Ahogy a vállalatok egyre inkább mesterséges intelligencia (AI) képességekkel bővítik termékportfóliójukat, a kiberbiztonsági szakértők arra figyelmeztetnek, hogy a gépi tanulási (ML) összetevők érzékenyek az új típusú támadásokra, ezért védeni kell őket.
A július 19-én indult Startup HiddenLayer célja, hogy segítse a vállalatokat érzékeny gépi tanulási modelljeik és a modellek betanítására használt adatok jobb védelmében. A vállalat kiadta első termékeit, amelyek az ML-észlelési és válaszadási szegmensre irányulnak, és célja a modellek támadásokkal szembeni védelme, valamint a modellek betanítására használt adatok védelme.
A kockázatok nem elméletiek: a cég alapítói a Cylance-nél dolgoztak, amikor a kutatók módot találtak arra, hogy megkerüljék a vállalat mesterséges intelligencia-motorját a rosszindulatú programok észlelése érdekében – mondja Christopher Sestito, a HiddenLayer vezérigazgatója.
„Megtámadták a modellt magán a terméken keresztül, és elég interakcióba léptek a modellel ahhoz, hogy… megállapítsák, hol a leggyengébb a modell” – mondja.
A Sestito arra számít, hogy az AI/ML rendszerek elleni támadások száma növekedni fog, ahogy egyre több vállalat építi be a szolgáltatásokat termékeibe.
„Az AI és az ML a valaha látott leggyorsabban növekvő technológiák, ezért azt várjuk, hogy ők a valaha látott leggyorsabban növekvő támadási vektorok” – mondja.
A gépi tanulási modell hibái
Az ML sok vállalat következő generációs termékeihez elengedhetetlen kellékévé vált, de a vállalkozások jellemzően mesterséges intelligencia-alapú funkciókat adnak hozzá anélkül, hogy figyelembe vennék a biztonsági következményeket. A fenyegetések közé tartozik a modellelkerülés, mint például a Cylance ellen folytatott kutatás, és a funkcionális extrakció, ahol a támadók lekérdezhetnek egy modellt, és a kimenetek alapján funkcionálisan egyenértékű rendszert hozhatnak létre.
Két évvel ezelőtt a Microsoft, a MITRE és más cégek létrehozta az ellenséges gépi tanulási fenyegetésmátrixot a mesterséges intelligencia alapú rendszerek elleni potenciális fenyegetések katalogizálása. Most átkeresztelve a A mesterséges intelligenciarendszerek ellentétes fenyegetései (ATLAS), a lehetséges támadások szótára kiemeli, hogy az innovatív technológiák vonzzák az innovatív támadásokat.
„Eltérően a hagyományos kiberbiztonsági sebezhetőségektől, amelyek meghatározott szoftver- és hardverrendszerekhez kötődnek, a versengő ML sebezhetőségeket az ML algoritmusok mögött rejlő korlátok teszik lehetővé” ATLAS projekt oldala a GitHubon. „Az adatok új módszerekkel fegyverezhetők fel, amihez ki kell terjeszteni a számítógépes ellenfél viselkedésének modellezését, hogy tükrözze a felmerülő fenyegetési vektorokat és a gyorsan fejlődő ellenséges gépi tanulási támadások életciklusát.”
A gyakorlati fenyegetést jól ismeri a HiddenLayer három alapítója – Sestito, Tanner Burns és James Ballard –, akik együtt dolgoztak a Cylance-nél. Akkoriban a Skylight Cyber kutatói hozzáfűzve ismert jó kódot – Valójában a Rocket League játék futtatható fájljából származó karakterláncok listája – hogy a Cylance technológiáját elhitesse azzal, hogy a rosszindulatú programok 84%-a valójában jóindulatú.
„Mi vezettük a segélymunkát, miután gépi tanulási modellünket közvetlenül a termékünkön keresztül támadták meg, és rájöttünk, hogy ez óriási probléma lenne minden olyan szervezet számára, amely ML modelleket alkalmaz a termékeiben” – mondta Sestito. nyilatkozatot, amely bejelenti a HiddenLayer elindítását.
Ellenfeleket keresünk valós időben
A HiddenLayer célja egy olyan rendszer létrehozása, amely képes nyomon követni az ML rendszerek működését, és anélkül, hogy hozzá kellene férnie az adatokhoz vagy számításokhoz, meghatározhatja, hogy a szoftvert megtámadják-e valamelyik ismert ellenséges módszerrel.
„Megvizsgáljuk a viselkedési interakciókat a modellekkel – ez lehet IP-cím vagy végpont” – mondja Sestito. „Elemezzük, hogy a modellt a rendeltetésszerűen használják-e, vagy a bemeneteket és a kimeneteket kihasználják, vagy a kérelmező nagyon magas entrópiás döntéseket hoz-e.”
A valós idejű viselkedéselemzés képessége megkülönbözteti a vállalat ML észlelését és válaszát más megközelítésektől, mondja. Ráadásul a technológia nem igényel hozzáférést az adott modellhez vagy a betanítási adatokhoz, ami tovább szigeteli a szellemi tulajdont, mondja a HiddenLayer.
A megközelítés azt is jelenti, hogy a biztonsági ügynök többletköltsége kicsi, 1 vagy 2 milliszekundum nagyságrendű, mondja Sestito.
„A nyers adatok vektorizálása után vizsgáljuk a bemeneteket, így nagyon kevés teljesítményt érünk el” – mondja.
