人工智能對(duì)科技公司網(wǎng)絡(luò)安全的威脅有多大?
一項(xiàng)對(duì)英國(guó)和美國(guó)400位首席信息安全官的最新調(diào)查顯示,72%的人認(rèn)為AI解決方案會(huì)導(dǎo)致安全漏洞。然而,80%的人表示他們計(jì)劃使用AI工具來(lái)對(duì)抗AI。這再次提醒我們,AI既有希望也有威脅。一方面,AI可以創(chuàng)造前所未有的安全安排,使網(wǎng)絡(luò)安全專家能夠?qū)诳桶l(fā)起進(jìn)攻。另一方面,AI將導(dǎo)致大規(guī)模自動(dòng)化攻擊和極高的復(fù)雜性。對(duì)于夾在這場(chǎng)戰(zhàn)爭(zhēng)中的科技公司來(lái)說(shuō),關(guān)鍵問(wèn)題是他們應(yīng)該多擔(dān)心以及該如何保護(hù)自己?
本文引用地址:http://2s4d.com/article/202406/460106.htm當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)
根據(jù)安全公司Cobalt的數(shù)據(jù),預(yù)計(jì)2024年全球網(wǎng)絡(luò)犯罪將給全球經(jīng)濟(jì)造成9.5萬(wàn)億美元的損失。75%的安全專業(yè)人員觀察到過(guò)去一年中網(wǎng)絡(luò)攻擊的增加,這些攻擊的成本可能每年上升至少15%。對(duì)于企業(yè)來(lái)說(shuō),情況也相當(dāng)嚴(yán)峻——IBM報(bào)告稱,2023年平均數(shù)據(jù)泄露成本為445萬(wàn)美元,自2020年以來(lái)增加了15%。
在此背景下,網(wǎng)絡(luò)安全保險(xiǎn)的成本上升了50%,企業(yè)現(xiàn)在在風(fēng)險(xiǎn)管理產(chǎn)品和服務(wù)上花費(fèi)了2150億美元。最容易受到攻擊的是醫(yī)療、金融和保險(xiǎn)組織及其合作伙伴??萍夹袠I(yè)由于初創(chuàng)公司處理大量敏感數(shù)據(jù)、資源有限以及注重快速擴(kuò)展的文化,特別容易受到這些挑戰(zhàn)的影響,往往以犧牲IT基礎(chǔ)設(shè)施和程序?yàn)榇鷥r(jià)。
區(qū)分AI攻擊的挑戰(zhàn)
最引人注目的一項(xiàng)統(tǒng)計(jì)數(shù)據(jù)來(lái)自《CFO雜志》——報(bào)告稱,85%的網(wǎng)絡(luò)安全專業(yè)人員將2024年網(wǎng)絡(luò)攻擊的增加歸因于惡意分子使用生成式AI。然而,仔細(xì)觀察,你會(huì)發(fā)現(xiàn)沒(méi)有明確的統(tǒng)計(jì)數(shù)據(jù)表明這些攻擊是哪些,以及它們的實(shí)際影響是什么。這是因?yàn)槲覀兠媾R的最緊迫問(wèn)題之一是,很難確定網(wǎng)絡(luò)安全事件是否是通過(guò)生成式AI造成的。它可以自動(dòng)生成網(wǎng)絡(luò)釣魚郵件、社交工程攻擊或其他類型的惡意內(nèi)容。
由于其目標(biāo)是模仿人類內(nèi)容和響應(yīng),因此很難將其與人類制作的內(nèi)容區(qū)分開來(lái)。結(jié)果是,我們尚不知道生成式AI驅(qū)動(dòng)攻擊的規(guī)?;蚱溆行浴H绻覀冞€不能量化問(wèn)題,就很難知道我們應(yīng)該多么擔(dān)憂。
保護(hù)措施和更大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
對(duì)于初創(chuàng)公司來(lái)說(shuō),最好的行動(dòng)方案是關(guān)注和緩解一般威脅。所有證據(jù)表明,現(xiàn)有的網(wǎng)絡(luò)安全措施和以最佳實(shí)踐數(shù)據(jù)治理程序?yàn)榛A(chǔ)的解決方案足以應(yīng)對(duì)現(xiàn)有的AI威脅。
有點(diǎn)諷刺的是,組織面臨的最大存在威脅并不一定來(lái)自于被惡意使用的AI,而是來(lái)自于員工的粗心使用或未能遵循現(xiàn)有的安全程序。例如,員工在使用ChatGPT等服務(wù)時(shí)共享敏感業(yè)務(wù)信息,可能會(huì)導(dǎo)致這些數(shù)據(jù)在以后被檢索,從而導(dǎo)致機(jī)密數(shù)據(jù)泄露和隨后的黑客攻擊。減少這一威脅意味著要有適當(dāng)?shù)臄?shù)據(jù)保護(hù)系統(tǒng),并為生成式AI用戶提供更好的教育,讓他們了解所涉及的風(fēng)險(xiǎn)。
教育和提高意識(shí)
教育包括幫助員工了解AI的當(dāng)前能力,特別是在應(yīng)對(duì)網(wǎng)絡(luò)釣魚和社交工程攻擊方面。最近,一家大公司的財(cái)務(wù)主管在一次深度偽造的電話會(huì)議上被冒充公司CFO的騙子騙走了2500萬(wàn)美元。雖然聽起來(lái)很可怕,但仔細(xì)閱讀這起事件,你會(huì)發(fā)現(xiàn)從AI的角度來(lái)看,這并不是特別復(fù)雜,只是比幾年前的一些詐騙手法稍高一籌——當(dāng)時(shí)很多公司(其中很多是初創(chuàng)公司)被模仿其CEO的電子郵件地址的詐騙手段騙走了錢。在這兩種情況下,如果遵循基本的安全和合規(guī)檢查,甚至只是常識(shí),這些騙局很快就會(huì)被揭穿。教導(dǎo)員工如何識(shí)別AI生成的聲音或外觀以及如何識(shí)別這些攻擊,與擁有健全的安全基礎(chǔ)設(shè)施同樣重要。
簡(jiǎn)而言之,AI對(duì)網(wǎng)絡(luò)安全構(gòu)成了明顯的長(zhǎng)期威脅,但在我們看到更高的復(fù)雜性之前,如果嚴(yán)格遵循現(xiàn)有的安全措施,它們是足夠的。然而,企業(yè)需要繼續(xù)遵循嚴(yán)格的網(wǎng)絡(luò)安全最佳實(shí)踐,隨著威脅的演變不斷審查其流程并教育員工。網(wǎng)絡(luò)安全行業(yè)已經(jīng)習(xí)慣了新的威脅和惡意行為的方法,這并不新鮮——但企業(yè)不能使用過(guò)時(shí)的安全技術(shù)或程序。
評(píng)論