从聊天机器人到ChatGPT等大型语言模型,人工智能无处不在。多年来,人工智能和机器学习一直是科技行业的热门话题,软件开发商和大型云供应商竞相将人工智能融入他们的产品中,使他们的产品更加智能,让客户的生活更加轻松。
但人工智能的突然普及仍然让许多组织及其安全团队感到惊讶。虽然企业可能一直在制定如何将人工智能引入其运营的战略,但他们现在面临着员工可以轻松使用人工智能技术的情况。对新的且基本上未经批准的第三方应用的开放访问,引起了安全领导者的担忧。
为了进一步了解人工智能给网络安全带来的风险,以及安全领导者正在采取哪些措施来缓解这种风险,RiverSafe进行了一项研究,要求250名网络安全领导者分享他们的想法。
80%的安全领导者认为人工智能是其组织面临的最大网络威胁。让我们看一下报告中的更多数据,了解为什么人工智能成为当今首席信息安全官最关心的问题。
人工智能将促进网络威胁的范围和规模大幅增加
人工智能最令人担忧的方面之一是,它为网络犯罪分子提供了扩大攻击规模和复杂性的巨大潜力。许多类型的网络攻击都是有效的数字游戏,依靠策略来攻击尽可能多的目标,并希望他们找到弱点。
随着人工智能工具触手可及,网络犯罪分子可以更快、更大规模地执行现有策略,从而大大提高了他们成功入侵的可能性。
人工智能算法将使网络犯罪分子能够扩大各种攻击的范围,从破解密码和寻找网站漏洞等相对简单的方案,到使用深度伪造等新技术。
这种迫在眉睫的网络攻击升级非常令人担忧,特别是考虑到许多企业已经因网络犯罪而遭受破坏。在我们的调查中,五分之一的首席信息安全官表示,他们怀疑自己的企业在过去一年中成为了网络漏洞的受害者。另外18%的人确认他们遭遇了严重的违规行为。看来,尽管采取了额外的措施,但许多安全领导人仍对攻击的增加感到无奈。近三分之二(63%)的受访者告诉我们,他们预计今年企业内的数据丢失量将比以往任何时候都要多。
人工智能使攻击变得更加复杂且更难以防御
人工智能不仅允许网络犯罪分子更频繁地实施更多攻击,而且还被用来创建更复杂、更难被网络安全产品和人们发现的新型攻击。
根据我们的调查结果,61%的首席信息安全官表示,他们已经看到人工智能被用于使攻击方法更智能、更复杂。
人工智能算法正在利用互联网上提供的大量个人数据,来更好地欺骗潜在的受害者。我们所有人都有数字足迹,甚至可能认为不特别敏感的数据,也可以被人工智能用来制作有针对性和有说服力的消息,以赢得收件人的信任。例如,通过抓取邮箱帐户,人工智能机器人可以写一条信息,其中包含最近周末外出的信息,创建一封可信的电子邮件,听起来真的像是来自一个熟悉的同事。
虽然这种复杂性部分来自可用于欺骗员工的尖端技术,但人工智能也以更简单的方式被用来帮助攻击绕过网络防御。例如,人工智能支持的拼写和语法检查器,可以快速准确地从结构糟糕、书写笨拙的网络钓鱼信息中找出错误,从而消除了我们区分真实和可疑通信的最常见方式之一。
人工智能正在加剧数据泄露问题
鉴于现在任何人都可以使用大量的生成式人工智能工具,控制敏感数据的移动变得更加困难。这些产品使用书面提示来创建和交付所请求的内容(例如副本、代码或数字图像),这意味着用户必须向它们提供数据以产生结果。
但是,如何控制用户“告诉”人工智能工具的内容,或者一旦数据被摄入,它会如何处理这些数据?
这些第三方工具在企业内部很难确保安全,因为用户无法控制输入数据的去向或用途。一旦信息作为提示的一部分提供,它就会进入大型语言模型(LLM)使用的数据库,为其他用户提供答案;这意味着它可能会出现在法学硕士认为相关的任何地方。
这给首席信息安全官带来了重大挑战,他们现在正在根据员工输入这些工具的内容,来应对潜在的数据泄露。全球一些最大的企业已经禁止员工使用生成式人工智能工具,从我们的调查数据来看,许多企业正在效仿,采取零信任方法来确保数据安全。
我们采访的许多安全领导者也反对将人工智能注入他们的企业,其中近四分之一(22%)禁止使用可公开访问的生成式人工智能工具,例如ChatGPT。
采取行动应对人工智能威胁
人工智能现在可能让安全领导者彻夜难眠,但完全关闭它的大门是不可能的。虽然这项技术还处于相对早期的阶段,但我们无法回避它,它只会在我们的软件和业务流程中变得更加普遍。现在就是采取行动确保企业能够享受人工智能带来的优势,同时保护数字环境免受威胁的最佳时机。
通过强大的意识培训、加强网络安全态势,并投资于旨在反击自主威胁的人工智能增强安全工具,可以加强防御并减轻业务风险。