AI 時代來臨:企業如何確保安全?
諸如 ChatGPT(以及 Bing AI、Google Bard 等眾多同類工具)之類的生成式 AI 工具最近以令人難以置信的、前所未有的速度成為主流。幾乎一夜之間,這些工具及其豐富的用例就佔據了全球新聞頭條。
AI 提供了無限的可能性和機遇,毫無疑問,它將成為我們這個高度連接的數位時代中,徹底改變遊戲規則的關鍵力量。光是美國就宣佈將投資 1.4 億美元,打造七個人工智慧研究中心。
我們僅僅看到了 AI 革命的冰山一角,其影響力堪比網際網路、智慧型手機和雲端運算的發明。
話雖如此,這項新技術的快速發展,也讓那些想要趁熱打鐵、利用這些創新來成長的公司面臨更大的風險。除了好處之外,AI 也帶來了挑戰和風險,因為惡意行為者也在利用 AI 從事各種惡意活動。AI 的應用範圍無限廣闊,包括一些可疑的用途,例如編寫程式碼來識別和利用易受攻擊的系統、產生針對受害者的網路釣魚電子郵件,甚至製作高階主管的深度偽造影片以製造誤導性情境。
在此背景下,企業在營運中採用 AI 時必須保持警惕,加強網路防禦。儘管許多政府已經針對 AI 採用制定了保障措施和框架,但企業需要主動採取行動,為應對潛在的 AI 驅動型網路攻擊做好準備。
確保系統、資料和網路的安全
以下是企業保護其基礎架構和資產的三種方式:
1. 使用 AI 增強技能
Rather than be afraid of AI or struggle to match every offensive AI threat with an AI countermeasure, businesses can instead use AI to enhance the skills and abilities of their cyber security team.
這對於網路安全領域尤其重要,因為該領域一直面臨技術人才的短缺。全球網路安全人才缺口高達 340 萬。隨著組織數位轉換的不斷推進,網路安全崗位的需求將穩定上升。藉助 AI,該領域的��新手可以獲得幫助,實現手動、常規工作的自動化,而更高級別的安全工程師則可以獲得更強大的編碼和指令碼編寫能力。
2. 設定其他電子郵件保護層
電子郵件仍然是網路攻擊的首要入口。藉助 AI,攻擊者可以將其社交工程和網路釣魚策略提升到一個新的水準,使這些電子郵件變得極其逼真,讓人輕易上當。
安全團隊必須教育員工,讓他們更能辨識這些網路釣魚攻擊,以免落入惡意攻擊者的陷阱,進而導致入侵組織網路。這包括定期訓練、複習課程,以及提供一個平台,方便員工報告日常工作中遇到的任何可疑活動。
即便如此,人為錯誤仍然不可避免。從技術角度來看,公司可以使用先進的電子郵件安全工具來保護員工。這些工具遠不止包含電子郵件服務的基本篩選功能,而是能夠全面封鎖來自不同媒介的攻擊,即使攻擊來自受信任的寄件者或網域。
3. 轉向穩健、全面的網路安全策略
除了網路釣魚電子郵件之外,AI 還為公司資料和應用程式帶來潛在風險。隨著 AI 應用日益普及,企業面臨多面向攻擊的風險也顯著增加。例如,員工使用的面向網際網路的應用程式特別容易遭受機器人和 AI 驅動的攻擊。
組織不應僅僅局限於使用傳統的城堡加護城河周邊來保護網路,而應關注資料所在位置以及使用者和應用程式存取資料的方式。這意味著需要採用更強大、更全面的網路安全策略——這可以透過 Zero Trust 架構來實現。在 Zero Trust 安全模型下,組織可以透過不信任任何人(即使是已經在網路週邊內的人)來維持嚴格的存取控制。這樣,即使攻擊者滲透到初始網路層,也無法隨意控制組織的資料和應用程式。
隨著 AI 在員工中的應用越來越普遍,組織也應該實施可接受使用政策、技術控制和資料遺失預防措施。這將對保護員工和公司都大有裨益。
儘管如此,生成式 AI 仍處於起步階段,未來幾年仍有突飛猛進的潛力。網路安全專業人員應該保持好奇心,並不斷嘗試這些工具,以便更好地瞭解其用例,並能夠應對惡意使用。
AI 採用才剛起步,其無限的益處遠大於任何潛在的威脅。然而,企業必須瞭解如何安全地使用這項技術。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
本文最初是為 The Edge 而撰寫