构建云端AI战略的关键步骤与实践指南

本文深入探讨了云端AI战略的制定方法,涵盖云迁移关键步骤、物联网安全挑战以及AI风险管理框架,为企业构建安全的云端AI系统提供实用指导。

云端关键基础设施迁移步骤

Cyber Security Hub: 将关键基础设施迁移到云端时应考虑哪些步骤? Mayank Sharma: 首先,明确您希望通过云端实现什么目标,可能是增加更多自动化、智能决策或引入预测分析。找到这个业务需求可能是过程中最重要的步骤。在此步骤中,需要让业务利益相关者、IT经理和企业架构师参与进来。当您知道要创建什么时,研究云端可以提供的服务来支持您实现这一目标。这个"愿景"是驱动所有未来工作的关键文档。

其次,基于业务需求为云端的关键基础设施创建策略。这应包括诸如将在云端为关键基础设施存在的能力等项目。您的策略制定应包括:

  • 监管评估(例如,隐私或任何其他适用的法规)
  • 安全评估
  • 安全运营模型
  • 治理框架

在制定策略时,研究您的云安全解决方案是否具有与当前本地环境相同的安全能力。还应考虑作为迁移到云端的一部分引入了哪些新威胁,对其进行威胁建模,并查看缓解的威胁是否在业务的风险承受范围内。如果超出风险承受范围,则考虑需要哪些额外努力将其纳入风险承受范围内。

第三,创建迁移计划。这是迁移活动中涉及的各种元素的更详细版本。迭代方法总是比"大爆炸"方法更好,因此尽量不要过于雄心勃勃,一次性移动所有基础设施。从不太关键的资产开始的分阶段迁移总是更可取的。还要评估此迁移计划的整体安全性。

最后,持续审查云端环境,确保其保持安全、可靠和成本效益。进行定期的安全和合规性审计,确保基础设施符合监管要求和行业最佳实践。云比传统的本地基础设施动态得多,因此继续评估新服务并开发强大的服务启用流程以快速上线任何新服务。

物联网4.0带来的网络安全挑战

CSH: 网络安全专业人员可能面临物联网4.0带来的哪些挑战? MS: 简而言之,物联网改写了规则书。挑战是双重的;首先是正在收集的数据量。这些设备在人们的家中或由他们佩戴,正在检查他们的移动并收集敏感数据,如私人健康数据。这些信息通常发送到云端,为最终用户提供有意义的分析或输入关键业务流程。这些信息本质上极其敏感,必须小心处理。

其次,传统上,大型组织中的设备上线是一个详尽的过程,然而对于这些范围广泛的设备(从电视到智能手机,到太阳镜,到智能手表),为所有类型的物联网设备创建统一策略极具挑战性。

物联网对关键基础设施的颠覆更大!历史上,普渡模型是工业控制系统和操作技术(OT)的首选模型。它将不同的过程分段在不同的网络中,并通过防火墙不同的段来确保安全维护。它还包括OT和IT系统之间非常严格的网络分离。

物联网4.0颠覆了这种安全模型。普渡无法本地集成云端系统和物联网4.0 - 或工业物联网 - 也模糊了IT和OT之间的界限。因此,通过网络分段的安全控制在物联网4.0中不再有效。使事情更加棘手的是,通常工业系统设计为非常长的使用寿命,按数十年计,并且可能包含在此时间内可能变得易受攻击的协议。

与IT和云的连接为威胁行为者提供了利用这些漏洞的攻击面。不用说,人们可能因受损的工业系统而遭受物理伤害,因此风险非常高。

创建和管理物联网网络安全策略

CSH: 网络安全专业人员如何创建和管理物联网网络安全策略? MS: 物联网是一个快速发展的领域,正在颠覆组织运营和与环境互动的方式。随着更多设备变得连接,组织必须清楚了解物联网的战略需求,并制定全面的安全策略以防范潜在威胁。

策略的第一个要素是创建关于物联网设备本身的策略。这应涵盖设备将如何上线,而应在此步骤讨论它们将如何部署和维护(例如,固件升级和退役)。这些设备的物理安全应在此阶段审查。最后,在创建关于物联网设备的策略时,还应详细讨论应收集多少数据。

策略的第二个要素是分析。此步骤主要处理分析引擎的安全性,其中从物联网设备接收的信号中得出有意义的信息。应在此步骤审查数据安全和用户隐私。

第三个要素是集成。此要素主要处理分析引擎与其他业务系统之间集成的安全性。

在制定设备、分析引擎和集成的安全策略时,深入研究身份验证和授权的安全领域(例如,设备将如何与组织进行身份验证,并确保只有授权设备可以访问网络)。

所有传输的数据应使用弹性加密算法加密,以防止未经授权的访问和"窃听"。应实施数据保护、数据访问控制和数据删除策略,确保数据始终受到保护。随着组织的成熟,可以开发安全模式以重用内部能力,并进一步增强物联网网络的安全性。

为云端创建AI策略

CSH: 组织如何为云端创建AI策略? MS: 人工智能(AI)领域正在迅速发展,并有可能改变各个行业的企业。然而,AI的引入也带来了重大风险,特别是如果AI模型未得到适当管理或发生故障。

想象一下失控的AI模型对组织的后果!

为了减轻这些风险,业务领导者必须确保AI的开发遵循安全开发实践;在训练AI模型时使用高质量数据,并进行持续治理,确保模型保持可信且无偏见。

明确定义的AI策略应基于这三个原则开发。首先,重要的是确定:

  • 将使用AI的背景
  • 组织愿意承担的风险量
  • 与引入AI系统相关的风险

然后应评估这些风险并引入适当的缓解控制。最后,应开发矩阵以有效监控关键风险指标(KRI)和关键绩效指标(KPI)。

总体而言,明确定义的AI策略对于企业最大化AI潜力同时减轻风险至关重要。关于此事的一个良好资源是美国国家标准与技术研究院(NIST)的AI风险管理框架。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次