构建云端AI战略的完整指南

本文深入探讨了企业如何制定云端AI战略,涵盖云迁移关键步骤、物联网安全挑战以及AI风险管理框架,为构建安全的云端人工智能系统提供实用指导。

如何为云端创建AI战略

在这篇独家专访中,亚太地区的云安全架构师和网络安全顾问Mayank Sharma分享了关于云迁移的关键见解,以及如何管理物联网(IoT)网络安全战略。

Mayank Sharma,云安全架构师和网络安全顾问

Cyber Security Hub:将关键基础设施迁移到云端时应考虑哪些步骤?

Mayank Sharma: 首先,要明确您希望通过云实现什么目标,可能是增加更多自动化、智能决策或引入预测分析。找到这个业务需求可能是过程中最重要的步骤。在此步骤中,要让业务利益相关者、IT经理和企业架构师参与进来。当您知道要创建什么时,研究云可以提供的服务来支持您实现这一目标。这个"愿景"是推动所有未来工作的关键文件。

其次,根据业务需求为云端的关键基础设施创建战略。这应包括诸如将在云端为关键基础设施存在的功能等项目。您的战略制定应包括:

  • 监管评估(例如,隐私或任何其他适用的法规)
  • 安全评估
  • 安全运营模型
  • 治理框架

在制定战略时,研究您的云安全解决方案是否具有与当前本地环境相同的安全能力。还应考虑作为迁移到云端的一部分会引入哪些新威胁,对它们进行威胁建模,并查看缓解后的威胁是否在业务的风险承受范围内。如果超出风险承受范围,则考虑需要哪些额外努力才能将其纳入风险承受范围内。

第三,创建迁移计划。这是迁移活动中涉及的各种元素的更详细版本。迭代方法总是比"大爆炸"方法更好,因此不要过于雄心勃勃,一次性移动所有基础设施。从不太关键的资产开始的分阶段迁移总是更可取的。还要评估此迁移计划的整体安全性。

最后,持续审查云环境,确保其保持安全、可靠和成本效益。定期进行安全和合规性审计,以确保基础设施符合监管要求和行业最佳实践。云比传统的本地基础设施动态得多,因此要继续评估新服务并开发强大的服务启用流程,以快速上线任何新服务。

“简而言之,物联网已经改写了规则书。”

CSH:网络安全专业人员可能面临物联网(IoT)4.0带来的哪些挑战?

MS: 简而言之,物联网已经改写了规则书。挑战是双重的;首先是正在收集的数据量。这些设备在人们的家中或由他们佩戴,正在检查他们的活动并收集敏感数据,如私人健康数据。这些信息通常发送到云端,为最终用户提供有意义的分析或输入关键业务流程。这些信息本质上极其敏感,必须小心处理。

其次,传统上,大型组织中的设备上线是一个详尽的过程,然而对于这些范围广泛的设备(从电视到智能手机,到太阳镜,到智能手表),为所有类型的物联网设备创建一个有凝聚力的战略极具挑战性。

物联网甚至更严重地扰乱了关键基础设施!历史上,普渡模型是工业控制系统和运营技术(OT)的首选模型。它将不同的过程分段到不同的网络中,并通过防火墙隔离不同段来确保安全。它还包括OT和IT系统之间非常严格的网络分离。

物联网4.0扰乱了这种安全模型。普渡模型无法原生与云系统和物联网4.0(或工业物联网)集成,同时也模糊了IT和OT之间的界限。因此,通过网络分段实现的安全控制在物联网4.0中不再有效。使事情更棘手的是,通常工业系统的设计寿命非常长,以数十年计,并且可能包含在此时间内可能变得易受攻击的协议。

与IT和云的连接为威胁行为者提供了利用这些漏洞的攻击面。不用说,人们可能因受损的工业系统而遭受物理伤害,因此风险非常高。

CSH:网络安全专业人员如何创建和管理物联网网络安全战略?

MS: 物联网是一个快速发展的领域,正在颠覆组织的运营方式和与环境的互动。随着更多设备变得互联,组织必须清晰理解物联网的战略需求,并制定全面的安全战略以防范潜在威胁,这一点日益重要。

战略的第一个要素是创建关于物联网设备本身的战略。这应涵盖设备将如何上线,而在此步骤中应讨论它们将如何部署和维护(例如,固件升级和退役)。在此阶段应审查这些设备的物理安全。最后,在创建关于物联网设备的战略时,还应详细讨论应收集多少数据。

战略的第二个要素是分析。此步骤主要处理分析引擎的安全性,其中从物联网设备接收的信号中衍生出有意义的信息。在此步骤中应审查数据安全和用户隐私。

第三个要素是集成。此要素主要处理分析引擎与其他业务系统之间集成的安全性。

在制定设备、分析引擎和集成的安全战略时,深入探讨身份验证和授权的安全领域(例如,设备将如何与组织进行身份验证,并确保只有授权设备可以访问网络)。

所有传输的数据应使用弹性加密算法进行加密,以防止未经授权的访问和"窃听"。应实施数据保护、数据访问控制和数据删除策略,以确保数据始终受到保护。随着组织的成熟,可以开发安全模式以重用内部能力,并进一步增强物联网网络的安全性。

“想象一下失控的AI模型对组织的后果!”

CSH:组织如何为云端创建AI战略?

MS: 人工智能(AI)领域正在迅速发展,并有可能改变各个行业的企业。然而,AI的引入也带来了重大风险,特别是在AI模型未得到适当管理或发生故障的情况下。

想象一下失控的AI模型对组织的后果!

为了减轻这些风险,企业领导者必须确保AI的开发遵循安全开发实践;在训练AI模型时使用高质量数据,并进行持续治理,以确保模型保持可信且无偏见。

一个明确界定的AI战略的开发应基于这三个原则。首先,重要的是确定:

  • 使用AI的背景
  • 组织愿意承担的风险量
  • 与引入AI系统相关的风险

然后应评估这些风险并引入适当的缓解控制。最后,应开发一个矩阵来有效监控关键风险指标(KRIs)和关键绩效指标(KPIs)。

总体而言,一个明确界定的AI战略对于企业最大化AI潜力同时减轻风险至关重要。关于此事的一个好资源是美国国家标准与技术研究院(NIST)的AI风险管理框架。

在Cyber Security Hub的All Access:Cloud Security APAC活动中,通过他的会议"如何采用云并治理它"听取Mayank Sharma关于云、物联网和AI的更多见解。立即点播观看!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次