從美國大選造謠視頻到AI編寫的網絡釣魚郵件，深度偽造（deepfake）詐騙和生成式人工智能攻擊日益猖獗，人眼越來越難以辨識，企業迫切需要為網絡安全團隊制定AI安全事件響應指南。

深度偽造攻擊威脅日益增加

全球范圍內，越來越多的郵件和信息被AI生成，2022年底僅有7%的郵件由AI生成，如今這一比例現已上升到12%。安全公司紛紛開發檢測工具，以識別AI生成的內容。

近日，全球應用安全項目組織（OWASP）發布了一系列專門應對AI威脅的指南，為企業提供深度偽造事件的響應框架，并設立AI安全卓越中心和AI安全解決方案數據庫。此前，OWASP曾發布一份AI安全與治理的檢查清單，而此次新推出的指南更加側重于AI技術的用戶，具體如下：

《深度偽造事件準備和應對指南》闡述了“超現實數字偽造”所帶來的問題。作為人工智能網絡威脅情報計劃的產物，該資源結合了實用和務實的防御策略，幫助組織在深度偽造技術不斷改進的情況下保持安全。

“卓越中心指南”幫助企業建立最佳實踐和框架，以創建AI安全實踐。該指南幫助組織建立風險管理系統和跨部門協調系統，包括安全、法律、數據科學和運營團隊，以及如何制定和執行安全政策以及對員工進行AI安全教育。

“AI安全解決方案概覽指南”是一份關于如何保護開源和商業LLM及GenAI應用程序的廣泛參考。它對現有和新興的安全產品進行了分類，并就如何考慮十大列表中確定的風險提供了指導。

“企業想要盡可能在安全的前提下使用AI，因為在當今競爭激烈的商業環境中，這是一種重要的競爭差異化因素。”OWASP項目聯席負責人斯科特·克林頓（Scott Clinton）表示。

網絡安全公司遭遇深度偽造攻擊

近日，網絡安全公司Exabeam就遭遇了一起深度偽造攻擊事件。公司一位高級安全分析師候選人在完成初步面試后進入最終面試環節時，被Exabeam的治理、風險與合規團隊負責人喬迪·馬斯（Jodi Maas）察覺出異常。

馬斯回憶，盡管人力資源團隊最初在面試中發現該候選人的表現有些“刻意”，但在正式面試時問題更為明顯：視頻中的女性面試者幾乎沒有表情，嘴唇與音頻不同步，背景還出現了數字偽影。面試結束后，馬斯與Exabeam的首席信息安全官凱文·柯克伍德（Kevin Kirkwood）核實，確認這是一場深度偽造攻擊。

“最令人意外的是，求職者居然通過了HR的初步篩選。”柯克伍德說道。意識到該威脅的潛在風險后，Exabeam立即改進了面試流程，并向HR團隊提出了警惕深度偽造的建議。現階段，公司建議員工對視頻通話保持高度警惕，并普及了辨識深度偽造的技巧。

深度偽造技術的“軍備競賽”

深度偽造現象已引起IT專業人士的極大關注。一項由電子郵件安全公司Ironscales進行的調查顯示，48%的受訪者對深度偽造表示“極為擔憂”，74%的人認為它將成為未來的重大威脅。Ironscales創始人兼CEO艾亞爾·貝尼西蒂（Eyal Benishti）指出，即使當前的深度偽造技術尚未足夠逼真，但未來AI視頻將更加真實，甚至能夠實時模仿他人，成為真正的“數字替身”。

“企業已經意識到未來的溝通手段可能無法完全信任，這需要一段時間來適應。”貝尼西蒂說道。

Exabeam的柯克伍德認為，隨著深度偽造技術不斷提升，技術防御手段也必須跟上。“最糟糕的情況是技術呈現螺旋式升級——檢測手段進步，偽造技術提升，檢測再升級，偽造再提升。”他說道。“我在等待技術發展，以便將其集成到SIEM系統中，標記出與深度偽造相關的特征。”

應對深度偽造需要從技術與流程入手

OWASP的克林頓指出，相較于培訓人們辨識可疑視頻，企業更應構建驗證視頻真實性的基礎架構，特別是在財務交易和員工身份驗證等關鍵環節建立明確的流程和響應機制。

“僅依賴人類來識別深度偽造并不現實，因為這是主觀的。”克林頓解釋道，“需要的是更加客觀的解決方案。我們提出了一些具體的步驟，通過技術和流程相結合來有效應對這些威脅。”

隨著深度偽造技術的不斷發展，企業必須從技術和管理兩個方面同時發力，建立全面的防御體系。雖然深度偽造目前還不足以欺騙大多數人，但隨著技術不斷進步，它必將成為網絡安全領域的一大挑戰。