一項對英國和美國400位首席信息安全官的最新調(diào)查顯示，72%的人認(rèn)為AI解決方案會導(dǎo)致安全漏洞。然而，80%的人表示他們計劃使用AI工具來對抗AI。這再次提醒我們，AI既有希望也有威脅。一方面，AI可以創(chuàng)造前所未有的安全安排，使網(wǎng)絡(luò)安全專家能夠?qū)诳桶l(fā)起進攻。另一方面，AI將導(dǎo)致大規(guī)模自動化攻擊和極高的復(fù)雜性。對于夾在這場戰(zhàn)爭中的科技公司來說，關(guān)鍵問題是他們應(yīng)該多擔(dān)心以及該如何保護自己？

當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢

根據(jù)安全公司Cobalt的數(shù)據(jù)，預(yù)計2024年全球網(wǎng)絡(luò)犯罪將給全球經(jīng)濟造成9.5萬億美元的損失。75%的安全專業(yè)人員觀察到過去一年中網(wǎng)絡(luò)攻擊的增加，這些攻擊的成本可能每年上升至少15%。對于企業(yè)來說，情況也相當(dāng)嚴(yán)峻——IBM報告稱，2023年平均數(shù)據(jù)泄露成本為445萬美元，自2020年以來增加了15%。

在此背景下，網(wǎng)絡(luò)安全保險的成本上升了50%，企業(yè)現(xiàn)在在風(fēng)險管理產(chǎn)品和服務(wù)上花費了2150億美元。最容易受到攻擊的是醫(yī)療、金融和保險組織及其合作伙伴?？萍夹袠I(yè)由于初創(chuàng)公司處理大量敏感數(shù)據(jù)、資源有限以及注重快速擴展的文化，特別容易受到這些挑戰(zhàn)的影響，往往以犧牲IT基礎(chǔ)設(shè)施和程序為代價。

區(qū)分AI攻擊的挑戰(zhàn)

最引人注目的一項統(tǒng)計數(shù)據(jù)來自《CFO雜志》——報告稱，85%的網(wǎng)絡(luò)安全專業(yè)人員將2024年網(wǎng)絡(luò)攻擊的增加歸因于惡意分子使用生成式AI。然而，仔細(xì)觀察，你會發(fā)現(xiàn)沒有明確的統(tǒng)計數(shù)據(jù)表明這些攻擊是哪些，以及它們的實際影響是什么。這是因為我們面臨的最緊迫問題之一是，很難確定網(wǎng)絡(luò)安全事件是否是通過生成式AI造成的。它可以自動生成網(wǎng)絡(luò)釣魚郵件、社交工程攻擊或其他類型的惡意內(nèi)容。

由于其目標(biāo)是模仿人類內(nèi)容和響應(yīng)，因此很難將其與人類制作的內(nèi)容區(qū)分開來。結(jié)果是，我們尚不知道生成式AI驅(qū)動攻擊的規(guī)?；蚱溆行浴Ｈ绻覀冞€不能量化問題，就很難知道我們應(yīng)該多么擔(dān)憂。

保護措施和更大的網(wǎng)絡(luò)安全風(fēng)險

對于初創(chuàng)公司來說，最好的行動方案是關(guān)注和緩解一般威脅。所有證據(jù)表明，現(xiàn)有的網(wǎng)絡(luò)安全措施和以最佳實踐數(shù)據(jù)治理程序為基礎(chǔ)的解決方案足以應(yīng)對現(xiàn)有的AI威脅。

有點諷刺的是，組織面臨的最大存在威脅并不一定來自于被惡意使用的AI，而是來自于員工的粗心使用或未能遵循現(xiàn)有的安全程序。例如，員工在使用ChatGPT等服務(wù)時共享敏感業(yè)務(wù)信息，可能會導(dǎo)致這些數(shù)據(jù)在以后被檢索，從而導(dǎo)致機密數(shù)據(jù)泄露和隨后的黑客攻擊。減少這一威脅意味著要有適當(dāng)?shù)臄?shù)據(jù)保護系統(tǒng)，并為生成式AI用戶提供更好的教育，讓他們了解所涉及的風(fēng)險。

教育和提高意識

教育包括幫助員工了解AI的當(dāng)前能力，特別是在應(yīng)對網(wǎng)絡(luò)釣魚和社交工程攻擊方面。最近，一家大公司的財務(wù)主管在一次深度偽造的電話會議上被冒充公司CFO的騙子騙走了2500萬美元。雖然聽起來很可怕，但仔細(xì)閱讀這起事件，你會發(fā)現(xiàn)從AI的角度來看，這并不是特別復(fù)雜，只是比幾年前的一些詐騙手法稍高一籌——當(dāng)時很多公司（其中很多是初創(chuàng)公司）被模仿其CEO的電子郵件地址的詐騙手段騙走了錢。在這兩種情況下，如果遵循基本的安全和合規(guī)檢查，甚至只是常識，這些騙局很快就會被揭穿。教導(dǎo)員工如何識別AI生成的聲音或外觀以及如何識別這些攻擊，與擁有健全的安全基礎(chǔ)設(shè)施同樣重要。

簡而言之，AI對網(wǎng)絡(luò)安全構(gòu)成了明顯的長期威脅，但在我們看到更高的復(fù)雜性之前，如果嚴(yán)格遵循現(xiàn)有的安全措施，它們是足夠的。然而，企業(yè)需要繼續(xù)遵循嚴(yán)格的網(wǎng)絡(luò)安全最佳實踐，隨著威脅的演變不斷審查其流程并教育員工。網(wǎng)絡(luò)安全行業(yè)已經(jīng)習(xí)慣了新的威脅和惡意行為的方法，這并不新鮮——但企業(yè)不能使用過時的安全技術(shù)或程序。