jueves, 11 de abril de 2024

Por qué los MLBOM son útiles para proteger la cadena de suministro de IA/ML

 Por qué los MLBOM son útiles para proteger la cadena de suministro de IA/ML

Un marco de lista de materiales de aprendizaje automático (MLBOM) puede aportar transparencia, auditabilidad, control y conocimiento forense de las cadenas de suministro de IA y ML.


Los días de las aplicaciones grandes y monolíticas se están desvaneciendo. Las aplicaciones actuales dependen de microservicios y reutilización de código, lo que facilita el desarrollo pero crea complejidad cuando se trata de rastrear y administrar los componentes que utilizan. 

Es por eso que la  lista de materiales de software (SBOM)  se ha convertido en una herramienta indispensable para identificar lo que hay en una aplicación de software, incluidos los componentes, las versiones y las dependencias que residen dentro de los sistemas. Los SBOM también brindan información detallada sobre las dependencias, vulnerabilidades y riesgos que influyen en la ciberseguridad.

Un SBOM permite a los CISO y otros líderes empresariales centrarse en lo que realmente importa al proporcionar un inventario actualizado de componentes de software. Esto hace que sea más fácil establecer y hacer cumplir una gobernanza sólida y detectar problemas potenciales antes de que se salgan de control.

Sin embargo, en la era de la inteligencia artificial (IA), el SBOM clásico tiene algunas limitaciones. Los marcos emergentes de aprendizaje automático (ML) presentan oportunidades notables, pero también amplían los límites del riesgo e introducen un nuevo activo para las organizaciones: el modelo de aprendizaje automático. Sin una supervisión y controles estrictos sobre estos modelos,   pueden surgir  una serie de problemas prácticos, técnicos y legales.

Ahí es donde las listas de materiales de aprendizaje automático (MLBOM) entran en escena. El marco rastrea nombres, ubicaciones, versiones y licencias de los activos que componen un modelo de ML. También incluye información general sobre la naturaleza del modelo, configuraciones de entrenamiento integradas en los metadatos, quién es el propietario, varios conjuntos de características, requisitos de hardware y más.

Por qué son importantes las MLBOM

Los CISO se están dando cuenta de que la IA y el ML requieren un modelo de seguridad diferente, y los datos de entrenamiento subyacentes y los modelos que los ejecutan con frecuencia no son rastreados ni gobernados. Un MLBOM puede ayudar a una organización a evitar riesgos y fallas de seguridad. Aborda factores críticos como la procedencia del modelo y los datos, las calificaciones de seguridad y los cambios dinámicos que se extienden más allá del alcance de SBOM.

Debido a que los entornos de aprendizaje automático están en un estado de cambio constante y los cambios pueden ocurrir con poca o ninguna interacción humana, los problemas relacionados con la coherencia de los datos (incluido dónde se originaron, cómo se limpiaron y cómo se etiquetaron) son una preocupación constante.

Por ejemplo, si un analista de negocios o un científico de datos determina que un conjunto de datos está envenenado, MLBOM simplifica la tarea de encontrar todos los puntos de contacto y modelos que se entrenaron con esos datos. 

Los MLBOM pueden elevar la protección

La transparencia, la auditabilidad, el control y el conocimiento forense son características distintivas de una MLBOM. Con una visión integral de los "ingredientes" que forman parte de un modelo de ML, una organización está equipada para gestionar sus modelos de ML de forma segura.

A continuación se muestran algunas formas de crear un marco de mejores prácticas en torno a un MLBOM:

  • Reconocer la necesidad de un MLBOM:  no es ningún secreto que el aprendizaje automático impulsa la innovación empresarial e incluso la disrupción. Sin embargo, también introduce riesgos importantes que pueden extenderse a la reputación, el cumplimiento normativo y cuestiones legales. Tener visibilidad de los modelos de ML es de vital importancia.

  • Llevar a cabo la debida diligencia esencial:  una MLBOM debe integrarse con el proceso de CI/CD y ofrecer un alto nivel de claridad. La compatibilidad con marcos estándar como JSON o  CycloneDX de OWASP  puede unificar los procesos SBOM y MLBOM.

  • Analice políticas, procesos y gobernanza:  es esencial sincronizar un MLBOM con los flujos de trabajo y los procesos comerciales de una organización. Esto aumenta las probabilidades de que los canales de ML funcionen según lo previsto, al tiempo que minimiza los riesgos relacionados con la ciberseguridad, la privacidad de los datos, el cumplimiento y otras áreas asociadas a los riesgos.

  • Utilice un MLBOM con puertas de aprendizaje automático:  controles y puertas de enlace rigurosos conducen a barreras de seguridad esenciales para IA y aprendizaje automático. De esta manera, la empresa y el CSO pueden aprovechar los éxitos y aprovechar el aprendizaje automático para desbloquear mayores ahorros de costos, ganancias de rendimiento y valor comercial.

El aprendizaje automático está cambiando radicalmente el panorama empresarial y de TI. Al extender las metodologías SBOM probadas al ML a través de MLBOM, es posible dar un paso de gigante hacia impulsar el rendimiento del aprendizaje automático y proteger los datos y los activos.

Fuente: https://www.darkreading.com/vulnerabilities-threats/mlboms-are-useful-for-securing-ai-ml-supply-chain



0 comentarios:

Publicar un comentario