L'apprentissage automatique crée de nouvelles surfaces d'attaque, nécessitant des défenses spécialisées

​Alors que les entreprises de presque tous les secteurs intègrent la technologie de l'intelligence artificielle (IA) dans leurs produits matériels et logiciels, les entrées et sorties d'apprentissage automatique (ML) deviennent de plus en plus largement accessibles aux clients. Cela attire naturellement l’attention des acteurs malveillants.

Christopher Sestito, PDG de HiddenLayer, parle des considérations de sécurité de l'apprentissage automatique et des menaces associées dont les entreprises devraient s'inquiéter.

Les entreprises réalisent peu à peu les possibilités que l’apprentissage automatique peut leur ouvrir. Mais accordent-ils également une attention particulière à la cybersécurité ?

Peu d'entreprises se concentrent sur la protection de leurs actifs d'apprentissage automatique, et encore moins allouent des ressources à la sécurité de l'apprentissage automatique. Il y a de nombreuses raisons à cela, notamment des priorités budgétaires concurrentes, la rareté des talents et, jusqu'à récemment, le manque de produits de sécurité permettant de résoudre ce problème.

Au cours de la dernière décennie, nous avons vu tous les secteurs adopter l’IA/l’apprentissage automatique comme jamais auparavant pour aborder chaque cas d’utilisation avec les données disponibles. Les avantages sont avérés, mais comme nous l’avons vu avec d’autres nouvelles technologies, elles deviennent rapidement une nouvelle surface d’attaque pour les acteurs malveillants.

À mesure que les opérations d'apprentissage automatique progressent, les équipes de science des données construisent un écosystème d'IA plus mature en termes d'efficacité, d'efficience, de fiabilité et d'explicabilité, mais la sécurité n'a pas encore été une priorité. Cette voie n'est plus viable pour les entreprises, car les motivations pour attaquer les systèmes d'apprentissage automatique sont claires, les outils d'attaque sont disponibles et faciles à utiliser, et les cibles potentielles augmentent à un rythme sans précédent.

Comment les attaquants peuvent-ils exploiter les entrées publiques d’apprentissage automatique ?

À mesure que les modèles d'apprentissage automatique sont intégrés dans de plus en plus de systèmes de production, ils sont présentés aux clients dans des produits matériels et logiciels, des applications Web, des applications mobiles, etc. Cette tendance, souvent appelée « IA de pointe », apporte d’incroyables capacités décisionnelles et prédictives à toutes les technologies que nous utilisons quotidiennement. Offrir du machine learning à un nombre croissant d’utilisateurs finaux tout en exposant ces mêmes ressources de machine learning aux acteurs malveillants.

Les modèles d'apprentissage automatique qui ne sont pas exposés via le réseau sont également menacés. Ces modèles sont accessibles via des techniques de cyberattaque traditionnelles, ouvrant la voie à des opportunités d’apprentissage automatique contradictoire. Une fois que les acteurs malveillants y ont accès, ils peuvent utiliser plusieurs types d’attaques. Les attaques d'inférence tentent de cartographier ou « d'inverser » un modèle, pouvant ainsi exploiter les faiblesses du modèle, altérer les fonctionnalités du produit dans son ensemble, ou copier et voler le modèle lui-même.

Les gens ont vu des exemples concrets de ces attaques de fournisseurs de sécurité pour contourner les antivirus ou d'autres mécanismes de protection. Un attaquant pourrait également choisir d'empoisonner les données utilisées pour entraîner le modèle afin d'induire le système en erreur et de biaiser la prise de décision en sa faveur.

De quelles menaces pesant sur les systèmes d'apprentissage automatique les entreprises devraient-elles s'inquiéter particulièrement ?

Bien que tous les types d'attaques de machine learning contradictoires doivent être défendus, différentes entreprises auront des priorités différentes. Les institutions financières qui exploitent des modèles d’apprentissage automatique pour identifier les transactions frauduleuses se concentreront fortement sur leur défense contre les attaques par inférence.

Si les attaquants comprennent les forces et les faiblesses d'un système de détection de fraude, ils peuvent l'utiliser pour modifier leurs techniques afin de ne pas être détectés, en contournant complètement le modèle. Les entreprises de santé peuvent être plus sensibles à l’empoisonnement des données. Le domaine médical a été l’un des premiers à adopter la prévision des résultats grâce à l’apprentissage automatique utilisant ses énormes ensembles de données historiques.

Les attaques d'empoisonnement des données peuvent conduire à des diagnostics erronés, modifier les résultats des essais de médicaments, déformer les groupes de patients, etc. Les entreprises de sécurité elles-mêmes se concentrent actuellement sur les attaques d’évasion par apprentissage automatique, qui sont activement utilisées pour déployer des ransomwares ou des réseaux de portes dérobées.

Quelles sont les principales considérations de sécurité que les responsables de la sécurité de l'information (RSSI) doivent garder à l'esprit lors du déploiement de systèmes basés sur l'apprentissage automatique ?

Le meilleur conseil que vous puissiez donner aujourd'hui aux responsables de la sécurité de l'information (RSSI) est d'adopter les modèles que nous avons appris dans les technologies émergentes. À l’instar de nos avancées en matière d’infrastructure cloud, les déploiements de machine learning représentent une nouvelle surface d’attaque qui nécessite des défenses spécialisées. La barrière à l’entrée des attaques contradictoires d’apprentissage automatique diminue chaque jour grâce à des outils d’attaque open source tels que Counterfit de Microsoft ou Adversarial Robustness Toolbox d’IBM.

Une autre considération majeure est que bon nombre de ces attaques ne sont pas évidentes et on peut ne pas comprendre qu'elles se produisent si vous ne les recherchez pas. En tant que professionnels de la sécurité, nous sommes habitués aux ransomwares, qui indiquent clairement qu’une entreprise a été compromise et que des données ont été verrouillées ou volées. Les attaques adverses de machine learning peuvent être adaptées pour se produire sur des périodes plus longues, et certaines attaques, telles que l’empoisonnement des données, peuvent être un processus plus lent mais dommageable de façon permanente.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!