本文来自微信公众号“数世咨询”,作者/nana。
从教育界到商界,再到网络安全领域,很多行业都对名为ChaGPT的一款人工智能(AI)工具感到焦虑。许多文章描述了ChatGPT在创建网络钓鱼电子邮件和通过医学院及商学院测试方面是多么高效。ChatGPT能像人类一样撰写、叙述和回答各种主题的问询,还能发现计算机系统中的漏洞,自然引发了对该工具可能被用于大规模进行有效网络钓鱼活动的担忧。
尽管目前还只是个玩具,一个用来显示AI进步程度的小把戏,但随着AI模型的持续改进和恶意黑客对此类工具的利用,企业和政府机构应该考虑未来两到五年会发生什么了。企业和机构现在就应该采取行动,加强自身网络防御,抵御当前和潜在的威胁。
AI的通用性带来了风险
ChatGPT由OpenAI创建,自2022年11月起便可在开放测试期内用于查询。OpenAI是一家追求AI创新的研究与部署公司,该公司宣称,创建此聊天机器人是为了以对话方式互动,研究用户反馈,了解自身优劣。这款聊天机器人被用来探讨科学问题,帮助写诗或写歌,甚至还能用来求职。ChatGPT确实会犯错。IT技术问答网站StackOverflow就暂时封禁了ChatGPT,因为它的回答往往是不正确的,发布这些答案可能会对该网站用户造成“巨大伤害”。但ChatGPT一直在学习和改进。
下一阶段的AI威胁
ChatGPT最紧迫的网络安全问题是,就算是新手网络攻击者也可以使用该工具编写网络钓鱼电子邮件、利用缓冲区溢出漏洞,以及进行其他基本网络攻击。而在几年之后,这些威胁会变得严重得多。
AI工具将能帮助获得代理访问权限的恶意内部人或网络犯罪分子设计和操纵公司内部对话,发送精准定位的针对性网络钓鱼电子邮件,伪装公司内部人员提出貌似合理的请求。
企业该如何保护自身
企业可以采取几个措施来培养安全优先的文化,保护自己免受AI当前和未来可能构成的威胁:
1、确保业务部门抱持怀疑之心。公司每个层级的人员都应当质疑电子邮件或其他任何沟通渠道中看到的内容。Verizon《2022年数据泄露调查报告》显示,因为往往非常奏效,网络钓鱼甚为普遍,占了北美社会工程攻击的73%。员工应当接受培训,仔细审查任何电子邮件、Slack邀请或其他沟通方式,注意任何欺诈迹象。
2、提供持续的实时网络安全培训。几乎每家公司都有网络安全培训计划,员工每年都必须参加。但考虑到基于网络钓鱼攻击的数据泄露事件如此之多,这种程度的年度网络安全培训显然是不够的。企业需要帮助员工实时识别网络钓鱼攻击,在员工点击欺诈链接或将特权信息下载到U盘上时当场指出。为了提高工作效率,员工往往会试图寻找一些变通方法,所以需要及时进行网络安全培训,提醒员工操作规程存在的意义。
3、设置互联网边界,减少不必要的使用。工作场所在某种程度上已经做了这方面的防护,例如屏蔽攻击网站或禁止可能危及公司数据的互联网使用。如果尚未有这方面动作,公司可以设立书面政策,详细列出可接受的和禁止的互联网使用。可以用程序来限制仅能访问经批准的网站,也可以用路由器来屏蔽网站。追踪和记录互联网使用情况也可以起到威慑作用。
4、改进并切实执行公司安全策略。安全转型非一日之功,会持续数月乃至数年,需要改变公司文化,转变公司里每个人对网络安全的认知。现在的网络安全最佳实践可能是有效的,但仅在充分实施和完全遵循的情况下才会起效。与其他安全措施一样,企业应当始终如一地沟通安全问题,提醒员工公司对他们在安全方面的期望。
5、质疑当前的标准做法。“我们一直都是这么做的”是IT常用解释之一,但这对任何安全实践来说都是最糟糕的解释。安全优先文化的一个重要组成部分就是改变流程和实现新工具的意愿,只有这样才能跟上不断变化的网络威胁形式。要准备好考虑更加安全和高效的网络安全协议模式。
打造安全文化
通过加强IT、HR、安全团队和员工之间关于风险、数据隐私、互联网使用等等方面的沟通,很多企业增强了自身员工的能力,开始看到在应对先进AI威胁方面的成果。当今威胁环境下,每个人肩上都担负着安全责任。
