在 ChatGPT 的世界里如何保护您的公司
类似 ChatGPT 和 GitHub CoPilot 这样的生成式人工智能(AI)工具有望像互联网、智能手机和云计算一样改变游戏规则,其出现无疑将为公司带来新的可能性和挑战。随着人工智能得到迅速、广泛的发展,对于希望负责任地利用这项技术、同时为网络犯罪分子采用 AI 的可能影响而做好准备的公司而言,风险也有所增加。人工智能能够编写可以帮助识别和利用易受攻击系统的代码、生成超个性化的钓鱼邮件甚至模仿高管的声音以授权欺诈性交易,因此组织需要重新评估人工智能相关的风险和潜在威胁,并考虑针对黑客攻击的防御和对抗策略。
评估组织在人工智��能时代的网络安全姿态时,IT 和安全主管应考虑如下三个关键策略:
1. 用 AI 对抗 AI
一些人对 AI 恐惧至极,想象在未来,一个无所不知的思考机器在“AI 军备竞赛”中成为威胁人类的超级武器。这种描述非常夸张,AI 的现实远没有那么不祥。
恶意行为者无疑会利用 AI 工具进行不法活动。但是现有的 AI 工具一般仅限于基本编程,并且已经设置了安全措施以防止编写真正恶意的代码。
好的一面是,AI 有潜力提高网络安全防御团队的技能,增强其能力,特别缺乏熟练专业人员的网络安全领域。通过使用 AI 工具,入门级分析师可以在日常职责方面获得帮助,安全工程师可以提高其编程和脚本编写能力。
成功的关键是投资于 AI 工具和培训,以提升专业技能水平,而不是用 AI 对策来匹配每一个攻击性 AI 威胁。
2. 保护电子邮件
大多数网络攻击都是从我们的收件箱开始的。恶意行为者发送欺诈性电子邮件,利用网络钓鱼和社会工程策略获取凭据,从而能够进入组织的网络。AI 的最新进展将使这些电子邮件变得越来越复杂和逼真,而将 AI 聊天机器人集成到社交工程工具包则会扩大这些攻击的范围和影响力。
网络安全专业人员必须认识到 AI 驱动的网络钓鱼和社交工程攻击带来的潜在威胁,并教育用户如何检测和应对这些攻击。有必要继续培训用户识别网络钓鱼攻击,同时为他们提供快速报告可疑活动的平台,并在整体网络防御策略中寻求他们的协助。
然而,人为错误是不可避免的,我们还必须依靠技术防御来保护用户免受黑客攻击。不幸的是,主流电子邮件服务中的基本过滤工具往往并不足够。企业应该寻找先进的电子邮件安全工具,以全面阻止采用各种手段进行的攻击,甚至是来自可信发件人或域的攻击。
3. 防御数据
虽然网络钓鱼和凭据窃取通常是攻击的第一步,但它们并不是全部。在考虑 AI 对公司数据和应用程序构成的风险时,重要的是认识到潜在攻击的多面性。
组织不应依赖于传统的城堡与护城河边界来保护网络,而是专注于数据所在的位置,以及用户和应用访问数据的方式。对很多公司而言,这意味着采用 Zero Trust 架构,其包含安全访问服务边缘(SASE)解决方案,并辅以防网络钓鱼的多因素身份验证(MFA)。
面向互联网的应用程序和 API 容易受到各种攻击,包括由机器人或其他 AI 驱动的攻击。这些应用程序应该有适当的保护措施,例如加密、Web 应用程序防火墙 (WAF)、输入验证和速率限制,以缓解机器人或未来由 AI 驱动的攻击。
随着企业采用 AI 工具,他们必须确保用户不会滥用或泄露公司数据。一些公司,例如摩根大通,已决定限制员工使用 ChatGPT,但最低程度上,公司应该实施可接受的使��用政策、技术控制和数据丢失预防措施,以缓解任何风险。
前进道路
对网络安全专业人员而言,至关重要的是保持好奇心并尝试使用 AI 工具,以更好地了解其潜在用途,无论是为善还是作恶。为了防止攻击,组织应该寻找增强自身能力的方法 —— 无论是使用 ChatGPT,还是探索拥有大量训练数据并在各种防御维度上利用威胁情报的网络安全工具和平台。
底线是,企业必须实施随不断变化的世界而发展的全面安全措施。虽然 AI 已经成为一种潜在的威胁,但这种技术也可以带来强大的好处——我们只需要知道如何安全地使用它。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
本文最初是为 Security Boulevard 制作的。
关键要点
阅读本文后,您将能够了解:
网络犯罪分子利用 AI 会造成什么影响
若同时考虑攻防策略,如��何评估 AI 相关风险和潜在威胁
在 AI 时代评估安全态势的三个关键考量