從聊天機器人到ChatGPT等大型語言模型,人工智能無處不在。多年來,人工智能和機器學習一直是科技行業的熱門話題,軟件開發商和大型云供應商競相將人工智能融入他們的產品中,使他們的產品更加智能,讓客戶的生活更加輕松。
但人工智能的突然普及仍然讓許多組織及其安全團隊感到驚訝。雖然企業可能一直在制定如何將人工智能引入其運營的戰略,但他們現在面臨著員工可以輕松使用人工智能技術的情況。對新的且基本上未經批準的第三方應用的開放訪問,引起了安全領導者的擔憂。
為了進一步了解人工智能給網絡安全帶來的風險,以及安全領導者正在采取哪些措施來緩解這種風險,RiverSafe進行了一項研究,要求250名網絡安全領導者分享他們的想法。
80%的安全領導者認為人工智能是其組織面臨的最大網絡威脅。讓我們看一下報告中的更多數據,了解為什么人工智能成為當今首席信息安全官最關心的問題。
人工智能將促進網絡威脅的范圍和規模大幅增加
人工智能最令人擔憂的方面之一是,它為網絡犯罪分子提供了擴大攻擊規模和復雜性的巨大潛力。許多類型的網絡攻擊都是有效的數字游戲,依靠策略來攻擊盡可能多的目標,并希望他們找到弱點。
隨著人工智能工具觸手可及,網絡犯罪分子可以更快、更大規模地執行現有策略,從而大大提高了他們成功入侵的可能性。
人工智能算法將使網絡犯罪分子能夠擴大各種攻擊的范圍,從破解密碼和尋找網站漏洞等相對簡單的方案,到使用深度偽造等新技術。
這種迫在眉睫的網絡攻擊升級非常令人擔憂,特別是考慮到許多企業已經因網絡犯罪而遭受破壞。在我們的調查中,五分之一的首席信息安全官表示,他們懷疑自己的企業在過去一年中成為了網絡漏洞的受害者。另外18%的人確認他們遭遇了嚴重的違規行為。看來,盡管采取了額外的措施,但許多安全領導人仍對攻擊的增加感到無奈。近三分之二(63%)的受訪者告訴我們,他們預計今年企業內的數據丟失量將比以往任何時候都要多。
人工智能使攻擊變得更加復雜且更難以防御
人工智能不僅允許網絡犯罪分子更頻繁地實施更多攻擊,而且還被用來創建更復雜、更難被網絡安全產品和人們發現的新型攻擊。
根據我們的調查結果,61%的首席信息安全官表示,他們已經看到人工智能被用于使攻擊方法更智能、更復雜。
人工智能算法正在利用互聯網上提供的大量個人數據,來更好地欺騙潛在的受害者。我們所有人都有數字足跡,甚至可能認為不特別敏感的數據,也可以被人工智能用來制作有針對性和有說服力的消息,以贏得收件人的信任。例如,通過抓取郵箱帳戶,人工智能機器人可以寫一條信息,其中包含最近周末外出的信息,創建一封可信的電子郵件,聽起來真的像是來自一個熟悉的同事。
雖然這種復雜性部分來自可用于欺騙員工的尖端技術,但人工智能也以更簡單的方式被用來幫助攻擊繞過網絡防御。例如,人工智能支持的拼寫和語法檢查器,可以快速準確地從結構糟糕、書寫笨拙的網絡釣魚信息中找出錯誤,從而消除了我們區分真實和可疑通信的最常見方式之一。
人工智能正在加劇數據泄露問題
鑒于現在任何人都可以使用大量的生成式人工智能工具,控制敏感數據的移動變得更加困難。這些產品使用書面提示來創建和交付所請求的內容(例如副本、代碼或數字圖像),這意味著用戶必須向它們提供數據以產生結果。
但是,如何控制用戶“告訴”人工智能工具的內容,或者一旦數據被攝入,它會如何處理這些數據?
這些第三方工具在企業內部很難確保安全,因為用戶無法控制輸入數據的去向或用途。一旦信息作為提示的一部分提供,它就會進入大型語言模型(LLM)使用的數據庫,為其他用戶提供答案;這意味著它可能會出現在法學碩士認為相關的任何地方。
這給首席信息安全官帶來了重大挑戰,他們現在正在根據員工輸入這些工具的內容,來應對潛在的數據泄露。全球一些最大的企業已經禁止員工使用生成式人工智能工具,從我們的調查數據來看,許多企業正在效仿,采取零信任方法來確保數據安全。
我們采訪的許多安全領導者也反對將人工智能注入他們的企業,其中近四分之一(22%)禁止使用可公開訪問的生成式人工智能工具,例如ChatGPT。
采取行動應對人工智能威脅
人工智能現在可能讓安全領導者徹夜難眠,但完全關閉它的大門是不可能的。雖然這項技術還處于相對早期的階段,但我們無法回避它,它只會在我們的軟件和業務流程中變得更加普遍。現在就是采取行動確保企業能夠享受人工智能帶來的優勢,同時保護數字環境免受威脅的最佳時機。
通過強大的意識培訓、加強網絡安全態勢,并投資于旨在反擊自主威脅的人工智能增強安全工具,可以加強防御并減輕業務風險。