IEEE:在人工智能時代,基本的網(wǎng)絡(luò)衛(wèi)生就足夠了嗎?
多年來,強(qiáng)密碼、定期備份數(shù)據(jù)和多重身份驗(yàn)證一直被認(rèn)為是消費(fèi)者和企業(yè)網(wǎng)絡(luò)安全的基本實(shí)踐,有助于保護(hù)個人信息的安全。
這三大支柱是所謂網(wǎng)絡(luò)衛(wèi)生的基礎(chǔ),它們幫助人們保護(hù)個人信息的安全。但現(xiàn)在,我們正在進(jìn)入一個新的網(wǎng)絡(luò)安全范式,在這個范式中,生成人工智能可以用來解決人類和技術(shù)的弱點(diǎn)問題。
這就提出了一個問題:這些基本的網(wǎng)絡(luò)衛(wèi)生做法是否足以抵御新出現(xiàn)的與人工智能相關(guān)的網(wǎng)絡(luò)威脅?
IEEE高級會員Kayne McGladrey表示,隨著生成式人工智能的崛起,網(wǎng)絡(luò)威脅也迎來了新的挑戰(zhàn),如商業(yè)電子郵件欺詐、深偽技術(shù)和生成攻擊代碼。
McGladrey說:“這些威脅不僅僅是理論上的,盡管目前它們的應(yīng)用仍然相對有限。有理由預(yù)計,威脅行為者將繼續(xù)尋找生成人工智能的創(chuàng)新新用途,超越商業(yè)電子郵件欺詐、深偽技術(shù)和生成攻擊代碼。”
那么,讓我們來探究一下這些網(wǎng)絡(luò)攻擊是什么:
- 商業(yè)電子郵件泄露(BEC):BEC攻擊涉及威脅行為者泄露高管電子郵件賬戶,操縱個人進(jìn)行未經(jīng)授權(quán)的交易。傳統(tǒng)上,這些攻擊在很大程度上依賴于模仿高管的寫作風(fēng)格。然而,生成型人工智能現(xiàn)在不僅可以模仿寫作風(fēng)格,還可以模仿高管的語氣,從而增強(qiáng)BEC攻擊的可擴(kuò)展性和有效性。多重身份驗(yàn)證被視為防止電子郵件泄露的最佳防御措施。
- 深偽技術(shù):深偽技術(shù)使用人工智能技術(shù)制作令人信服和欺騙性的音頻和視頻內(nèi)容。威脅行為者可以使用深偽技術(shù)來針對和冒充個人,這可能會導(dǎo)致錯誤信息、聲譽(yù)受損甚至市場操縱。
- 人工智能生成的攻擊代碼:大多數(shù)惡意行為者不具備創(chuàng)建新漏洞或編寫代碼的技術(shù)技能。相反,他們依靠之前確定的戰(zhàn)術(shù)手冊進(jìn)行攻擊,從暗網(wǎng)中提取代碼。生成型人工智能使威脅行為者能夠創(chuàng)建專門用于利用其他系統(tǒng)漏洞的惡意代碼。
超越基本的網(wǎng)絡(luò)衛(wèi)生
專家指出,即使是網(wǎng)絡(luò)衛(wèi)生方面的微小改進(jìn)也會產(chǎn)生效果,因?yàn)閻阂庑袨檎咄鶗咦枇ψ钚〉牡缆贰?/p>
那么,個人和組織如何補(bǔ)充其基本的網(wǎng)絡(luò)衛(wèi)生實(shí)踐并提高其安全性呢?雖然強(qiáng)密碼、定期備份數(shù)據(jù)和多重身份驗(yàn)證仍然至關(guān)重要,但以下是一些額外的建議步驟:
- 使用安全密鑰:安全密鑰是小型物理設(shè)備,通常通過USB連接到硬件。它們本質(zhì)上是第二種身份驗(yàn)證形式,即使有人知道帳戶密碼,也會拒絕訪問服務(wù)。它們不容易被欺騙,也不像其他形式的多因素身份驗(yàn)證那樣容易發(fā)生網(wǎng)絡(luò)釣魚詐騙。它們在企業(yè)環(huán)境中越來越常見,也被高凈值個人和名人用來保護(hù)對賬戶的訪問。
- 定期軟件更新:保持操作系統(tǒng)和軟件應(yīng)用程序的更新至關(guān)重要。這有助于修補(bǔ)可能被惡意行為者利用的漏洞。
- 基準(zhǔn)參照良好的框架:各組織應(yīng)遵循信譽(yù)良好、值得信賴的來源不斷更新,如NIST網(wǎng)絡(luò)安全框架(CSF)或互聯(lián)網(wǎng)安全關(guān)鍵安全控制中心(CIS-CSC),并定期根據(jù)該框架對其進(jìn)展進(jìn)行基準(zhǔn)測試。
- 教育和培訓(xùn):提高員工、客戶和個人的網(wǎng)絡(luò)安全意識。這包括如何識別釣魚電子郵件的培訓(xùn)、不共享密碼的重要性以及了解公共Wi-Fi的風(fēng)險。
- 使用VPN:使用虛擬專用網(wǎng)絡(luò)(VPN),尤其是在連接到公共Wi-Fi時,可以幫助加密互聯(lián)網(wǎng)流量并保護(hù)數(shù)據(jù)不被攔截。
- 訪問控制和最低特權(quán)原則:組織應(yīng)將訪問權(quán)限限制在需要的人,并定期審查這些權(quán)限。實(shí)施“最低權(quán)限原則”,即用戶對執(zhí)行其角色所需的關(guān)鍵網(wǎng)絡(luò)操作具有最低級別的訪問權(quán)限。
IEEE會員Sukanya Mandal表示:“簡而言之,雖然基本原理至關(guān)重要,但全面的網(wǎng)絡(luò)衛(wèi)生需要多層次的安全方法。這不僅涉及技術(shù)措施,還涉及教育、政策和實(shí)踐,共同構(gòu)建安全文化。”
