信息安全:物聯(lián)網(wǎng)行業(yè)內(nèi)的人工智能安全 |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2024-08-09 瀏覽次數(shù): |
隨著數(shù)字時(shí)代的發(fā)展,我們發(fā)現(xiàn)自己處于多種傳輸和存儲(chǔ)信息的方式之中。從居住在我們家中的智能設(shè)備到為各行各業(yè)提供動(dòng)力的先進(jìn)人工智能系統(tǒng),技術(shù)與我們?nèi)粘I畹慕豢棌奈慈绱隋e(cuò)綜復(fù)雜。 然而,隨著這種深度整合,一個(gè)嚴(yán)峻的現(xiàn)實(shí)也隨之而來(lái):我們創(chuàng)建的信息渠道和存儲(chǔ)庫(kù)越多,潛在威脅的廣度就越大。 這些威脅不僅數(shù)量增加,而且影響的程度也增加。當(dāng)涉及到物聯(lián)網(wǎng)行業(yè)內(nèi)的人工智能安全性時(shí),這一點(diǎn)更為明顯。在引入其革命性潛力的同時(shí),物聯(lián)網(wǎng)也帶來(lái)了新的安全挑戰(zhàn),需要我們高度關(guān)注。 本文旨在讓讀者沉浸在物聯(lián)網(wǎng)行業(yè)的人工智能安全世界中,探索漏洞、潛在威脅以及確保更安全的數(shù)字未來(lái)的策略,同時(shí)讓讀者更多地了解構(gòu)成該主題的不同種類的“證券”。 IT 安全、信息安全和網(wǎng)絡(luò)安全:了解其中的區(qū)別如今,IT 安全、信息安全和網(wǎng)絡(luò)安全等術(shù)語(yǔ)經(jīng)?;Q使用。這不可避免地導(dǎo)致人們對(duì)它們的含義的廣泛混淆,即使在科技行業(yè)的專業(yè)人士中也是如此。隨著我們更深入地了解物聯(lián)網(wǎng)和人工智能安全領(lǐng)域,區(qū)分這些術(shù)語(yǔ)至關(guān)重要。這可能是第一次令人困惑,但我們將嘗試通過(guò)一些插圖逐步展開(kāi)這個(gè)多層系統(tǒng)。 處理安全性就是我們所說(shuō)的風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理可能超出任何與IT相關(guān)的問(wèn)題,但在現(xiàn)代世界的某個(gè)時(shí)刻,它不可避免地與信息技術(shù)相交。這個(gè)交叉點(diǎn)包括 IT 安全、信息安全和網(wǎng)絡(luò)安全。讓我們更仔細(xì)地檢查它們中的每一個(gè)。 IT 安全特別關(guān)注數(shù)字?jǐn)?shù)據(jù)及其處理系統(tǒng)的保護(hù)。它強(qiáng)調(diào)保護(hù)計(jì)算機(jī)系統(tǒng)免遭盜竊、損壞或未經(jīng)授權(quán)的訪問(wèn)。這可能涉及防范惡意軟件、網(wǎng)絡(luò)釣魚等的措施。 如果您查看 IT 安全的類型,您可能會(huì)看到一些新的方面。它包括網(wǎng)絡(luò)安全、互聯(lián)網(wǎng)安全、端點(diǎn)安全、云安全和應(yīng)用程序安全。 信息安全的核心是保護(hù)信息免受未經(jīng)授權(quán)的訪問(wèn)、使用、披露、中斷、修改或破壞。信息安全的主要目標(biāo)是維護(hù)數(shù)據(jù)的機(jī)密性、完整性和可用性。信息安全的類型包括應(yīng)用程序安全、云安全、基礎(chǔ)設(shè)施安全、事件響應(yīng)、加密、災(zāi)難恢復(fù)和漏洞管理。 反過(guò)來(lái),網(wǎng)絡(luò)安全也包含在信息安全中,并構(gòu)成其主要部分。網(wǎng)絡(luò)安全專門涉及保護(hù)系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)免受網(wǎng)絡(luò)威脅。盡管如此,網(wǎng)絡(luò)安全仍包含在信息安全中,并且與 IT 安全有部分重疊。 網(wǎng)絡(luò)安全策略可能涉及防火墻、入侵檢測(cè)系統(tǒng)、加密協(xié)議等。如果您想了解更多關(guān)于網(wǎng)絡(luò)安全類型的信息,它涵蓋了網(wǎng)絡(luò)安全、云安全、端點(diǎn)安全、應(yīng)用程序安全和物聯(lián)網(wǎng)安全。 在網(wǎng)絡(luò)安全框架內(nèi),物聯(lián)網(wǎng)漏洞是指針對(duì)物聯(lián)網(wǎng) (IoT) 設(shè)備或系統(tǒng)的網(wǎng)絡(luò)攻擊。 一旦遭到入侵,網(wǎng)絡(luò)犯罪分子就可以接管設(shè)備、提取信息或?qū)⑵浜喜⒌绞芨腥镜脑O(shè)備集合中,從而形成僵尸網(wǎng)絡(luò)以發(fā)起 DoS 或 DDoS 攻擊。 諾基亞威脅情報(bào)實(shí)驗(yàn)室最近的調(diào)查結(jié)果強(qiáng)調(diào)了這種惡意物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)活動(dòng)的頻繁出現(xiàn),該實(shí)驗(yàn)室自 2022 年以來(lái)掀起了一股巨大的浪潮。 該實(shí)驗(yàn)室創(chuàng)始人凱文·麥克納米(Kevin McNamee)的見(jiàn)解表明,在網(wǎng)絡(luò)中觀察到的惡意軟件活動(dòng)中,有很大一部分(約60%)可歸因于物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。 在專門討論 5G 時(shí)代移動(dòng)僵尸網(wǎng)絡(luò)增長(zhǎng)的采訪中,Kevin McNamee 討論了與前幾代相比,5G 網(wǎng)絡(luò)如何提供增強(qiáng)的安全性,尤其是在移動(dòng)核心內(nèi)。隨著移動(dòng)時(shí)代的到來(lái),這是目前的情況,與之前的PC時(shí)代不同,活躍的移動(dòng)用戶數(shù)量顯著增加。 隨著移動(dòng)和物聯(lián)網(wǎng)設(shè)備的興起,5G帶寬的增加擴(kuò)大了潛在的攻擊面,尤其是隨著物聯(lián)網(wǎng)設(shè)備的增長(zhǎng)。一項(xiàng)創(chuàng)新的 5G 功能,即“網(wǎng)絡(luò)切片”,允許為不同的應(yīng)用設(shè)計(jì)專門的安全措施。 然而,要說(shuō)對(duì)物聯(lián)網(wǎng)領(lǐng)域的攻擊跟上其發(fā)展的步伐是輕描淡寫的。隨著人工智能力量的進(jìn)步,攻擊者可以通過(guò)日常使用的小工具侵入一個(gè)人的個(gè)人生活,并將它們用于他們追求的目的。 在美國(guó)電視劇《Next》中,IoV(車聯(lián)網(wǎng))領(lǐng)域的漏洞被帶到了最前沿。在這里,計(jì)算機(jī)科學(xué)家理查德·韋斯(Richard Weiss)在注意到一系列復(fù)雜的非人類網(wǎng)絡(luò)攻擊后,對(duì)使用電子設(shè)備變得越來(lái)越偏執(zhí),并開(kāi)始完全避免它們。 盡管他采取了預(yù)防措施,但他還是成為了由人工智能發(fā)起的車輛襲擊的目標(biāo)。這次攻擊導(dǎo)致了一場(chǎng)近乎致命的事故,網(wǎng)絡(luò)威脅的唯一證據(jù)是他在計(jì)算機(jī)被清理干凈之前保存的代碼快照。 這種敘述揭示了當(dāng)車輛變得更加互聯(lián)和依賴技術(shù)時(shí)所帶來(lái)的潛在危險(xiǎn),為人工智能驅(qū)動(dòng)的惡意攻擊開(kāi)辟了途徑。 另一個(gè)例子可以在更可行的場(chǎng)景中找到。據(jù) Verdict 報(bào)道,智能家居設(shè)備因其潛在的網(wǎng)絡(luò)安全漏洞而受到越來(lái)越多的審查。文章指出,許多設(shè)備缺乏安全基礎(chǔ)設(shè)施,例如傳統(tǒng)的操作系統(tǒng),并且通常帶有硬編碼的密碼,這使得它們?nèi)菀资艿狡茐摹? 另一個(gè)令人擔(dān)憂的因素是,一個(gè)受感染的設(shè)備可以充當(dāng)同一網(wǎng)絡(luò)上其他設(shè)備的網(wǎng)關(guān)。因此,即使是智能家居生態(tài)系統(tǒng)中的一個(gè)薄弱環(huán)節(jié),無(wú)論是門鈴、攝像頭,甚至是魚缸,都會(huì)危及整個(gè)網(wǎng)絡(luò)的安全。 此外,IIoT 或工業(yè)物聯(lián)網(wǎng)涉及將數(shù)字技術(shù)集成到工業(yè)環(huán)境中。其核心是工業(yè)控制系統(tǒng) (ICS),它是監(jiān)管從運(yùn)輸和能源到供水系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施的專用網(wǎng)絡(luò)設(shè)備。 鑒于它們?cè)谥匾A(chǔ)設(shè)施中的作用,任何違規(guī)行為都可能產(chǎn)生災(zāi)難性后果,正如各種威脅評(píng)估和事件中所記錄的那樣。 2012 年 ICS-CERT 發(fā)現(xiàn)針對(duì)天然氣管道行業(yè)的網(wǎng)絡(luò)入侵,在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)事件的歷史文章(Hemsley、Kevin E. 和 E. Fisher,Dr. Ronald,2018 年)中提到,描繪了潛在的破壞,其威脅能夠摧毀整個(gè)城市。同樣,這篇文章對(duì)石油、石化和能源制造商等大型關(guān)鍵行業(yè)提出了一系列不同的攻擊。 下表來(lái)自上述研究,提供了來(lái)自各種來(lái)源的信息,包括網(wǎng)絡(luò)安全公司、獨(dú)立安全專家和新聞媒體。該匯編重點(diǎn)介紹了影響 ICS 設(shè)備和重要基礎(chǔ)設(shè)施的重大網(wǎng)絡(luò)威脅、事件和活動(dòng)(盡管事件數(shù)量不限于這些實(shí)例)。在某些情況下,ICS設(shè)備是直接目標(biāo);在另一些國(guó)家,他們要么間接成為目標(biāo),要么受到影響。從圖表中可以明顯看出,網(wǎng)絡(luò)攻擊以不同的形式出現(xiàn),并產(chǎn)生不同的后果。但重要的是要記住,人工智能攻擊的潛力是巨大的。例如,人工智能驅(qū)動(dòng)的對(duì)核能工業(yè)的攻擊可能會(huì)產(chǎn)生災(zāi)難性的后果,甚至可能摧毀整個(gè)國(guó)家。 什么是人工智能安全及其在物聯(lián)網(wǎng)保護(hù)中的作用?AI 安全是指為保護(hù)人工智能系統(tǒng)、機(jī)器學(xué)習(xí)模和相關(guān)技術(shù)免受潛在威脅、漏洞和惡意活動(dòng)而實(shí)施的一套實(shí)踐、策略和措施。它包括一系列保護(hù)措施,以確保人工智能系統(tǒng)在其整個(gè)生命周期內(nèi)的完整性、機(jī)密性、可用性和合乎道德的使用。AI 安全的類型包括: 數(shù)據(jù)安全確保人工智能系統(tǒng)使用的數(shù)據(jù)的機(jī)密性、完整性和可用性,包括加密、訪問(wèn)控制、安全數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)匿名化,以防止未經(jīng)授權(quán)的訪問(wèn)或數(shù)據(jù)泄露。 隱私保護(hù)作為人工智能安全的一個(gè)組成部分,可以分為兩個(gè)領(lǐng)域。差分隱私包括在數(shù)據(jù)中引入受控干擾的方法,以保護(hù)個(gè)人隱私,而不影響數(shù)據(jù)的一般有用性。相比之下,聯(lián)邦學(xué)習(xí)允許將訓(xùn)練過(guò)程分散到各種設(shè)備上,以防止原始數(shù)據(jù)的泄露。 信息安全也有幾種類型。人工智能與所有這些有關(guān)。例如,人工智能系統(tǒng)也可能成為惡意軟件和入侵企圖的目標(biāo)。實(shí)施入侵檢測(cè)系統(tǒng)和實(shí)時(shí)監(jiān)控有助于識(shí)別和緩解此類威脅,即漏洞管理。 值得注意的是,隨著新威脅的出現(xiàn)和人工智能系統(tǒng)的發(fā)展,需要不斷監(jiān)控和調(diào)整安全措施。威脅情報(bào)(Threat Intelligence)和補(bǔ)丁管理(Patch Management)意味著定期應(yīng)用更新和補(bǔ)丁來(lái)修復(fù)漏洞,是必要保護(hù)方法的頂峰。 除了上述內(nèi)容外,還需要事件響應(yīng)和恢復(fù)。安全事件響應(yīng)包括用于解決安全漏洞或攻擊的協(xié)議。災(zāi)難恢復(fù)作為一種善后措施,有助于計(jì)劃在事件發(fā)生后恢復(fù)正常操作。 可解釋性和透明度作為人工智能安全的另一個(gè)層次,確保了人工智能模型的可解釋性和透明度。它對(duì)于識(shí)別漏洞和理解決策方式至關(guān)重要。透明的模型更易于審計(jì)和調(diào)試。 人與人之間的交互安全確保人與人工智能系統(tǒng)之間的交互是安全的。這包括保護(hù)用戶數(shù)據(jù)、防止冒充攻擊,以及確保 AI 生成的輸出不會(huì)被用于惡意目的。 反過(guò)來(lái),模型安全側(cè)重于保護(hù) AI 模型本身免受對(duì)抗性攻擊、模型反轉(zhuǎn)攻擊和中毒攻擊等攻擊,例如:
偏見(jiàn)和公平性 人工智能中的安全性涉及檢測(cè)和減少數(shù)據(jù)和模型中的偏見(jiàn)的技術(shù),同時(shí)確保預(yù)測(cè)是公平的。這個(gè)級(jí)別圍繞著偏見(jiàn)緩解(Bias Mitigation)——一種識(shí)別和減少訓(xùn)練數(shù)據(jù)中偏見(jiàn)的技術(shù),以及公平意識(shí)學(xué)習(xí)(Fairness-aware Learning),旨在設(shè)計(jì)在不同人口群體中做出公平預(yù)測(cè)的模型。 生命周期安全性封裝了應(yīng)在 AI 系統(tǒng)的整個(gè)生命周期(從設(shè)計(jì)和開(kāi)發(fā)到部署和退役)中實(shí)施的措施。這包括安全的編碼實(shí)踐、定期更新和系統(tǒng)的正確處置。 監(jiān)管合規(guī)性規(guī)定,人工智能系統(tǒng)必須遵守相關(guān)法規(guī),例如數(shù)據(jù)保護(hù)法(例如 GDPR)、行業(yè)特定法規(guī)和道德準(zhǔn)則。這使我們開(kāi)始研究人工智能倫理安全,它確保人工智能系統(tǒng)的開(kāi)發(fā)和部署符合道德使用政策的道德規(guī)范。 最后,混合 AI -人類安全同樣重要,因?yàn)樗峁┤藱C(jī)交互安全性,將人類專業(yè)知識(shí)與 AI 分析相結(jié)合,用于威脅檢測(cè)和整體人類監(jiān)督,這有助于確保 AI 決策接受人工審查。 可以采取哪些措施?使用 AI 安全性來(lái)防止 IoT 和 IIoT 攻擊需要采用多方面的方法。特別小心地處理數(shù)據(jù)至關(guān)重要,確保在 AI 模型中負(fù)責(zé)任地使用數(shù)據(jù)。此外,通過(guò)防止用戶端不必要的上傳來(lái)保護(hù)個(gè)人數(shù)據(jù)也很重要。 智能小工具易感性的例子告訴我們,持續(xù)更新和修補(bǔ)移動(dòng)設(shè)備、筆記本電腦和物聯(lián)網(wǎng)設(shè)備等用戶端點(diǎn)上的漏洞至關(guān)重要。 此外,企業(yè)責(zé)任也凸顯出來(lái)。人工智能公司必須理解并融入深刻的全球責(zé)任感。雖然通過(guò)道德要求灌輸這種意識(shí)可能具有挑戰(zhàn)性,但立即采取立法和監(jiān)管措施可以彌合差距。從更廣泛的層面來(lái)看,立法修訂也至關(guān)重要。 除此之外,應(yīng)該限制不必要的人工智能對(duì)物聯(lián)網(wǎng)領(lǐng)域的訪問(wèn),只確保必要和安全的交互。 最后,我要堅(jiān)持對(duì)安全的三重強(qiáng)調(diào)。安全,安全,再次,安全重申了保護(hù)系統(tǒng)的極端重要性。正如 IT 安全、信息安全和網(wǎng)絡(luò)安全發(fā)揮著關(guān)鍵作用一樣,AI 安全現(xiàn)在也加入了這一行列。AI 安全類型必須與上述解決方案配對(duì),確保全方位保護(hù)。 |
上一篇:工業(yè)和信息化部關(guān)于創(chuàng)新信息通信行業(yè)管理 優(yōu)化營(yíng)商環(huán)境的意見(jiàn) 下一篇:2024年8月9日聚銘安全速遞 |