Arnica의 CEO가 생성적 AI가 DevOps 보안 솔루션에 미치는 영향을 어떻게 예측하는지

최근 가상 토론에서 Arnica의 CEO이자 공동 창립자인 Nir Valtman이 참여했습니다. Valtman은 Kabbage(CISO), Finastra의 제품 및 데이터 보안 책임자, NCR의 애플리케이션 보안 관리자로서의 경험을 바탕으로 풍부한 사이버 보안 전문가입니다. 그는 Salt Security의 자문 위원회 위원으로도 활동하고 있습니다.

업계의 혁신적인 인물로 알려진 Valtman은 오픈 소스 프로젝트에 크게 기여했으며, 소프트웨어 보안 분야에서 7개의 특허를 보유하고 있습니다. Black Hat, DEF CON, BSides 및 RSA와 같은 주요 사이버 보안 행사에서 초청 강연자로 활동하고 있습니다. Valtman의 지도하에 Arnica는 개발자를 위해 맞춤화된 차세대 애플리케이션 보안 도구를 선도하고 있습니다.

인터뷰 발췌:

A Media: 향후 3-5년 동안 사이버 보안에서 생성 AI의 역할이 어떻게 발전할 것이라고 생각하십니까?

Nir Valtman: 생성 AI가 가장 큰 이점을 제공할 수 있는 부분을 이해하기 시작했습니다. 이것은 기본적으로 안전하도록 개발자에게 도구를 제공함으로써 애플리케이션 보안에서 잠재력을 가지고 있으며, 특히 경험이 적은 개발자들이 이를 달성하는 데 도움을 줄 것입니다.

A Media: 보안에 대한 생성 AI의 적용에 영향을 줄 수 있는 새로운 기술이나 방법론은 무엇입니까?

Valtman: 보안 취약점에 대한 실행 가능한 수정 경로의 필요성이 증가하고 있습니다. 이 과정은 주요 자산의 우선순위를 정하고, 수정 책임자를 식별하며, 효과적으로 위험을 완화하는 것으로 시작됩니다. 생성 AI는 위험 완화에 중요한 역할을 수행할 것이지만, 자산과 책임에 대한 명확한 우선순위가 필요합니다.

A Media: 사이버 보안에서 생성 AI의 잠재력을 극대화하기 위해 기업이 어떤 부분에 투자를 우선해야 합니까?

Valtman: 기업은 특정 소스 코드 취약점을 완화하는 데 일관되고 복잡한 문제 해결에 집중해야 합니다. 생성 AI가 추가적인 응용 프로그램을 보여줌에 따라 투자 우선순위도 발전할 것입니다.

A Media: 생성 AI가 보안 접근 방식을 반응적에서 능동적으로 바꿀 수 있는 방법은 무엇입니까?

Valtman: 생성 AI가 진정으로 예측적이려면, 높은 관련성을 가진 데이터세트에서 학습해야 합니다. 보다 정확한 모델은 AI 기반 결정에 대한 신뢰를 높입니다. 이러한 신뢰를 구축하는 데는 시간이 걸리겠지만, 일단 강력해지면 생성 AI 도구는 최소한의 인간 개입으로 위험을 능동적으로 완화할 수 있습니다.

A Media: 보안을 위해 생성 AI를 통합하기 위해 어떤 조직적 변화가 필요합니까?

Valtman: 조직은 전략적이며 전술적인 조정을 해야 합니다. 의사결정자는 AI 기술의 이점과 위험을 교육받고, 회사의 보안 목표에 맞춰야 합니다. 전술적으로는 AI와 자산, 애플리케이션, 데이터 발견 도구를 통합하기 위한 예산 및 자원을 할당하고, corrective action playbook을 개발해야 합니다.

A Media: 생성 AI가 어떤 보안 문제를 초래할 수 있으며, 이를 어떻게 해결할 수 있습니까?

Valtman: 데이터 개인정보 보호 및 유출은 상당한 위험을 초래합니다. 모델을 내부에서 호스팅하고, 외부 처리 전에 데이터를 익명화하며, 규정 준수를 위한 정기적인 감사 등의 완화 전략이 필요합니다. 또한 모델의 무결성에 대한 우려, 즉 모델 오염 문제는 철저한 취약성 평가 및 고급 침투 테스트를 필요로 합니다.

A Media: 생성 AI가 위협 탐지, 보안 패치 및 기타 프로세스를 자동화할 수 있는 방법은 무엇입니까?

Valtman: 생성 AI는 네트워크 로그 및 거래와 같은 다양한 데이터 소스의 역사적 행동 분석을 통해 위협을 탐지할 수 있습니다. 소프트웨어 개발 과정에서 위협 모델링, 충분한 테스트 범위를 갖춘 자동 패치 배포, 자기 개선able 사고 대응 프로토콜과 같은 잠재적 활용 사례가 있습니다.

A Media: 조직은 생성 AI와 데이터 보호에 대한 어떤 계획이나 전략을 수립해야 합니까?

Valtman: 조직은 데이터 수집, 저장, 사용 및 공유에 대한 명확한 정책을 수립해야 하며, 역할과 책임을 정의해야 합니다. 이러한 정책은 전반적인 사이버 보안 전략과 일치하여 사고 대응, 위반 통지 및 제3자 위험 관리와 같은 데이터 보호 기능을 촉진해야 합니다.