人工智能對(duì)科技公司網(wǎng)絡(luò)安全的威脅有多大？

一項(xiàng)對(duì)英國(guó)和美國(guó)400位首席信息安全官的最新調(diào)查顯示，72%的人認(rèn)為AI解決方案會(huì)導(dǎo)致安全漏洞。然而，80%的人表示他們計(jì)劃使用AI工具來(lái)對(duì)抗AI。這再次提醒我們，AI既有希望也有威脅。一方面，AI可以創(chuàng)造前所未有的安全安排，使網(wǎng)絡(luò)安全專家能夠?qū)诳桶l(fā)起進(jìn)攻。另一方面，AI將導(dǎo)致大規(guī)模自動(dòng)化攻擊和極高的復(fù)雜性。對(duì)于夾在這場(chǎng)戰(zhàn)爭(zhēng)中的科技公司來(lái)說(shuō)，關(guān)鍵問(wèn)題是他們應(yīng)該多擔(dān)心以及該如何保護(hù)自己？

當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)

根據(jù)安全公司Cobalt的數(shù)據(jù)，預(yù)計(jì)2024年全球網(wǎng)絡(luò)犯罪將給全球經(jīng)濟(jì)造成9.5萬(wàn)億美元的損失。75%的安全專業(yè)人員觀察到過(guò)去一年中網(wǎng)絡(luò)攻擊的增加，這些攻擊的成本可能每年上升至少15%。對(duì)于企業(yè)來(lái)說(shuō)，情況也相當(dāng)嚴(yán)峻——IBM報(bào)告稱，2023年平均數(shù)據(jù)泄露成本為445萬(wàn)美元，自2020年以來(lái)增加了15%。

在此背景下，網(wǎng)絡(luò)安全保險(xiǎn)的成本上升了50%，企業(yè)現(xiàn)在在風(fēng)險(xiǎn)管理產(chǎn)品和服務(wù)上花費(fèi)了2150億美元。最容易受到攻擊的是醫(yī)療、金融和保險(xiǎn)組織及其合作伙伴?？萍夹袠I(yè)由于初創(chuàng)公司處理大量敏感數(shù)據(jù)、資源有限以及注重快速擴(kuò)展的文化，特別容易受到這些挑戰(zhàn)的影響，往往以犧牲IT基礎(chǔ)設(shè)施和程序?yàn)榇鷥r(jià)。

區(qū)分AI攻擊的挑戰(zhàn)

最引人注目的一項(xiàng)統(tǒng)計(jì)數(shù)據(jù)來(lái)自《CFO雜志》——報(bào)告稱，85%的網(wǎng)絡(luò)安全專業(yè)人員將2024年網(wǎng)絡(luò)攻擊的增加歸因于惡意分子使用生成式AI。然而，仔細(xì)觀察，你會(huì)發(fā)現(xiàn)沒(méi)有明確的統(tǒng)計(jì)數(shù)據(jù)表明這些攻擊是哪些，以及它們的實(shí)際影響是什么。這是因?yàn)槲覀兠媾R的最緊迫問(wèn)題之一是，很難確定網(wǎng)絡(luò)安全事件是否是通過(guò)生成式AI造成的。它可以自動(dòng)生成網(wǎng)絡(luò)釣魚(yú)郵件、社交工程攻擊或其他類型的惡意內(nèi)容。

由于其目標(biāo)是模仿人類內(nèi)容和響應(yīng)，因此很難將其與人類制作的內(nèi)容區(qū)分開(kāi)來(lái)。結(jié)果是，我們尚不知道生成式AI驅(qū)動(dòng)攻擊的規(guī)模或其有效性。如果我們還不能量化問(wèn)題，就很難知道我們應(yīng)該多么擔(dān)憂。

保護(hù)措施和更大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

對(duì)于初創(chuàng)公司來(lái)說(shuō)，最好的行動(dòng)方案是關(guān)注和緩解一般威脅。所有證據(jù)表明，現(xiàn)有的網(wǎng)絡(luò)安全措施和以最佳實(shí)踐數(shù)據(jù)治理程序?yàn)榛A(chǔ)的解決方案足以應(yīng)對(duì)現(xiàn)有的AI威脅。

有點(diǎn)諷刺的是，組織面臨的最大存在威脅并不一定來(lái)自于被惡意使用的AI，而是來(lái)自于員工的粗心使用或未能遵循現(xiàn)有的安全程序。例如，員工在使用ChatGPT等服務(wù)時(shí)共享敏感業(yè)務(wù)信息，可能會(huì)導(dǎo)致這些數(shù)據(jù)在以后被檢索，從而導(dǎo)致機(jī)密數(shù)據(jù)泄露和隨后的黑客攻擊。減少這一威脅意味著要有適當(dāng)?shù)臄?shù)據(jù)保護(hù)系統(tǒng)，并為生成式AI用戶提供更好的教育，讓他們了解所涉及的風(fēng)險(xiǎn)。

教育和提高意識(shí)

教育包括幫助員工了解AI的當(dāng)前能力，特別是在應(yīng)對(duì)網(wǎng)絡(luò)釣魚(yú)和社交工程攻擊方面。最近，一家大公司的財(cái)務(wù)主管在一次深度偽造的電話會(huì)議上被冒充公司CFO的騙子騙走了2500萬(wàn)美元。雖然聽(tīng)起來(lái)很可怕，但仔細(xì)閱讀這起事件，你會(huì)發(fā)現(xiàn)從AI的角度來(lái)看，這并不是特別復(fù)雜，只是比幾年前的一些詐騙手法稍高一籌——當(dāng)時(shí)很多公司（其中很多是初創(chuàng)公司）被模仿其CEO的電子郵件地址的詐騙手段騙走了錢。在這兩種情況下，如果遵循基本的安全和合規(guī)檢查，甚至只是常識(shí)，這些騙局很快就會(huì)被揭穿。教導(dǎo)員工如何識(shí)別AI生成的聲音或外觀以及如何識(shí)別這些攻擊，與擁有健全的安全基礎(chǔ)設(shè)施同樣重要。

簡(jiǎn)而言之，AI對(duì)網(wǎng)絡(luò)安全構(gòu)成了明顯的長(zhǎng)期威脅，但在我們看到更高的復(fù)雜性之前，如果嚴(yán)格遵循現(xiàn)有的安全措施，它們是足夠的。然而，企業(yè)需要繼續(xù)遵循嚴(yán)格的網(wǎng)絡(luò)安全最佳實(shí)踐，隨著威脅的演變不斷審查其流程并教育員工。網(wǎng)絡(luò)安全行業(yè)已經(jīng)習(xí)慣了新的威脅和惡意行為的方法，這并不新鮮——但企業(yè)不能使用過(guò)時(shí)的安全技術(shù)或程序。