Gestion des risques tiers , attaques basées sur l’IA , intelligence artificielle et apprentissage automatique
Le géant de la technologie partage des menaces majeures et des garanties potentielles pour les entreprises utilisant l’IA Rashmi Ramesh (rashmiramesh_) • 4 mars 2024
L’essor rapide des technologies d’intelligence artificielle présente de nouveaux risques. Les entreprises utilisant l’IA doivent régulièrement rechercher les attaques par injection rapide, mettre en œuvre la transparence dans la chaîne d’approvisionnement et renforcer les contrôles logiciels intégrés pour répondre aux besoins de sécurité de leur entreprise, a déclaré Microsoft.
Voir également: User Entity & Behaviour Analytics 101 : Stratégies pour détecter les comportements de sécurité inhabituels
Le géant de la technologie, qui intègre des outils d’IA générative dans ses produits logiciels pour la maison et le bureau, dans un récent rapport informé les entreprises doivent se préparer aux menaces liées à l’IA en définissant des cas d’utilisation spécifiques et des contrôles d’accès des employés.
L’utilisation de politiques d’accès conditionnel protégera automatiquement les locataires en fonction des signaux de risque, des licences et de l’utilisation, a indiqué la société. « Les responsables du risque et les RSSI devraient régulièrement déterminer si les cas d’utilisation et les politiques sont adéquats, ou s’ils doivent changer à mesure que les objectifs et les apprentissages évoluent », indique le rapport.
L’IA peut aider les organisations à se défendre plus rapidement et plus efficacement contre les cyberattaques dans les domaines de la détection des menaces et de la réponse aux incidents, et peut potentiellement contribuer à remédier à la pénurie massive de talents en cybersécurité, a déclaré Microsoft. Les adversaires utilisent la technologie dans le cadre de leurs exploits. “Il n’a jamais été aussi crucial pour nous de concevoir, déployer et utiliser l’IA en toute sécurité”, indique le rapport.
L’IA dans la fraude est un exemple de la double nature de l’IA. Les pirates peuvent utiliser cette technologie pour commettre des fraudes en utilisant un échantillon vocal de trois secondes pour entraîner un modèle à ressembler à n’importe qui. “Même quelque chose d’aussi inoffensif que votre message d’accueil vocal peut être utilisé pour obtenir un échantillon suffisant”, a déclaré Microsoft, ajoutant que cela constitue une menace pour la vérification de l’identité.
“Il est crucial que nous comprenions comment les acteurs malveillants utilisent l’IA pour saper les systèmes de vérification d’identité en place de longue date afin que nous puissions lutter contre les cas de fraude complexes et d’autres menaces d’ingénierie sociale émergentes qui obscurcissent les identités”, a déclaré la société.
Affiner les grands modèles de langage pour mettre régulièrement à jour leur compréhension des entrées malveillantes et des cas extrêmes peut aider à prévenir les attaques par injection rapide, qui sont répertorié parmi les principales vulnérabilités critiques de l’OWASP dans les grands modèles de langage. Les entreprises doivent également utiliser un filtrage contextuel et un codage des sorties pour empêcher toute manipulation rapide et enregistrer les interactions des employés avec les LLM afin d’analyser les menaces potentielles.
Les entreprises utilisant l’IA devraient évaluer les points de contact avec les données des LLM, y compris celles des fournisseurs tiers ; mettre en place des équipes interfonctionnelles en matière de cyber-risques pour explorer les enseignements tirés ; et combler les lacunes. Cela inclut la mise en place de politiques qui détaillent les utilisations et les risques de l’IA, y compris les outils d’IA désignés qui sont approuvés pour l’entreprise et les points de contact pour l’accès et l’information.
Des groupes de menaces persistantes avancées de Corée du Nord, de Chine et de Russie utilisent des LLM pour augmenter les cyberopérations, mais Microsoft et OpenAI n’ont pas encore été témoins d’attaques significatives (voir : OpenAI et Microsoft mettent fin aux comptes de pirates informatiques soutenus par l’État).
2024-03-05 00:59:55
1709592027
#Pour #sécurité #lIA #tournezvous #vers #les #chaînes #dapprovisionnement #Trust