机器学习创造新的攻击面，需要专门的防御

​由于几乎每个行业的企业都将人工智能(AI)技术集成到他们的硬件和软件产品中，机器学习(ML)输入和输出正变得越来越广泛地可供客户使用。这自然引起了恶意行为者的注意。

HiddenLayer的首席执行官ChristopherSestito谈到了机器学习安全注意事项以及企业应该担心的相关威胁。

企业正在慢慢意识到机器学习可以为他们开辟的途径。但是，他们是否也密切关注网络安全？

很少有企业专注于保护他们的机器学习资产，更少的企业将资源分配给机器学习安全。造成这种情况的原因有很多，包括竞争的预算优先事项、人才稀缺，以及直到最近还缺乏针对此问题的安全产品。

在过去的十年中，我们看到每个行业都以前所未有的方式采用人工智能/机器学习，以应对每个可用数据的用例。优势已得到证实，但正如我们在其他新技术中看到的那样，它们很快成为恶意行为者的新攻击面。

随着机器学习操作的进步，数据科学团队在有效性、效率、可靠性和可解释性方面正在构建更成熟的人工智能生态系统，但安全性尚未得到优先考虑。对于企业企业来说，这不再是一条可行的道路，因为攻击机器学习L系统的动机很明确，攻击工具可用且易于使用，并且潜在目标正以前所未有的速度增长。

攻击者如何利用公开的机器学习输入？

随着机器学习模型被集成到越来越多的生产系统中，它们正在硬件和软件产品、Web应用程序、移动应用程序等领域向客户展示。这种趋势通常被称为“边缘人工智能”，它为我们每天使用的所有技术带来了令人难以置信的决策能力和预测能力。向越来越多的最终用户提供机器学习同时将这些相同的机器学习资产暴露给威胁参与者。

未通过网络公开的机器学习模型也面临风险。可以通过传统的网络攻击技术访问这些模型，为对抗性机器学习机会铺平道路。一旦威胁参与者获得访问权限，他们就可以使用多种类型的攻击。推理攻击试图映射或“反转”模型，从而能够利用模型的弱点、篡改总体产品的功能或复制和窃取模型本身。

人们已经看到了这种攻击安全供应商绕过防病毒或其他保护机制的真实例子。攻击者还可以选择毒化用于训练模型的数据，以误导系统学习不正确，并使决策制定有利于攻击者。

企业应该特别担心哪些针对机器学习系统的威胁？

虽然需要防御所有对抗性机器学习攻击类型，但不同的企业将有不同的优先级。利用机器学习模型识别欺诈交易的金融机构将高度关注防御推理攻击。

如果攻击者了解欺诈检测系统的优势和劣势，他们可以使用它来改变他们的技术以不被发现，完全绕过模型。医疗保健企业可能对数据中毒更敏感。医学领域是最早使用其海量历史数据集通过机器学习预测结果的采用者。

数据中毒攻击可能导致误诊、改变药物试验结果、歪曲患者群体等。安全企业本身目前正专注于机器学习绕过攻击，这些攻击被积极用于部署勒索软件或后门网络。

在部署机器学习驱动系统时，首席信息安全官（CISO）应牢记哪些主要安全注意事项？

如今能给首席信息安全官（CISO）的最好建议是接受我们已经在新兴技术中学到的模式。就像我们在云基础设施方面的进步一样，机器学习部署代表了一个新的攻击面，需要专门的防御。使用Microsoft的Counterfit或IBM的Adversarial Robustness Toolbox等开源攻击工具，进行对抗性机器学习攻击的门槛每天都在降低。

另一个主要考虑因素是，其中许多攻击并不明显，如果不寻找它们，可能无法理解它们正在发生。作为安全从业者，已经习惯了勒索软件，这清楚地表明一个企业受到了攻击，数据被锁定或被盗。对抗性机器学习攻击可以定制为在更长的时间内发生，并且有些攻击（例如数据中毒）可能是一个较慢但具有永久性破坏性的过程。​