几个用于跟踪AI态势的预构建策略,使用交互式模块可以更轻松地创建新策略,类似于其他安全产品中构建防火墙规则的方式。

Microsoft Defender云安全态势管理将AI功能作为其公共预览版的一部分,预计将于2024年底推出完全版本。AI功能已集成到其云SPM产品中。客户需要设置最低权限访问权限才能扫描AWS的Bedrock服务。它还将扫描Azure OpenAI和机器学习服务,这意味着它的服务比其他供应商少(预计年底也会支持Google Cloud)。它计划扫描私有Azure端点以查找错误配置和漏洞。

Orca Security有一个单一的多用途安全平台,同时提供CNAPP和DSPM保护,这使得它在添加AI功能后非常全面。它可以扫描50多个不同的AI模型来源,并从Pytorch和TensorFlow等常见AI工具中收集资产清单,以创建材质软件构建。它附带了数十条最初侧重于合规性的最佳实践安全规则。它还会在模型内部(包括训练数据存储库内)检测到敏感数据以及泄露机密时发出警报。

Palo Alto Networks去年收购了Dig Security,现在它已完全合并并更名为Prisma Cloud AI-SPM。它支持对Amazon、Google Cloud和Azure AI服务进行顶级扫描以发现AI内容,还可对模型数据和机密进行分类和检查,并附带许多与AI相关的内置策略。

Protectai从头开始构建了一个全面的AI态势工具。它由一系列单独定价的工具组成,用于执行特定任务。还有一系列开源产品可以免费试用,可供购买的工具都从20万美元的起价开始,可以无限次使用和扫描。Guardian是他们的扫描工具,用于检查模型漏洞并设置安全策略。Radar提供端到端的可见性和治理功能。Recon是从SydeLabs收购的,可针对LLM端点进行自动化红队测试和漏洞检测。最后,Sightline提供了与AI相关的漏洞源。

Securiti通过AI保护功能扩展了其DSPM产品,包括一系列涵盖数据和AI情况的预构建集成规则和策略、AI模型的自动发现和数据流映射。它还包括各种AWS服务的深度视图。

Varonis拥有一个具有强大DSPM背景的多用途安全平台,并添加了AI态势,以帮助开发团队对AI生态系统中使用的数据进行分类,例如扫描不良AI行为、不当利用身份以及检查数据流。该工具中还内置了自动修复流程。它不像其他一些解决方案那样完整,因为它不会深入扫描所有AWS或Azure AI相关服务,也不会扫描专有的AI数据存储。还有一个额外的模块来扫描Microsoft Copilot,他们计划在不久的将来为Salesforce Einstein和Google的Gemini添加其他模块。

Wiz有一个单一的多用途安全平台,该平台来自强大的态势管理(云和数据)背景。其高级版本已通过一系列与AI相关的全面策略、检测算法、管道和模型以及数据扫描器进行了增强。这些被组装到一个单独的AI控制面板页面中。它还可以检测AI管道滥用,以图形方式映射依赖关系并建议补救措施。

05

AI-SPM定价如何?


AI-SPM的定价和包装差异较大。许多供应商提供为期一个月的免费试用(AWS Marketplace上也提供了此选项)。CSO在上述供应商介绍中标出了开源替代方案,这也是了解产品工作原理的好方法。

Legit Security的定价处于行业低端:每个开发人员每月50美元,并提供数量折扣。其他大多数供应商则以六位数的年度合同出售SPM。例如,Protectai单独销售其四个模块中的每一个,起价为每年22.5万美元/年,捆绑包有折扣。

大多数供应商不想直接提供定价,而是在AWS Marketplace上发布定价。Securiti将其产品即服务定价为每个运行实例每小时3美元。Microsoft为Defender提供了类似的按资源定价计划。Palo Alto Networks Prisma Cloud/Enterprise有一个计划,涉及复杂的“积分”购买,起价为每年1.8万美元。

Varonis的定价包含两个部分:一个是每个受保护应用的每位用户的价格,另一个是额外的资源消耗费用。对于拥有1000名用户的典型情况,每年的总费用可能在六位数的较低范围内。

其他AI-SPM供应商提供固定的年度合同,具体如下:Cyera、Orca Security(根据工作负载大小,价格在8.4万至36万美元之间)以及Wiz Advanced(3.8万美元)。

来源|CSO
编译|郑惠敏
审核|张羽翔



END



 http://mp.weixin.qq.com/s?__biz=Mzg2MjcwMTI4Nw==&mid=2247492042&idx=1&sn=2b2534627971523559393f914c69fb6e
上海市人工智能与社会发展研究会
上海市人工智能与社会发展研究会官方公众号,聚焦人工智能时代的前沿理论和现实议题,助力国家、城市、组织的数智化转型。
 最新文章
美众议院AI工作组拟推行宽松的人工智能立法
智库报告 | 使用AI招聘工具的数据保护注意事项
特朗普当选会对美国AI监管带来什么影响?
美商务、能源两部门发布AI安全开发备忘录
美国电子隐私信息中心向FTC投诉OpenAI滥用消费者数据
美国限制对中国人工智能领域的投资
拜登签署首份人工智能国家安全备忘录
Google发布开源AI文本水印工具
智库报告 | 阻止大型科技公司垄断人工智能
东盟成立区域级CERT应对AI时代的网络威胁
顶级AI模型未达到欧盟AI法案标准
用AI检测AI合规?谷歌公开AI合规检查工具
智库报告 | Gen AI治理:一种360°全景式的弹性政策和监管方法
前沿|AI科学家获得诺贝尔物理学奖
OpenAI等116家企业签署欧盟《人工智能公约》
WEF发布《ChatWTO:生成式AI与国际贸易分析》
​Meta、SAP等59家科技公司向欧盟签署公开信
警惕!那些隐藏在你业务中的AI风险
Meta抓取澳大利亚用户帖子训练AI
AI治理:如何应对黑箱透明度和可解释性的挑战?
​AI-SPM购买指南:用于保护AI基础设施的9种安全态势管理工具
打击非法AI合成!国家网信办就人工智能生成合成内容标识征求意见
重磅新规!《网络安全技术 人工智能生成合成内容标识方法》征求意见稿正式发布
OpenAI最强模型o1来了!多项性能碾压GPT-4o
OpenAI将推出新的AI模型草莓
美国商务部就军民两用AI报告规则征求意见
吸引近三成顶尖AI人才,中国AI创新硬实力如何?
标志性成果出炉!《人工智能安全治理框架》1.0版发布
澳大利亚发布自愿性AI安全标准
重磅!英、美、欧盟将签署首个具法律约束力的AI国际公约
OpenAI估值飙上千亿美元之际,创始人再抛全球AI基建计划
上海市经济和信息化委员会关于征集本市人工智能大模型垂直领域示范开放场景的通知
加州AI法案将尘埃落定,支持者与反对者争论激烈
帝国数据银行:仅有不到20%的日本企业使用生成式人工智能
澳大利亚:政府机构必须披露AI使用情况
白宫提出行动倡议:打击代替真人客服的AI聊天机器人
AI训练争议:X平台面临数据保护机构诉讼挑战
巴西启动40亿美元AI发展计划
X平台因使用个人用户数据训练AI被投诉
美国国务院:人工智能的人权风险管理
亚马逊推出新AI芯片,成本仅为英伟达一半
美欧英联合声明:反对AI市场垄断
挑战ChatGPT:Meta发布最新款大语言模型
微软、谷歌等14家科技巨头成立安全AI联盟
AI对决高考全科目:超过一本线
麻省理工:AI大模型缺乏推理能力
OpenAI收入揭秘:76%来自ChatGPT付费用户
美国提出新法案:打击AI剽窃与伪造
ChatGPT安全漏洞:用户对话可被轻易访问
韩国声明:支持使用自动驾驶汽车数据
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉