- Makine öğrenimi modelini eğitmek için kullanılan verilerin nereden geldiğini sormak
De Vries yaptığı açıklamada, “Finans ve teknoloji sektörlerindeki müşterilerimizden, makine öğrenimi sistemlerinin nasıl analiz edileceği ve güvenliğinin nasıl sağlanacağı konusunda rehberlik almak için ilginin arttığını gördük” dedi Tıpkı kuruluşların gölge BT’ye sahip olabileceği gibi – McGraw, farklı iş paydaşlarının kendi sunucularını ve Web uygulamalarını BT gözetimi olmadan kurduğu durumlarda, gölge makine öğrenimine de sahip olabileceklerini söylüyor
McGraw, “Olgun bir tehdit modelleme programınız varsa ve IriusRisk gibi bir araç kullanıyorsanız, artık makine öğrenimini de yönetebilirsiniz ”
AI ve ML Güvenlik Kitaplığı, makine öğrenimi tehditlerinin bir sınıflandırması olan BIML ML Güvenlik Risk Çerçevesi’nin yanı sıra McGraw tarafından geliştirilen tipik makine öğrenimi bileşenlerinin mimari risk değerlendirmesini temel alır “Makine öğrenimi sisteminizi kullanan kişilerin bu gizli verileri alamamasını sağlamayı düşünmelisiniz
McGraw şöyle diyor: “Herkes, ‘Kuruluşumda makine öğrenimi olduğunu sanmıyorum’ diyor Tehdit modelleme şablonları Tehdit modellemeyi, diyagram oluşturma araçlarına veya risk analizine aşina olmayanlar için bile erişilebilir hale getirin – ve oraya ulaşmak için ne yapmaları gerektiğini Ayrıca herhangi birinin, makinenin yanlış bir şey yapmasını sağlamak için yanlış veya kötü amaçlı verileri yerleştirme fırsatına sahip olup olmadığını sormak da önemlidir Çerçeve, projenin erken tasarım ve geliştirme aşamalarında makine öğrenimini kullanan uygulamalar ve hizmetler üreten geliştiriciler, mühendisler ve tasarımcılar tarafından kullanılmak üzere tasarlanmıştır IriusRisk’in kütüphanesi sayesinde makine öğrenimini kullanan herkes BIML’in çerçevesini kullanabilir ”
ML Tehdit Modellemesi Nasıl Görünüyor?IriusRisk’in AI ve ML Güvenlik Kitaplığı kuruluşların gerekli soruları sormasına yardımcı olur
Aynı zamanda IriusRisk’in danışma kurulu üyesi olan McGraw, “Nihayet insanların riski ele almak ve riski kontrol etmek için kullanabileceği makineler üretmeye başlıyoruz” diyor Bu yeni değil McGraw, “Veriyi makineye koyarsanız, makinede olur” diyor
IriusRisk’in tehdit modelleme aracı, hem tehdit modellemeyi hem de mimari risk analizini otomatikleştirerek bu zorluğun üstesinden gelir
AI ve ML Güvenlik Kitaplığı, IriusRisk müşterilerinin ve platformun topluluk sürümünü kullananların kullanımına açıktır Tehdit modelleme – kuruluşa zarar verebilecek tehdit türlerinin belirlenmesi – kuruluşların derinlemesine düşünmesine yardımcı olur makine öğrenimi sistemlerinde güvenlik riskleri veri zehirlenmesi, girdi manipülasyonu ve veri çıkarma gibi
Tehdit Modelleme ZamanıIriusRisk CEO’su Stephen de Vries’e göre AI ve ML Güvenlik Kütüphanesi, kuruluşların AI ve ML sistemlerinin nasıl analiz edileceği ve güvenliğinin sağlanacağı konusundaki ilgisine yanıt olarak geliştirildi
“İnsanlar hâlâ bu çok yeni teknolojiyi kullandığınızda şu fikirle boğuşuyor: [machine learning]Berryville Makine Öğrenimi Enstitüsü’nün kurucu ortağı Gary McGraw şöyle diyor: “Bu, bir takım riskleri de beraberinde getiriyor” diyor ve ekliyor: “‘Şu risk var ve şu da var’ deme gibi kıskanılacak bir konumdayım Geliştiriciler ve güvenlik ekipleri, diyagramlar ve tehdit modelleri oluşturmak için kodu araca aktarabilir Ama öyle olduğunu öğrendikleri anda, onu her yerde buluyorlar Gizli bilgileri makine öğrenimi algoritmanıza koyarsanız, bu bilgiler kriptografik yöntemlerle korunmaz ve çıkarılabilir NIST’in Yazılımın Geliştirici Doğrulamasına İlişkin Minimum Standartlara İlişkin Yönergeleri Tasarım düzeyindeki güvenlik sorunlarını aramak için tehdit modellemeyi önerir Sizinkiler mi? Kötü insanlar mı? Twitter’daki herkes mi yoksa X mi?” McGraw, sakıncalı bilgiler öğrendikten sonra çevrimdışına alınması gereken geçmiş proje örneklerinin bulunduğunu belirtti “Peki ya tehdit modelleme yapmayanlar? Belki de başlamalılar ”
siber-1
Güvenlik tartışmalarını yazılım geliştirme yaşam döngüsünün erken aşamalarına dahil etmek için “sola kaydırma”nın bir parçası olarak kuruluşlar, yazılım tasarımındaki güvenlik kusurlarını belirlemek için tehdit modellemeye bakmaya başlıyor Yani zaten en iyisini yapan insanlar daha da iyisini yapacak” diyor ”
Kitaplık, makine öğrenimi kullanımına ilişkin görünürlüğe sahip olmayan kuruluşlara yardımcı olmaz ”
Birçok kuruluş Tehdit modellemeyi dahil etmeyin yazılım tasarımı sırasında ve bir kişinin tehditleri teker teker analiz ettiği manuel süreçlere dayananlar
Yeni başlatılan AI ve ML Güvenlik Kitaplığı, IriusRisk kullanan kuruluşların, güvenlik risklerinin ne olduğunu ve bu risklerin nasıl azaltılacağını anlamak için planladıkları makine öğrenimi sistemini tehdit modellemesine olanak tanır Çevrimiçi olan ve kullanıcılardan öğrenmeye devam eden makine öğrenimi sistemleri, çevrimiçi olmayanlara göre daha tehlikelidir Risk var ve gökyüzü düşüyor’ ve herkes şöyle diyor: ‘Peki bu konuda ne yapmam gerekiyor?'”
McGraw, makine öğrenimi riskiyle ilgili pek çok konuşma yapıldığını ancak zorluğun bunların nasıl ele alınacağını bulmakta yattığını söylüyor Bunu yapmanın zamanı geldi “Bunlar genellikle henüz tasarım aşamasında olan yeni projeler olduğundan, burada tehdit modellemesi yapmak büyük değer katıyor çünkü bu ekipler güvenlik hedef direklerinin nerede olduğunu çok hızlı bir şekilde anlayacaklar Farklı departmanlar yeni uygulamaları ve araçları deniyor ancak bireysel çalışanların kullandıkları ile BT ve güvenlik ekiplerinin bildiği riskler arasında bir boşluk var