一项对英国和美国400位首席信息安全官的最新调查显示,72%的人认为AI解决方案会导致安全漏洞。然而,80%的人表示他们计划使用AI工具来对抗AI。这再次提醒我们,AI既有希望也有威胁。一方面,AI可以创造前所未有的安全安排,使网络安全专家能够对黑客发起进攻。另一方面,AI将导致大规模自动化攻击和极高的复杂性。对于夹在这场战争中的科技公司来说,关键问题是他们应该多担心以及该如何保护自己?
本文引用地址:
根据安全公司Cobalt的数据,预计2024年全球网络犯罪将给全球经济造成9.5万亿美元的损失。75%的安全专业人员观察到过去一年中网络攻击的增加,这些攻击的成本可能每年上升至少15%。对于企业来说,情况也相当严峻——IBM报告称,2023年平均数据泄露成本为445万美元,自2020年以来增加了15%。
在此背景下,网络安全保险的成本上升了50%,企业现在在风险管理产品和服务上花费了2150亿美元。最容易受到攻击的是医疗、金融和保险组织及其合作伙伴。科技行业由于初创公司处理大量敏感数据、资源有限以及注重快速扩展的文化,特别容易受到这些挑战的影响,往往以牺牲IT基础设施和程序为代价。
最引人注目的一项统计数据来自《CFO杂志》——报告称,85%的网络安全专业人员将2024年网络攻击的增加归因于恶意分子使用生成式AI。然而,仔细观察,你会发现没有明确的统计数据表明这些攻击是哪些,以及它们的实际影响是什么。这是因为我们面临的最紧迫问题之一是,很难确定网络安全事件是否是通过生成式AI造成的。它可以自动生成网络钓鱼邮件、社交工程攻击或其他类型的恶意内容。
由于其目标是模仿人类内容和响应,因此很难将其与人类制作的内容区分开来。结果是,我们尚不知道生成式AI驱动攻击的规模或其有效性。如果我们还不能量化问题,就很难知道我们应该多么担忧。
对于初创公司来说,最好的行动方案是关注和缓解一般威胁。所有证据表明,现有的网络安全措施和以最佳实践数据治理程序为基础的解决方案足以应对现有的AI威胁。
有点讽刺的是,组织面临的最大存在威胁并不一定来自于被恶意使用的AI,而是来自于员工的粗心使用或未能遵循现有的安全程序。例如,员工在使用ChatGPT等服务时共享敏感业务信息,可能会导致这些数据在以后被检索,从而导致机密数据泄露和随后的黑客攻击。减少这一威胁意味着要有适当的数据保护系统,并为生成式AI用户提供更好的教育,让他们了解所涉及的风险。
教育包括帮助员工了解AI的当前能力,特别是在应对网络钓鱼和社交工程攻击方面。最近,一家大公司的财务主管在一次深度伪造的电话会议上被冒充公司CFO的骗子骗走了2500万美元。虽然听起来很可怕,但仔细阅读这起事件,你会发现从AI的角度来看,这并不是特别复杂,只是比几年前的一些诈骗手法稍高一筹——当时很多公司(其中很多是初创公司)被模仿其CEO的电子邮件地址的诈骗手段骗走了钱。在这两种情况下,如果遵循基本的安全和合规检查,甚至只是常识,这些骗局很快就会被揭穿。教导员工如何识别AI生成的声音或外观以及如何识别这些攻击,与拥有健全的安全基础设施同样重要。
简而言之,AI对网络安全构成了明显的长期威胁,但在我们看到更高的复杂性之前,如果严格遵循现有的安全措施,它们是足够的。然而,企业需要继续遵循严格的网络安全最佳实践,随着威胁的演变不断审查其流程并教育员工。网络安全行业已经习惯了新的威胁和恶意行为的方法,这并不新鲜——但企业不能使用过时的安全技术或程序。
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
