AI 보안이란?
AI 보안은 사이버 공격으로부터 AI 인프라를 보호하는 데 중점을 둔 엔터프라이즈 사이버 보안의 핵심 구성 요소입니다. AI 보안에 집중하는 것은 수많은 AI 기술이 조직 구조에 짜여져 있기 때문에 매우 중요합니다. AI는 최신 개발 프로세스, 워크로드 자동화 및 빅 데이터 분석의 엔진입니다. 또한 점점 더 많은 제품과 서비스의 필수 구성 요소가 되고 있습니다. 예를 들어, 뱅킹 앱은 금융 서비스를 제공하지만, 이러한 앱 내의 챗봇 및 가상 비서와 같은 AI 기반 기술은 X 팩터를 제공합니다.
이 글로벌 AI 인프라 시장 는 그 이상에 도달할 것으로 예상됩니다. 2027년까지 960억 달러. 맥킨지(McKinsey)에 따르면, 있었다 AI 채택 250% 증가 2017년부터 2022년까지 가장 두드러진 사용 사례에는 서비스 운영 최적화, 새로운 AI 기반 제품 생성, 고객 서비스 분석 및 고객 세분화가 포함되었습니다. 불행히도 이러한 AI 사용 사례는 모두 사이버 공격 및 기타 취약성에 취약합니다.
이는 빙산의 일각에 불과합니다. 데이터 엔지니어 및 기타 애자일 팀은 대규모 언어 모델(LLM)과 같은 GenAI 솔루션을 활용하여 속도와 규모에 맞게 애플리케이션을 개발합니다. 많은 클라우드 서비스 제공업체(CSP)가 이러한 개발을 지원하기 위해 AI 서비스를 제공합니다. Azure Cognitive Services, Amazon Bedrock 및 GCP의 Vertex AI와 같은 AI 서비스에 대해 들어보거나 사용해 보셨을 것입니다. 이러한 서비스와 기술은 팀이 AI 애플리케이션을 더 빠르게 개발하고 배포할 수 있도록 지원하지만, 이러한 파이프라인은 수많은 위험을 초래합니다. 결론은 AI가 많은 사람들이 생각하는 것만큼 안전하지 않으며 강력한 요새화가 필요하다는 것입니다.
GenAI Best Practices [Cheat Sheet]
Discover the 7 essential strategies for securing your generative AI applications with our comprehensive GenAI Security Best Practices Cheat Sheet.
Download Cheat Sheet
인공 지능은 얼마나 안전하지 않습니까?
AI를 둘러싼 내러티브는 종종 윤리와 AI가 인간 인력을 대체할 가능성에 초점을 맞춥니다. 그러나 Forrester는 다음과 같이 주장합니다. 미국에서 1,100만 개의 일자리 창출 2032년까지 AI로 대체될 것이며, 다른 새로운 일자리 기회와 균형을 이룰 것입니다. 상대적으로 간과되는 복잡성은 AI와 사이버 보안의 교차로에 있습니다. 위협 행위자는 AI를 활용하여 멀웨어를 배포하고 코드와 데이터 세트를 감염시킵니다. AI 취약성은 데이터 침해의 일반적인 벡터이며, AI를 통합하는 소프트웨어 개발 수명 주기(SDLC)는 취약성에 점점 더 취약해지고 있습니다.
특히 GenAI는 많은 위험을 내포하고 있습니다. GenAI의 위험한 잠재력은 다음에서 볼 수 있습니다. WormGPT와 같은 도구, ChatGPT와 유사하지만 범죄 활동 수행에 중점을 둡니다. 다행히도 사이버 보안에 AI를 적용하면 이러한 위협을 막는 데 사용되고 있습니다. ChatGPT 보안 진화. 이 사이버 보안 시장에서의 AI 2028년까지 606억 달러에 이를 것으로 예상되며, 이는 인간 보안 팀이 AI를 직접 활용하지 않고는 AI에 의해 촉진되는 대규모 사이버 공격을 식별하고 해결하는 데 어려움을 겪을 것임을 입증합니다.
사이버 보안 AI는 AI 기반 보안 위협에 맞서 싸우는 데 계속해서 큰 역할을 할 것입니다. 위협 행위자는 LLM 프롬프트를 벡터로 사용하여 GenAI 모델을 조작하여 민감한 정보를 노출하기 때문에 중요합니다. CSP는 곧 AI 혁명을 완전히 수용할 가능성이 높으며, 이는 중요한 인프라 및 개발 관련 결정이 AI 챗봇에 의해 촉진될 것임을 의미합니다. 이 챗봇을 무기로 사용 (예: WormGPT 또는 FraudGPT)는 기업이 예측할 수 없는 AI 관련 사이버 보안 문제를 많이 고려해야 할 것임을 시사합니다.
AI는 안전할 수 있다는 점을 기억하는 것이 중요합니다. 그러나 본질적으로 안전하지는 않습니다.
AI 보안 위험
AI 보안에 대처하는 가장 좋은 방법은 위험을 철저히 이해하는 것입니다. 가장 큰 것을 살펴 보겠습니다. AI 보안 위험.
공격 표면 증가
GenAI와 같은 AI를 SDLC에 통합하면 기업이 근본적으로 변화합니다'의 IT 인프라와 관련하여 알려지지 않은 많은 위험이 발생합니다. 이는 본질적으로 공격 표면의 확장입니다. AI의 가장 중요한 보안 과제는 모든 AI 인프라가 보안 팀의 관리 하에 있도록 하는 것입니다. AI 인프라에 대한 완벽한 가시성은 취약성을 수정하고 위험을 줄이며 공격 표면을 제한하는 데 도움이 될 수 있습니다.
State of AI in the Cloud 2024
Did you know that over 70% of organizations are using managed AI services in their cloud environments? That rivals the popularity of managed Kubernetes services, which we see in over 80% of organizations! See what else our research team uncovered about AI in their analysis of 150,000 cloud accounts.
Download PDF
데이터 유출 및 유출 가능성 증가
더 광범위한 공격 표면의 위험에는 다운타임, 중단, 이익 손실, 평판 손상 및 기타 주요 장기적 결과가 포함됩니다. 에 따르면 인디펜던트2023년 8월에만 4,300만 개의 민감한 기록이 손상되었습니다. 차선의 AI 보안은 귀하의 보석을 손상시키고 데이터 침해 피해자 목록에 추가할 수 있습니다.
챗봇 자격 증명 도용
도난당한 ChatGPT 및 기타 챗봇 자격 증명은 다크 웹의 불법 시장에서 새로운 인기 상품입니다. 이상 100,000개의 ChatGPT 계정이 손상되었습니다. 2022년에서 2023년 사이에 다음과 같은 위험한 AI 보안 위험이 강조됩니다.'s는 증가할 가능성이 있습니다.
취약한 개발 파이프라인
AI 파이프라인은 취약성 스펙트럼을 넓히는 경향이 있습니다. 예를 들어, 데이터 및 모델 엔지니어링을 포괄하는 데이터 과학 영역은 기존 애플리케이션 개발 경계를 넘어 운영되는 경우가 많아 새로운 보안 위험을 초래합니다.
데이터를 수집, 처리 및 저장하는 프로세스는 기계 학습 엔지니어링 영역에서 기본입니다. 모델 엔지니어링 작업과 통합하려면 위반, 지적 재산권 도난, 공급망 공격, 데이터 조작 또는 중독으로부터 데이터를 보호하기 위한 강력한 보안 프로토콜이 필요합니다. 데이터 무결성을 보장하는 것은 고의적 및 우발적 데이터 불일치를 줄이는 데 매우 중요합니다.
데이터 중독
데이터 중독 GenAI 모델의 조작입니다. 여기에는 결과에 영향을 미치고 편향을 생성하기 위해 악성 데이터 세트를 입력하는 것이 포함됩니다. 이 트로이 목마 퍼즐연구원이 설계한 공격은 위협 행위자가 GenAI 모델이 악성 페이로드를 조정하기 위해 학습한 데이터 세트에 영향을 미치고 감염시킬 수 있는 방법의 예입니다.
직접 프롬프트 주입
직접 프롬프트 주입 는 위협 행위자가 민감한 데이터를 손상시키거나 유출할 의도로 LLM 프롬프트를 고의로 설계하는 공격 유형입니다. 직접 프롬프트 주입과 관련된 수많은 위험이 있습니다. 악성코드(malicious code) 실행 및 민감한 데이터의 노출.
Cybersecurity in the Age of AI: Panel Discussion
Watch Anna McAbee, Senior Solutions Architect, Security at AWS, Rami McCarthy, Security Engineer at Figma, and Alon Schindel, Director of Data & Threat Research at Wiz, as they weigh the implications of AI on security, and discuss the best way to use this powerful new technology.
Watch Now
간접 프롬프트 주입
간접 프롬프트 주입은 위협 행위자가 GenAI 모델을 신뢰할 수 없는 데이터 소스로 유도하여 해당 작업에 영향을 미치고 조작하는 경우입니다. 이 신뢰할 수 없는 외부 소스는 위협 행위자가 의도적으로 특정 작업을 유도하고 페이로드에 영향을 미치도록 사용자 정의 설계할 수 있습니다. 간접 프롬프트 주입의 영향에는 악성 코드 실행, 데이터 유출, 잘못된 정보 및 악성 정보로 최종 사용자 프로비저닝 등이 포함됩니다.
환각 남용
AI는 항상 특정 정보를 환각하는 경향이 있으며, 전 세계의 혁신가들은 환각의 정도를 줄이기 위해 노력하고 있습니다. 그러나 그렇게 될 때까지 AI 환각은 계속해서 심각한 사이버 보안 위험을 초래합니다. 위협 행위자가 등록하기 시작하고 있습니다. "합법화" 최종 사용자가 악의적이고 불법적인 데이터 세트의 영향을 받는 정보를 받을 수 있도록 잠재적인 AI 환각.
AI 보안 프레임워크 및 표준
이제 가장 큰 AI 보안 위험을 알았으므로 기업이 이를 완화할 수 있는 방법을 간략하게 살펴보겠습니다. 사이버 보안 프레임워크는 오랫동안 기업이 증가하는 위협으로부터 스스로를 보호할 수 있는 강력한 도구였으며, 이러한 AI 보안 프레임워크는 보안 위협과 취약성을 해결하기 위한 일관된 표준 세트와 모범 사례를 제공합니다.
NIST의 Artificial Intelligence Risk Management 프레임워크 AI 보안은 거버넌스(Govern), 매핑(Map), 측정(Measure), 관리(Manage)의 네 가지 주요 기능으로 나뉩니다.
마이터스 AI 보안을 위한 합리적인 규제 프레임워크 그리고 아틀라스 매트릭스 공격 전술을 분석하고 특정 AI 규정을 제안합니다.
OWASP의 LLM을 위한 상위 10개 LLM과 관련된 가장 중요한 취약성(예: 프롬프트 주입, 공급망 취약성 및 모델 도난)을 보호하기 위한 표준을 식별하고 제안합니다.
구글의 안전한 AI 프레임워크 AI 시스템과 관련된 문제를 완화하기 위한 6단계 프로세스를 제공합니다. 여기에는 자동화된 사이버 보안 강화 및 AI 리스크 기반 관리.
우리 자신의 PEACH 프레임워크 권한 강화, 암호화 강화, 인증 강화, 연결성 강화 및 위생(P.E.A.C.H.)을 통한 테넌트 격리를 강조합니다. 테넌트 격리는 클라우드 환경을 엄격한 경계와 엄격한 액세스 제어를 가진 세분화된 세그먼트로 나누는 설계 원칙입니다.
AI & Cybersecurity: The current state of the art and where we're headed
Clint Gibler spent hundreds of hours following how AI is being applied to cybersecurity, and now Clint is going to distill the best articles, papers, and talks across cloud security, web security, AppSec, offensive security and more into one talk so you can rapidly understand the lay of the land.
Watch Now몇 가지 간단한 AI 보안 권장 사항 및 모범 사례
AI 인프라 보호의 핵심은 일련의 프레이밍과 따르기입니다. 권장사항. 다음은 시작하는 데 도움이 되는 10가지 방법입니다.
1. 테넌트 격리 프레임워크 선택Choose a tenant isolation framework
PEACH 테넌트 격리 프레임워크는 클라우드 애플리케이션용으로 설계되었지만 AI 보안에도 동일한 원칙이 적용됩니다. 테넌트 격리는 GenAI 통합의 복잡성을 해결할 수 있는 강력한 방법입니다.
2. GenAI 아키텍처 사용자 지정
GenAI 아키텍처는 모든 구성 요소가 최적화된 보안 경계를 갖도록 신중하게 사용자 정의해야 합니다. 일부 구성 요소에는 공유 보안 경계가 필요하고, 다른 구성 요소에는 전용 경계가 필요할 수 있으며, 일부 구성 요소의 경우 다양한 컨텍스트에 따라 달라질 수 있습니다.
3. GenAI 윤곽 및 복잡성 평가
GenAI를 조직의 제품, 서비스 및 프로세스에 통합하는 것의 의미를 매핑하는 것은 필수입니다. 몇 가지 중요한 고려 사항은 최종 사용자에 대한 AI 모델의 응답이 비공개적이고 정확하며 합법적인 데이터 세트로 구성된다는 것입니다.
4. 기존의 클라우드에 구애받지 않는 취약점을 무시하지 마십시오.
GenAI는 다른 멀티 테넌트 애플리케이션과 다르지 않습니다. 여전히 API 취약성 및 데이터 유출과 같은 기존 문제로 어려움을 겪을 수 있습니다. 조직이 AI 관련 문제를 완화하기 위해 중요한 클라우드 취약성을 소홀히 하지 않도록 합니다.
5. 효과적이고 효율적인 샌드박싱 보장
샌드박싱에는 GenAI를 통합한 애플리케이션을 격리된 테스트 환경으로 가져와 스캐너 아래에 두는 것이 포함되며, AI 취약성을 완화하는 강력한 방법입니다. 그러나 샌드박싱 환경이 최적으로 구성되어 있는지 확인하십시오. 최적화되지 않은 샌드박스 환경과 급하게 구축된 프로세스는 AI 보안 취약성을 악화시킬 수 있습니다.
6. 격리 검토 수행
테넌트 격리 검토는 고객 대면 인터페이스 및 내부 보안 경계에 대한 포괄적인 토폴로지를 제공합니다. 이는 AI 보안 취약성을 식별하고 테넌트 격리를 더욱 최적화하여 사이버 보안 사고를 방지하는 데 도움이 될 수 있습니다.
7. 입력 삭제 우선 순위 지정
AI 보안 취약성을 완화하기 위해 GenAI 시스템에서 사용자 입력에 대한 특정 제한을 설정합니다. 이러한 제한 사항이 매우 복잡할 필요는 없습니다. 예를 들어 텍스트 상자를 입력 옵션이 제한된 드롭다운 메뉴로 바꿀 수 있습니다. 입력 삭제의 가장 큰 과제는 강력한 보안과 원활한 최종 사용자 경험 사이의 균형을 찾는 것입니다.
8. 프롬프트 처리 최적화
GenAI를 통합하는 애플리케이션에서는 신속한 처리가 매우 중요합니다. 기업은 최종 사용자 프롬프트를 모니터링 및 기록하고 의심스러워 보이는 프롬프트에 위험 신호를 표시해야 합니다. 예를 들어 프롬프트에 악성 코드 실행의 징후가 보이면 빨간색 플래그를 지정하고 해결해야 합니다.
9. 고객 피드백이 보안에 미치는 영향을 이해합니다.
이는 상대적으로 위험이 낮은 AI 보안 문제로 보일 수 있지만 AI 보안 태세와 관행에는 균열이 없어야 합니다. 사실 피드백 텍스트 상자를 사용하면 위협 행위자가 GenAI를 통합한 애플리케이션에 악성 콘텐츠를 도입할 수 있습니다. 가장 좋은 방법은 자유 텍스트 피드백 옵션을 드롭다운 필드로 바꾸는 것입니다.
10. 평판이 좋은 AI 보안 전문가와 협력
AI는 기술 발전의 다음 장의 중심이 될 것입니다. 그렇기 때문에 AI 보안은 매우 중요하며 나중에 고려 사항으로 취급할 수 없습니다. 평판이 좋고 자격을 갖춘 클라우드 보안 전문가와 협력하는 것은 AI 및 사이버 보안 태세를 강화하는 가장 좋은 방법입니다.
Wiz로 AI 보안
Wiz는 네이티브 AI 보안 기능을 제공하는 최초의 CNAPP 플랫폼에 완전히 통합되었습니다. Wiz for AI Security에는 다음과 같은 새로운 기능이 도입되었습니다.
AI 보안 태세 관리(AI-SPM): 에이전트 없이 AI 파이프라인의 모든 리소스와 기술을 식별하여 보안 팀과 AI 개발자에게 AI 파이프라인에 대한 가시성을 제공합니다.
DSPM을 AI로 확장: 민감한 교육 데이터를 자동으로 감지하고 즉시 사용 가능한 새로운 DSPM AI 컨트롤을 통해 데이터를 안전하게 보호할 수 있습니다.
공격 경로 분석을 AI로 확장: AI 파이프라인을 둘러싼 전체 클라우드 및 워크로드 컨텍스트를 통해 조직이 환경에서 공격 경로를 선제적으로 제거할 수 있도록 지원
AI 보안 대시보드: 개발자가 가장 중요한 문제에 빠르게 집중할 수 있도록 우선 순위가 지정된 위험 대기열과 함께 주요 AI 보안 문제에 대한 개요를 제공합니다.
Wiz는 또한 다음을 위한 AI 보안 지원을 제공합니다. 아마존 SageMaker 그리고 버텍스 AI AI/ML 모델 관리와 관련된 보안 위험을 모니터링하고 완화하는 데 도움이 될 수 있는 사용자입니다. Vertex AI 및 Amazon SageMaker 통합을 위한 Wiz의 사용자 지정 기능에는 강력한 샌드박싱 환경, 클라우드 애플리케이션 전반에 대한 완벽한 가시성, AI 파이프라인 보호, ML 모델의 프로덕션에 대한 민첩한 배포가 포함됩니다. 데모 신청하기 보안에 대한 걱정 없이 AI의 모든 기능을 활용할 수 있는 방법을 알아보세요.
Wiz는 또한 창립 멤버가 된 것을 자랑스럽게 생각합니다. 보안 AI를 위한 연합. 이 분야의 다른 선구자들과 힘을 합치면서 Wiz는 연합을 발전시키기 위해 최선을 다하고 있습니다'안전하고 윤리적인 AI 개발이라는 사명을 가지고 있습니다. 창립 멤버로서 Wiz는 연합을 형성하는 데 중요한 역할을 합니다'의 전략적 방향, 정책 개발에 기여하고 AI 기술의 보안과 무결성을 향상시키는 혁신적인 솔루션을 촉진합니다.
Develop AI applications securely
Learn why CISOs at the fastest growing organizations choose Wiz to secure their organization's AI infrastructure.
