企业不应回避利用AI工具,但需要找到最大化效率和缓解企业风险之间的平衡点。他们需要做到以下几点:
制定无缝的AI安全政策
以往,AI可能只是开发人员或专家交互的技术,但如今,公司各层级的员工都使用AI来协助他们完成各种任务。因此,企业必须教育所有员工,让他们了解哪些大型语言模型和智能体应用程序是他们被授权使用的,以及他们可以与这些系统共享哪些类型的数据。
公司要安全地部署和利用这项技术,制定一个明确的安全政策至关重要。这项技术将继续快速发展和创新,赋予自动化和机器在企业决策中更大的权力,而公司的第一道防线就是一个清晰、易懂的AI政策,让整个公司都了解并遵守。
执行安全政策也意味着为企业定义可接受的风险评级,以及随着环境变化重新确定风险评级的优先级。
总会有错误和误报。不同的企业根据其运营和数据敏感性,有不同的风险承受能力或不同的解释。
企业必须牢记,安全政策的目标不是打断员工的工作流程或使其难以遵守,而是最终保护企业和其客户。安全政策越是无缝衔接,公司内部人员就越不可能为了利用AI创新而绕过它们。
确保开发人员具备安全编码知识
除了围绕AI的使用制定明确的安全政策外,公司还必须考虑其开发人员使用新的AI工具和智能体来帮助他们更快编写代码的愿望。在这种情况下,公司必须确保其安全团队已经测试了这些潜在的AI工具,并且他们的开发人员已经接受了安全编码培训,具备对常见漏洞、安全设计原则和软件功能安全实现的广泛知识,并且要不断提升自己。
开发人员拥有这样的知识可能是阻止漏洞在生产环境中发生的关键,也是保护企业免受可能因AI采用增加而产生的潜在漏洞和恶意攻击的关键。
然而,现实是,只有少数开发人员在大学或学院环境中学习,而且,即使在美国排名前50的本科计算机科学课程中,也没有一门课程要求主修生学习安全代码或应用程序安全。
开发人员需要具备超越基本编码知识的安全编码思维方式。开发人员编写的代码需要清晰、优雅且安全。如果不是这样,那么编写的代码就会受到攻击。因此,由行业推动的安全编码培训是必不可少的,并且必须融入企业的文化中,尤其是在当前技术裁员加剧已经普遍存在的应用程序安全困境的时代。
此培训应:
超越“勾选框”式的意识
一次性教育计划已经不够了;教育必须是一个不断发展的过程,以更好地理解和做出架构决策。它永远都不应是一种“一次性”的“勾选框”方法,而是一个持续的过程。在这个恶意智能体快速发展、零日漏洞频发以及供应链融入越来越多复杂元素的时代,教育必须与安全威胁同步发展,以赋予团队当前的知识。
设定可衡量的目标
为了确保任何培训计划都能成功,重要的是要收集可用于衡量进度的信息。例如,这可能是培训前后开发人员代码中出现的漏洞数量。
随着开发人员通过培训不断进步,提供反馈有助于激励他们改进,并确保员工继续参与其安全倡导者计划。提供有形的报告也有助于获得利益相关者的支持和认可。通过分享已证实的成功,安全培训就不必再不断向董事会辩护。
保持相关性
重要的是,培训要根据开发人员日常的问题和工作流程进行调整,使用他们相关的编程语言,并针对他们在企业中的具体角色。如果教育过于先进、过于基础或与开发人员每天使用的语言和问题无关,那么它将不会引起共鸣。更重要的是,必须为开发人员提供上下文——不仅仅是解决方案是什么,还有为什么它很重要。
激励安全方面的成功
企业应该为那些在日常工作中始终遵循安全最佳实践的人提供奖励和激励。这些不必是金钱奖励,而是最适合公司业务文化的奖励。然后,这些安全“倡导者”可以树立榜样、吸引他人,并有机地推动变革。