Гитлаб спонсировал этот пост.
Недавнее исследование Gitlab C-suite показало, что 89% руководителей ожидают, что агент AI будет окончательным стандартом разработки программного обеспечения в течение трех лет. Эта траектория усыновления сталкивается с резкой реальностью, что 85% этих руководителей также признают, что агент AI создает беспрецедентные проблемы безопасности.
CISO настаивают, чтобы найти баланс между двумя целями, которые часто чувствуют, что они в противоречии. Они не могут предотвратить принятие ИИ для разработки программного обеспечения в своих организациях, но они должны минимизировать потенциальные риски безопасности технологии. Как сообщают 91% руководителей, они планируют увеличить расходы на ИИ на разработку программного обеспечения в течение следующих 18 месяцев, это давление на безопасность будет продолжать расти.
Управление отстает от принятия ИИ
Большинство лидеров безопасности мучительно осведомлены о ведущих рисках ИИ, упомянутых респондентами: угрозы кибербезопасности (52%), конфиденциальность и безопасность данных (51%) и поддержание управления (45%). Ландшафт и даже определения этих рисков развиваются и глубоко переплетены.
Создание модели управления для ИИ требуется для организаций, чтобы развивать стратегию безопасности наряду с развивающимися рисками ИИ. Тем не менее, это не является простым, и ИИ охватывает множество технологий и областей безопасности от управления данными до управления идентификацией и доступом. Тем не менее, почти половина опрошенных признал, что их организация не внедрила и не внедрила управление, выравниваемое нормативно-правовым результатом (47%), ни внутреннюю политику (48%) для ИИ.
Задержка в управлении ИИ связана с законными отраслевыми проблемами, что затрудняет лидерам определение наиболее эффективных мест, чтобы инвестировать свое время и усилия. Недейтерминированный характер агентов заставляет их вести себя неожиданно, что, как было доказано, нарушает существующие границы безопасности. Кроме того, сложность безопасности увеличивается с введением универсальных протоколов, таких как протокол контекста модели (MCP) и Agent2agent, которые упрощают доступ к данным и повышают совместимость с агентами для создания экосистем.
Но эти проблемы не могут помешать руководителям безопасности определять приоритеты управления ИИ. Если вы ожидаете всеобъемлющих лучших практик для этой динамичной технологии, вы будете играть в постоянную игру в догонь. Любая организация, которая вообще избегает принятия ИИ, все равно будет подвергаться риску ИИ посредством использования поставщиков и теневого ИИ в окружающей среде.
3 способа начать установление управления ИИ
CISO может начать планировать риски для агентской безопасности, установив наблюдение ИИ, способную отслеживать, аудит и приписывать агентское поведение в разных средах. Вот несколько областей, на которых можно сосредоточиться:
1. Атрибут агента активность операторам человека
По мере того, как системы ИИ размножаются, отслеживание и защита этих нечеловеческих идентичностей становится таким же важным, как управление доступом пользователя человека. Один из способов достижения этого — это составные идентичности, которые связывают личность агента ИИ с идентификацией человека, который он руководит его. Таким образом, когда агент ИИ пытается получить доступ к ресурсу, вы можете аутентифицировать и авторизировать агента и четко приписать деятельность ответственному человеческому пользователю.
2. Отслеживайте поведение агента по всей организации
Компании по операциям, разработке и безопасности нуждаются в способах мониторинга деятельности агентов искусственного интеллекта по нескольким рабочим процессам, процессам и системам. Недостаточно знать, что агент делает в вашей кодовой базе. Вы также должны иметь возможность контролировать свою деятельность как в стационарных, так и в производственных средах, а также в связанных базах данных и любых приложениях, к которым он обращается.
3. инвестируйте в команды по повышению квалификации
Культура безопасности теперь требует грамотности ИИ. Сорок три процента респондентов опроса признали расширяющийся разрыв в навыках искусственного интеллекта, который, вероятно, будет расти, если только технические лидеры не дают приоритетам, чтобы команды по повышению квалификации могли понять поведение моделя, быстрое инженер и как критически оценить входные данные и результаты моделей.
Понимание того, где модели, работающие по сравнению с тем, где их использование является неоптимальным, помогает командам избежать ненужного риска безопасности и технического долга. Например, модель, обученная антипаттернам, будет хорошо работать при обнаружении этих моделей, но не будет эффективной против логических ошибок, с которой она никогда не сталкивалась раньше. Команды также должны признать, что ни одна модель не может заменить человеческую изобретательность. Если модель работает неоптимально в области, с которой инженер или разработчик безопасности менее знакомы, они не смогут определить пробелы в безопасности, которые оставлена моделью.
CISO следует рассмотреть возможность посвящения части бюджетов на обучение и развития постоянному техническому образованию. Это способствует опыту безопасности ИИ на месте, позволяя вновь изысканных чемпионам ИИ обучать своих сверстников и укрепить передовые практики.
При правильном использовании ИИ обеспечивает безопасность программного обеспечения
Организации, которые развертывают ИИ стратегически, видят измеримо более сильные результаты безопасности, чем организации с специальными реализациями. Результаты опроса подтверждают этот вывод, причем 45% исполнительных респондентов определяют безопасность в качестве высшего потенциального варианта использования AI в разработке программного обеспечения.
Ценность ИИ для безопасности достигает своего пика, когда организации позиционируют его как дополнение к человеческому опыту, а не как замену. Этот подход позволяет ИИ помогать демократизировать знания безопасности между командами разработчиков путем предоставления обычной автоматизации безопасности, интеллектуальных рекомендаций по кодированию и ценного контекста безопасности, встроенного непосредственно в рабочих процессах разработчиков. Организации, внедряющие эти возможности, отчет о улучшении результатов безопасности, сниженном риске и более сильном сотрудничестве между группами разработки и безопасности.
Если организации хотят конкурентного преимущества, они не будут избегать ИИ в целом и не принять его без надлежащего рассмотрения. Вместо этого они установят основополагающее управление безопасности в начале реализации. Даже несовершенные начальные меры помогут группам службы безопасности навигацию на изменения в ландшафте риска.
Если прогнозы руководителей в рамках опроса доказаны, мы уже находимся в трехлетнем обратном отсчете в направлении агентации для программного обеспечения. Лидеры, которые направляют свои команды на соответствующее использование ИИ, достигнут выгод, которые выходят за рамки снижения риска. Они будут производить качественное, безопасное программное обеспечение быстрее.
Gitlab — самая полная, интеллектуальная платформа Devsecops для инноваций в программном обеспечении. Gitlab позволяет организациям повысить производительность разработчиков, повысить эффективность эксплуатации, снизить риск безопасности и соответствия, а также ускорить цифровые преобразования. Узнайте больше последних из Gitlab Trending Stories YouTube.com/ThenewStack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Джош Лемос является главным сотрудником информационной безопасности в Gitlab Inc., где он приносит 20 -летний опыт ведущего команд информационной безопасности к своей роли. Джош руководил командами безопасности в многочисленных технологических компаниях с высоким ростом, включая ServiceNow, Cylance и большинство … Подробнее от Josh Lemos
