AI 时代来临:企业如何确保安全?
生成式 AI 工具,例如 ChatGPT 以及 Bing AI、Google Bard 等众多同类工具,最近以惊人的、前所未有的速度成为了主流。几乎一夜之间,这些工具及其丰富的用例占据了全球新闻头条。
AI 带来了无限的可能性和机会,因此毫无疑问,它将改变这个高度互联的数字化世界的企业格局。仅美国就宣布将投资 1.4 亿美元,创建七个人工智能研究中心。
AI 革命的影响力堪比互联网、智能手机和云计算的发明,目前我们对它的了解还只是冰山一角。
话虽如此,这项新技术的快速发展,让那些希望趁热打铁并利用这些创新实现增长的公司面临着更大的风险。除了优势之外,AI 也会带来挑战和风险,因为恶意行为者也会利用 AI 来执行不法任务。AI 的应用前景无限广阔,包括一些可疑的用途,例如编写代码来识别和利用易受攻击的系统,生成专为受害者量身定制的网络钓鱼电子邮件,甚至在令人误解的场景中深度伪造高管人员。
在这种背景下,企业在运营中采用 AI 时必须保持警惕并加强网络防御。虽然多国政府已经制定了采用 AI 的适当保障措施和框架,但企业仍需积极做好准备,以应对潜在的 AI 网络攻击。
确保系统、数据和网络安全
以下是企业保护基础设施和资产安全的三种方法:
1. 利用 AI 提高技能
企业无需惧怕 AI,也不必费力地采用 AI 对策来应对每一种攻击性 AI 威胁,而是可以利用 AI 来提高网络安全团队的技能和能力。
这在网络安全领域尤为重要,安全领域持续面临技能人才短缺的问题。全球范围内的网络安全人才缺口高达 340 万。随着企业继续推动数字化,网络安全岗位的需求将稳步增加。借助 AI,安全领域的新手可以获得手动、例行任务自动化方面的帮助,而更高级别的安全工程师可以利用更强大的编码和脚本编写功能。
2. 为电子邮件添加一层额外的保护
电子邮件仍然是网络攻击的首要切入点。借助 AI,攻击者可以将其社会工程学和网络钓鱼策略提升到新的水平,让这些电子邮件变得高度逼真,导致受害者更容易被骗。
安全团队必须培训员工更好地识别网络钓鱼攻击,以免他们落入陷阱,让恶意攻击者得以入侵企业网络。这包括提供定期培训和复习课程,以及提供一个平台,便于员工报告日常工作中遇到的任何可疑活动。
即便如此,人为错误仍不可避免。在技术层面,公司可以使用高级电子邮件安全工具来保护员工。这些工具超越了电子邮件服务履行的基本过滤功能,可以全面阻止采用各种手段进行的攻击,甚至是来自可信发件人或域的攻击。
3. 采用稳健、全面的网络安全策略
除了网络钓鱼电子邮件之外,AI 还会给公司数据和应用带来潜在风险,特别是随着 AI 的日益普及,可能更容易受到多方面攻击。例如,员工使用的面向互联网的应用特别容易受到机器人和 AI 驱动的攻击。
企业应该摒弃传统的城堡与护城河边界模型来保护网络,而是关注数据所在的位置,以及用户和应用访问数据的方式。也就是说,采用更稳健、更全面的网络安全策略,这可以通过 Zero Trust 架构来实现。如果采用 Zero Trust 安全模型,企业通过不信任任何人员(即使是那些已经位于网络边界内的人员)和设备来维持严格的访问控制。如此一来,即使攻击者渗透了初始网络层,他们也无法肆意控制企业的数据和应用。
随着员工使用 AI 的情况越来越普遍,企业还应该实施可接受的使用政策、技术控制,以及数据丢失预防措施。这将对保护员工和公司安全大有裨益。
虽然生成式 AI 仍然处于初期阶段,但它在未来几年有可能实现突飞猛进的发展。网络安全专业人员应该保持好奇心并尝试使用这些工具,以便更好地了解具体用例并能够妥善应对恶意使用 AI 的情况。
AI 采用才刚刚起步,这带来的巨大优势超过了潜在威胁。但企业必须了解如何安全地使用此类技术。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
本文最初发表于 The Edge