生成式人工智能:網絡安全的福還是禍?
上個月,Elon Musk寫了一封公开信,要求將人工智能系統的开發暫停6個月,並警告稱“與人類競爭的智能可能對社會和人類構成深遠的風險”。雖然這聽起來有些危言聳聽,但生成式人工智能帶來的威脅是真實存在的,並且隨着人工智能生成的網絡釣魚電子郵件、惡意軟件和深度造假活動的興起,這種威脅在網絡安全領域已經非常明顯。隨着這項技術變得更加先進,生成式人工智能將不可避免地繼續促進網絡犯罪活動,並賦予“想成爲”網絡犯罪分子以越來越復雜的方式攻擊組織的能力,通常無需編寫一行代碼。
毫無疑問,組織應該關注這個新的生成式人工智能時代帶來的風險。然而,這項技術也可用於防止惡意行爲者,支持防病毒軟件、欺詐檢測以及身份和訪問管理。
生成式人工智能將繼續存在,尤其是首席信息安全官(CISO),不能對這項新技術帶來的風險視而不見。那么,風險是什么?組織如何在新的生成式人工智能驅動的威脅環境中保護自己?
網絡犯罪分子利用生成式人工智能
ChatGPT和類似的生成式人工智能模型的出現創造了一個新的威脅格局,幾乎任何人都可以對組織進行惡意網絡活動。網絡犯罪分子不再需要具備高級編碼知識或技能。其所需要的只是惡意,以及對ChatGPT的訪問權限。
影響欺詐應該是未來組織特別關注的領域。絕不是一個新的或新穎的概念。多年來,機器人一直被用來在社交媒體平台和主流媒體評論區生成評論,以塑造政治話語。例如,在2016年總統大選前幾周,人們發現機器人轉發唐納德·特朗普的推文是希拉裏·克林頓的十倍。但現在在生成式人工智能的時代,這種類型的欺騙——在歷史上是爲高層政治欺詐而保留的——可能會滲透到組織層面。理論上,惡意行爲者可以在幾秒鐘內使用ChatGPT或Google Bard在社交媒體、主流新聞媒體或客戶服務頁面上生成數百萬條有害信息。針對企業(包括其客戶和員工)的精心設計的攻擊可以以前所未有的規模和速度執行。
組織的另一個主要擔憂是惡意機器人的激增。2021年,全球27.7%的互聯網流量由惡意機器人構成,而在過去幾年中,這一數字只增不減。憑借其先進的自然語言處理能力,ChatGPT可以生成真實的用戶代理字符串、瀏覽器指紋和其他屬性,使抓取機器人看起來更像合法用戶。事實上,根據最近的一份報告,GPT-4非常擅長生成語言,其能讓一個人相信其是盲人,以便讓那個人爲聊天機器人解決驗證碼問題。這對企業構成了巨大的安全威脅,並且隨着生成式人工智能的發展,這將成爲一個日益嚴重的問題。
生成式人工智能可以成爲首席信息安全官的福音
生成式人工智能帶來的風險無疑是令人擔憂的,但這項技術將繼續存在,並迅速發展。因此,首席信息安全官(CISO)必須利用生成式人工智能來加強其網絡安全策略,並开發更強大的防御措施,以抵御新出現的復雜惡意攻擊。
CISO目前面臨的最大挑战之一是網絡安全技能差距。到目前爲止,全球大約有350萬個網絡職位空缺。最終,如果沒有熟練的員工,組織根本無法保護自己免受威脅。然而,生成式人工智能爲這一行業挑战提供了解決方案,ChatGPT和Google Bard等工具可用於加快手工工作,減少網絡安全人員的工作流程。特別是,特別是ChatGPT可以幫助加速代碼开發和檢測漏洞代碼,提高代碼的安全性。GPT-4代碼解釋器的引入改變了人員短缺的組織的遊戲規則,因爲繁瑣操作的自動化可以騰出時間讓安全專家專注於战略問題。通過引入由GPT-4驅動的Microsoft Security Copilot,Microsoft已經在幫助網絡安全人員簡化這些操作。
此外,人工智能聊天機器人工具可以支持事件響應。例如,在發生機器人攻擊時,ChatGPT和Google Bard可以向安全團隊提供實時信息並幫助協調響應活動。該技術還可以協助分析攻擊數據,幫助安全團隊識別攻擊源,並採取適當措施來控制和減輕其影響。
組織還可以使用ChatGPT和其他生成式人工智能模型來分析大量數據,以識別可能表明犯罪機器人存在的模式和異常情況。通過分析聊天記錄、社交媒體數據和其他信息來源,人工智能工具可以幫助檢測,並提醒安全團隊注意潛在的機器人攻擊,以免造成重大損害。
新生成式人工智能時代的保護
我們現在已經進入了生成式人工智能時代,因此組織面臨着更加頻繁和復雜的網絡攻擊。CISO必須接受這一新現實,並利用人工智能的力量來對抗這些人工智能增強的網絡攻擊。未能實時使用機器學習的網絡安全解決方案最終注定要落後。
例如,我們知道,由於生成式人工智能,組織將見證試圖在其網站上進行欺詐的惡意機器人數量激增。在一個惡意行爲者使用機器人即服務來制造復雜、隱蔽威脅的世界中,選擇不利用機器學習來阻止這些威脅,就像在槍战中帶刀一樣。因此,現在比以往任何時候都更需要人工智能驅動的機器人檢測和阻止工具來確保組織網絡安全。
一個恰當的例子是:傳統的驗證碼,長期以來被認爲是一種值得信賴的網絡安全工具,無法與當今的機器人相提並論。機器人現在使用人工智能來傳遞“老派”驗證碼,如交通信號燈圖像,促使企業需要首先升級到挑战流量的解決方案,將驗證碼作爲最後的手段,然後僅使用網絡安全豐富的驗證碼。此外,組織可以通過實施多重身份驗證和基於身份的訪問控制來保護自己,這些訪問控制通過用戶的生物識別數據授予用戶訪問權限,這將有助於減少未經授權的訪問和濫用。
生成式人工智能給組織帶來了重大的安全風險,但如果使用得當,也可以幫助減輕其所造成的威脅。網絡安全是一場貓捉老鼠的遊戲,CISO需要領先一步,以保護其組織免受毀滅性的財務和聲譽損害,這些損害可能成爲這種新的人工智能驅動的威脅環境的一部分。通過了解威脅,並以有效的方式使用技術,CISO可以保護其組織免受生成式人工智能帶來的新出現的攻擊。
標題:生成式人工智能:網絡安全的福還是禍?
地址:https://www.utechfun.com/post/225055.html