CyberArk的2023年身份安全威脅形勢報告提出了一些有價值的見解。接受調查的 2,300 名安全專業人士給出了一些發人深省的數據:
68%的人擔心員工裁員和流失帶來的內部威脅
99%的人預計財務削減、地緣政治因素、云應用程序和混合工作環境會導致某種類型的身份泄露
74%的人擔心機密數據因員工、前員工和第三方供應商而丟失。
此外,許多人認為數字身份擴散正在增加,攻擊面面臨人工智能 (AI) 攻擊、憑證攻擊和雙重勒索的風險。現在,讓我們關注數字身份擴散和人工智能驅動的攻擊。
數字身份:解決方案還是終極特洛伊木馬?
一段時間以來,數字身份一直被認為是提高網絡安全和減少數據丟失的潛在解決方案。一般的想法是這樣的:每個人都有獨特的標記,從生物識別簽名到行為動作。這意味著將這些標記數字化并將其與個人相關聯應該可以最大限度地減少授權和身份驗證風險。
粗略地說,這是一種“信任和驗證”模型。
但如果“信任”不再可靠怎么辦?相反,如果某些虛假的東西得到驗證——一些本來就不應該被信任的東西,該怎么辦?為了糾正這種情況而進行的風險分析在哪里?
數字身份的強行推銷在一定程度上源于對技術世界的潛在偏見。也就是說,信息安全技術和惡意行為者的策略、技術和程序 (TTP) 都以相似的速度變化。現實告訴我們事實并非如此:TTP,尤其是在人工智能的幫助下,正在突破安全控制。
您會看到,人工智能攻擊的一個特點是人工智能可以比人類更快地了解 IT 資產。因此,技術和社會工程攻擊都可以根據環境和個人進行定制。例如,想象一下基于大數據集(例如,您的社交媒體帖子、從互聯網上刮取的有關您的數據、公共監控系統等)的魚叉式網絡釣魚活動。這就是我們正在走的路。
數字身份可能有機會在非人工智能世界中成功運作,在那里它們本質上是值得信任的。但在人工智能驅動的世界中,數字身份的信任正在被有效消除,將它們變成本質上不值得信任的東西。
信任需要重建,因為一條沒有任何東西值得信任的道路在邏輯上只能通向一個地方:全面監控。
人工智能作為一種身份
身份驗證解決方案已經變得非常強大。它們縮短了訪問請求時間,管理數十億次登錄嘗試,當然還使用了人工智能。但原則上,驗證解決方案依賴于一個常數:相信身份是真實的。
人工智能世界通過將“身份信任”變成一個變量來改變這一點。
假設以下情況成立:我們在人工智能之旅中相對較早,但進展很快。大型語言模型可以取代人類交互并進行惡意軟件分析以編寫新的惡意代碼。藝術性可以大規模地表現,濾波器可以使尖叫的聲音聽起來像專業歌手。深度造假,無論是在聲音還是視覺表現上,都已經從“公然造假”的領域轉向“等一下,這是真的嗎?” 領土。值得慶幸的是,仔細分析仍然使我們能夠區分兩者。
人工智能攻擊還有另一個特點:機器學習能力。它們會變得更快、更好,并最終容易被操縱。請記住,并不是算法有偏差,而是程序員將其固有的偏差輸入到算法中。因此,隨著開源和商業AI技術可用性的不斷提高,我們的真假辨別能力還能保持多久?
疊加技術打造完美頭像
想想當今可用的強大監控技術。生物特征識別、個人細微差別(行走方式、面部表情、聲音變化等)、體溫、社交習慣、溝通趨勢以及其他一切讓你與眾不同的東西都可以被捕捉到,其中大部分是秘密捕捉的。現在,疊加不斷增加的計算能力、數據傳輸速度和內存容量。
最后,添加一個人工智能驅動的世界,在這個世界中,惡意行為者可以訪問大型數據庫并執行復雜的數據挖掘。創建令人信服的數字復制品的增量縮小了。矛盾的是,當我們為安全措施創建更多關于自己的數據時,我們的數字風險狀況也在增加。
通過限制數據量減少攻擊面
將我們的安全想象為水壩,將數據想象為水。迄今為止,我們利用數據大多是好的手段(例如,利用水進行水力發電)。存在一些維護問題(例如,攻擊者、數據泄漏、維護不善),到目前為止,如果令人筋疲力盡,這些問題大多是可以管理的。
但是,如果大壩的蓄水速度快于基礎設施設計管理和蓄水的速度怎么辦?大壩潰決。使用這個類比,接下來的任務就是轉移多余的水并加固大壩或限制數據并重建信任。
有哪些方法可以實現這一目標?
自上而下的方法創建護欄(策略)。僅生成和保存您需要的數據,甚至可以抑制過多的數據保存,尤其是與個人相關的數據。抵制為了微觀目標而抓取和數據挖掘一切的誘惑。除非有更安全的水庫,否則會有更多的水進入水庫(提示:分段)。
自下而上的方法限制訪問(操作)。白名單是你的朋友。限制權限并開始重建身份信任。默認情況下不再“選擇加入”;默認情況下移至“選擇退出”。這使您可以更好地管理流經大壩的水流(例如,減少攻擊面和數據暴露)。
專注于重要的事情(策略)。實施證明我們無法保證一切。這不是批評;而是現實。關注風險,尤其是身份和訪問管理。再加上通道有限,基于風險的方法優先考慮對大壩裂縫進行修復。
最后,必須承擔風險才能實現未來的回報。“無風險”適用于奇幻書籍。因此,在數據過剩的時代,最大的“風險”可能是生成和持有的數據較少。獎勵?最大限度地減少數據丟失的影響,讓您在其他人折斷的時候屈服。