How cybersecurity is getting AI wrong

Posted on

एआई/एमएल ऑटोमेशन टेक्नोलॉजी समिट के लिए 12 जुलाई को ट्रांसफॉर्म 2021 में एआई और डेटा लीडर्स से जुड़ें। आज पंजीकृत करें।


साइबर सुरक्षा उद्योग तेजी से “शून्य विश्वास” की धारणा को अपना रहा है, जहां आर्किटेक्चर, नीतियां और प्रक्रियाएं इस सिद्धांत द्वारा निर्देशित होती हैं कि किसी पर और किसी पर भी भरोसा नहीं किया जाना चाहिए।

हालांकि, एक ही सांस में, साइबर सुरक्षा उद्योग एआई-संचालित सुरक्षा समाधानों की बढ़ती संख्या को शामिल कर रहा है जो संदर्भ बिंदु के रूप में किसी प्रकार के विश्वसनीय “जमीनी सच्चाई” पर भरोसा करते हैं।

ये दोनों प्रतीत होता है कि परस्पर विरोधी दर्शन कैसे सह-अस्तित्व में हो सकते हैं?

यह कोई काल्पनिक चर्चा नहीं है। संगठन अपनी सुरक्षा प्रथाओं में एआई मॉडल पेश कर रहे हैं जो उनके व्यवसाय के लगभग हर पहलू को प्रभावित करते हैं, और सबसे जरूरी सवालों में से एक यह है कि क्या नियामक, अनुपालन अधिकारी, सुरक्षा पेशेवर और कर्मचारी इन सुरक्षा मॉडलों पर बिल्कुल भी भरोसा कर पाएंगे।

चूंकि एआई मॉडल परिष्कृत, अस्पष्ट, स्वचालित और बार-बार विकसित हो रहे हैं, इसलिए एआई-प्रमुख वातावरण में विश्वास स्थापित करना मुश्किल है। फिर भी विश्वास और जवाबदेही के बिना, इनमें से कुछ मॉडलों को जोखिम-निषेधात्मक माना जा सकता है और इसलिए अंततः उनका उपयोग, हाशिए पर या पूरी तरह से प्रतिबंधित किया जा सकता है।

एआई भरोसेमंदता से जुड़े मुख्य बाधाओं में से एक डेटा के इर्द-गिर्द घूमता है, और अधिक विशेष रूप से, डेटा की गुणवत्ता और अखंडता सुनिश्चित करता है। आखिरकार, एआई मॉडल केवल उतना ही अच्छा है जितना वे उपभोग करते हैं।

और फिर भी, इन बाधाओं ने साइबर सुरक्षा विक्रेताओं को हतोत्साहित नहीं किया है, जिन्होंने एआई मॉडल पर अपने समाधान को आधार बनाने के लिए अटूट उत्साह दिखाया है। ऐसा करके, विक्रेता विश्वास की छलांग लगा रहे हैं, यह मानते हुए कि डेटासेट (चाहे सार्वजनिक या मालिकाना) उनके मॉडल पर्याप्त रूप से वास्तविक जीवन परिदृश्यों का प्रतिनिधित्व कर रहे हैं जो इन मॉडलों का भविष्य में सामना करेंगे।

एआई-आधारित साइबर सुरक्षा प्रणालियों को शक्ति प्रदान करने के लिए उपयोग किए जाने वाले डेटा को और भी कई समस्याओं का सामना करना पड़ता है:

डेटा विषाक्तता: खराब अभिनेता डेटासेट (और यहां तक ​​कि पूर्व-प्रशिक्षित मॉडल) में हेरफेर करके प्रशिक्षण डेटा को “जहर” कर सकते हैं, जिस पर एआई मॉडल भरोसा कर रहे हैं। यह उन्हें साइबर सुरक्षा नियंत्रणों को दरकिनार करने की अनुमति दे सकता है, जबकि जोखिम में संगठन इस तथ्य से बेखबर रहता है कि अपने बुनियादी ढांचे को सुरक्षित करने के लिए जिस जमीनी सच्चाई पर निर्भर है, उससे समझौता किया गया है। इस तरह के हेरफेर से सूक्ष्म विचलन हो सकते हैं, जैसे सुरक्षा नियंत्रण दुर्भावनापूर्ण गतिविधि को सौम्य के रूप में लेबल करते हैं, या सुरक्षा नियंत्रणों को बाधित या अक्षम करके अधिक गहरा प्रभाव उत्पन्न करते हैं।

डेटा गतिशीलता: एआई मॉडल “शोर” को संबोधित करने के लिए बनाए गए हैं, लेकिन साइबर स्पेस में, दुर्भावनापूर्ण त्रुटियां यादृच्छिक नहीं हैं। सुरक्षा पेशेवरों को गतिशील और परिष्कृत विरोधियों का सामना करना पड़ता है जो समय के साथ सीखते और अनुकूलित होते हैं। अधिक सुरक्षा-संबंधी डेटा जमा करने से एआई-संचालित सुरक्षा मॉडल में सुधार हो सकता है, लेकिन साथ ही, यह विरोधियों को अपने तौर-तरीकों को बदलने के लिए प्रेरित कर सकता है, मौजूदा डेटा और एआई मॉडल की प्रभावकारिता को कम कर सकता है। डेटा, इस मामले में, प्रेक्षित वास्तविकता को स्नैपशॉट के रूप में सांख्यिकीय रूप से प्रस्तुत करने के बजाय सक्रिय रूप से आकार दे रहा है।

उदाहरण के लिए, जबकि अतिरिक्त डेटा पॉइंट एक पारंपरिक मैलवेयर डिटेक्शन मैकेनिज्म को सामान्य खतरों की पहचान करने में अधिक सक्षम बना सकते हैं, यह सैद्धांतिक रूप से, एआई मॉडल की उपन्यास मैलवेयर की पहचान करने की क्षमता को कम कर सकता है जो ज्ञात दुर्भावनापूर्ण पैटर्न से काफी भिन्न होता है। यह उसी तरह है जैसे उत्परिवर्तित वायरल वेरिएंट एक प्रतिरक्षा प्रणाली से बचते हैं जिसे मूल वायरल स्ट्रेन की पहचान करने के लिए प्रशिक्षित किया गया था।

अज्ञात अज्ञात: अज्ञात अज्ञात साइबरस्पेस में इतने प्रचलित हैं कि कई सेवा प्रदाता अपने ग्राहकों को इस धारणा पर अपनी सुरक्षा रणनीति बनाने का उपदेश देते हैं कि उनका पहले ही उल्लंघन हो चुका है। एआई मॉडल के लिए चुनौती इस तथ्य से उत्पन्न होती है कि ये अज्ञात अज्ञात, या ब्लाइंड स्पॉट, मॉडल के प्रशिक्षण डेटासेट में मूल रूप से शामिल हैं और इसलिए अनुमोदन की मुहर प्राप्त करते हैं और एआई-आधारित सुरक्षा नियंत्रण से कोई अलार्म नहीं उठा सकते हैं।

उदाहरण के लिए, कुछ सुरक्षा विक्रेता उपयोगकर्ता के व्यवहार की एक व्यक्तिगत आधार रेखा बनाने के लिए उपयोगकर्ता विशेषताओं के एक स्लेट को जोड़ते हैं और इस आधार रेखा से अपेक्षित अनुमेय विचलन निर्धारित करते हैं। आधार यह है कि ये विक्रेता एक मौजूदा मानदंड की पहचान कर सकते हैं जो उनके सुरक्षा मॉडल के लिए संदर्भ बिंदु के रूप में काम करना चाहिए। हालाँकि, इस धारणा में पानी नहीं हो सकता है। उदाहरण के लिए, एक अनदेखा मैलवेयर पहले से ही ग्राहक के सिस्टम में मौजूद हो सकता है, मौजूदा सुरक्षा नियंत्रण कवरेज अंतराल से ग्रस्त हो सकते हैं, या पहले से न सोचा उपयोगकर्ता पहले से ही चल रहे खाता अधिग्रहण से पीड़ित हो सकते हैं।

त्रुटियाँ: यह मान लेना अतिश्योक्तिपूर्ण नहीं होगा कि मुख्य सुरक्षा-संबंधी प्रशिक्षण डेटासेट भी शायद अशुद्धियों और गलत बयानी से भरे हुए हैं। आखिरकार, कई प्रमुख एआई एल्गोरिदम और खोजपूर्ण डेटा विज्ञान अनुसंधान के लिए कुछ बेंचमार्क डेटासेट गंभीर लेबलिंग दोषों से भरे हुए साबित हुए हैं।

इसके अतिरिक्त, एंटरप्राइज़ डेटासेट समय के साथ अप्रचलित, भ्रामक और गलत हो सकते हैं जब तक कि प्रासंगिक डेटा और इसके वंश के विवरण को अद्यतित नहीं रखा जाता है और प्रासंगिक संदर्भ से बंधे होते हैं।

गोपनीयता-संरक्षण चूक: संगठनों के भीतर और सभी सुरक्षा पेशेवरों के लिए संवेदनशील डेटासेट उपलब्ध कराने के प्रयास में, गोपनीयता-संरक्षण और गोपनीयता-बढ़ाने वाली प्रौद्योगिकियां, पहचान से लेकर सिंथेटिक डेटा के निर्माण तक, अधिक कर्षण प्राप्त कर रही हैं। इन तकनीकों के पीछे संपूर्ण तर्क संवेदनशील जानकारी, जैसे व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) को छोड़ना, बदलना या छिपाना है। लेकिन परिणामस्वरूप, डेटासेट के अंतर्निहित गुण और सांख्यिकीय रूप से महत्वपूर्ण गुण रास्ते में खो सकते हैं। इसके अलावा, जो नगण्य “शोर” लग सकता है, वह कुछ सुरक्षा मॉडलों के लिए महत्वपूर्ण साबित हो सकता है, जो अप्रत्याशित तरीके से आउटपुट को प्रभावित करता है।

रास्ते में आगे

ये सभी चुनौतियां एआई-प्रभुत्व वाले साइबर सुरक्षा उद्योग में विश्वास के द्वीपों को मजबूत करने के चल रहे प्रयासों के लिए हानिकारक हैं। यह वर्तमान परिवेश में विशेष रूप से सच है जहां हमारे पास व्यापक रूप से स्वीकृत एआई व्याख्यात्मकता, जवाबदेही और मजबूती मानकों और ढांचे की कमी है।

जबकि डेटासेट से पूर्वाग्रहों को जड़ से खत्म करने के प्रयास शुरू हो गए हैं, गोपनीयता-संरक्षण एआई प्रशिक्षण को सक्षम करना, और एआई प्रशिक्षण के लिए आवश्यक डेटा की मात्रा को कम करना, अशुद्धियों, अज्ञात अज्ञात, और जोड़तोड़, जो साइबरस्पेस की प्रकृति के लिए आंतरिक हैं। एआई हाइजीन और डेटा क्वालिटी को हमेशा मॉर्फिंग में बनाए रखना, डेटा के भूखे डिजिटल उद्यम समान रूप से कठिन साबित हो सकते हैं।

इस प्रकार, यह डेटा विज्ञान और साइबर सुरक्षा समुदायों पर निर्भर है कि वे मजबूत जोखिम मूल्यांकन और तनाव परीक्षण, बढ़ी हुई दृश्यता और सत्यापन, हार्ड-कोडेड रेलिंग और ऑफसेटिंग तंत्र के लिए डिजाइन, समावेश और वकालत करें जो हमारे डिजिटल पारिस्थितिकी तंत्र में विश्वास और स्थिरता सुनिश्चित कर सकें। एआई के युग में।

ईयाल बालिसर सिटी में ग्लोबल साइबर पार्टनरशिप और प्रोडक्ट इनोवेशन के वरिष्ठ उपाध्यक्ष हैं।

वेंचरबीट

तकनीकी निर्णय लेने वालों के लिए परिवर्तनकारी तकनीक और लेनदेन के बारे में ज्ञान हासिल करने के लिए वेंचरबीट का मिशन एक डिजिटल टाउन स्क्वायर बनना है।

जब आप अपने संगठनों का नेतृत्व करते हैं तो हमारा मार्गदर्शन करने के लिए हमारी साइट डेटा तकनीकों और रणनीतियों पर आवश्यक जानकारी प्रदान करती है। हम आपको हमारे समुदाय का सदस्य बनने के लिए आमंत्रित करते हैं:

  • आपकी रुचि के विषयों पर अप-टू-डेट जानकारी
  • हमारे समाचार पत्र
  • गेटेड विचार-नेता सामग्री और हमारे बेशकीमती आयोजनों के लिए रियायती पहुंच, जैसे रूपांतरण 2021: और अधिक जानें
  • नेटवर्किंग सुविधाएँ, और बहुत कुछ

सदस्य बने

Leave a Reply

Your email address will not be published. Required fields are marked *