En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>AI安全> 第一批AI受害者陸續(xù)涌現(xiàn),身份仍是攻擊的首選策略!

第一批AI受害者陸續(xù)涌現(xiàn),身份仍是攻擊的首選策略!

文章

2024-03-14瀏覽次數(shù):392

眾所周知,人臉、聲音等自然人的生物信息具有高度識(shí)別性和強(qiáng)關(guān)聯(lián)性,是身份屬性中的強(qiáng)屬性特征。而一旦這些信息“丟失”了,會(huì)怎么樣?

 

圖片

 

 

 

01

AI安全攻擊事件日漸增加?

 

1月21日,美國新罕布什爾州一些選民稱接到了“拜登總統(tǒng)”的自動(dòng)留言電話,告訴接聽者不要在該州初選中投票。美國白宮新聞秘書卡琳·讓-皮埃爾(Karine Jean-Pierre)次日回應(yīng)稱:“那通電話確實(shí)是假的。”

 

1月底,明星泰勒·斯威夫特(Taylor Swift,中文綽號(hào)“霉霉”)大量虛假“不雅照片”在社交平臺(tái)上傳播。2月4日,據(jù)香港文匯報(bào)報(bào)道,有詐騙集團(tuán)利用AI“深度偽造”技術(shù)向一家跨國公司的香港分公司實(shí)施詐騙,并成功騙走2億港元,這也是香港迄今為止損失最大的“換臉”案例。

 

去年5月初,內(nèi)蒙古包頭市公安局電信網(wǎng)絡(luò)犯罪偵查局發(fā)布一起使用智能AI技術(shù)進(jìn)行電信詐騙的案件。福建省福州市某科技公司法人代表郭先生的“好友”突然通過微信視頻聯(lián)系他,聲稱自己的朋友在外地投標(biāo),需要430萬元保證金,想借用郭先生公司的賬戶走賬?;谝曨l聊天信任的前提,郭先生并未核實(shí)錢是否到賬,就陸續(xù)轉(zhuǎn)給對(duì)方共計(jì)430萬元,之后才發(fā)現(xiàn)被騙。

 

......

 

 

 

02

身份仍是AI攻擊的首選策略

 

類似上述使用AI深度偽造換臉、換聲等進(jìn)行詐騙、誹謗、敲詐勒索等新型違法行為屢見不鮮,且日漸增多;尤其是在生成式AI浪潮下,黑客們將生成式AI作為他們的“攻擊武器”頻繁發(fā)起復(fù)雜的網(wǎng)絡(luò)攻擊,并將其擴(kuò)大甚至是自動(dòng)化。

 

據(jù)有關(guān)報(bào)告顯示,2023年基于AI的深度偽造欺詐暴增了3000%,基于AI的釣魚郵件增長了1000%,密碼攻擊嘗試高達(dá)每月300億次……

 

從上述AI安全事件與攻擊數(shù)據(jù)來看,身份仍然是攻擊的首選策略。近日,IBM公布的2024年《X-Force 威脅情報(bào)指數(shù)報(bào)告》也再次證明了該觀點(diǎn)。據(jù)報(bào)告顯示,2023 年利用身份信息形成的網(wǎng)絡(luò)攻擊激增71%。

 

 

 

03

如何從“身份”應(yīng)對(duì)AI安全危機(jī)?

 

從網(wǎng)絡(luò)安全危機(jī)角度來看,AI一方面放大了現(xiàn)有威脅,比如釣魚郵件、惡意軟件和社會(huì)工程學(xué)等;另一方面又引入了新型威脅,如AI自動(dòng)化攻擊、AI深度偽造等。

 

面對(duì)AI帶來的系列安全危機(jī),以及身份仍是攻擊的首選策略的安全現(xiàn)狀,派拉軟件建議企業(yè)組織持續(xù)加強(qiáng)數(shù)字身份安全,重建數(shù)字信任,從而更加有效應(yīng)對(duì)AI安全危機(jī)!

 

當(dāng)下,企業(yè)組織采取全新的以“身份優(yōu)先”的零信任網(wǎng)絡(luò)安全架構(gòu)或是加強(qiáng)數(shù)字身份安全的最佳選擇。在零信任架構(gòu)下,IAM系統(tǒng)會(huì)默認(rèn)進(jìn)入企業(yè)內(nèi)生數(shù)字世界的一切實(shí)體(包括人和非人)都是不可信的。

 

只有通過了基于上下文的實(shí)時(shí)動(dòng)態(tài)認(rèn)證評(píng)估分析,并在基于風(fēng)險(xiǎn)的細(xì)粒度訪問控制策略與鑒權(quán)下,應(yīng)用自適應(yīng)授權(quán)機(jī)制后,才能讓實(shí)體接入并訪問特定的資源,確保只有正確的實(shí)體在正確的時(shí)間、正確的條件下才能訪問正確的資源!這不僅減少了攻擊面,降低了身份和憑證被盜竊的風(fēng)險(xiǎn),還提升了用戶的整體體驗(yàn)。

 

近期,派拉軟件在與云安全聯(lián)盟大中華區(qū)聯(lián)合翻譯并發(fā)布的《面向IAM的零信任原則與指南》中進(jìn)一步詳細(xì)闡述了,在零信任架構(gòu)中,認(rèn)證方式從主體可信轉(zhuǎn)變?yōu)樽赃m應(yīng)身份驗(yàn)證和授權(quán)模型。

 

 

業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的訪問權(quán)限基于訪問主體提供的一系列身份屬性進(jìn)行授權(quán)。這些身份屬性和訪問請(qǐng)求相關(guān)的情報(bào)(標(biāo)識(shí))進(jìn)行組合校驗(yàn),當(dāng)訪問主體的信任評(píng)估結(jié)果達(dá)到(或超過)預(yù)設(shè)置的訪問請(qǐng)求閾值時(shí),才允許該訪問主體對(duì)系統(tǒng)和數(shù)據(jù)的訪問請(qǐng)求。

 

此外,零信任架構(gòu)下的訪問請(qǐng)求是基于訪問應(yīng)用、訪問途經(jīng)、訪問設(shè)備及訪問請(qǐng)求的頻率而持續(xù)動(dòng)態(tài)評(píng)估的。因此無需考慮組織的資源和環(huán)境位于什么位置,通過零信任架構(gòu)的持續(xù)動(dòng)態(tài)評(píng)估即可增強(qiáng)訪問的安全性。

 

當(dāng)訪問者完成了一次訪問請(qǐng)求,將針對(duì)已完成的訪問請(qǐng)求進(jìn)行建模,同時(shí)將一次可信的訪問請(qǐng)求日志進(jìn)行記錄,便于為后續(xù)出現(xiàn)潛在風(fēng)險(xiǎn)請(qǐng)求時(shí)的積極應(yīng)對(duì)。

 

詳細(xì)《面向IAM的零信任原則與指南》內(nèi)容,關(guān)注【派拉軟件】公眾號(hào),回復(fù)關(guān)鍵字【零信任】,即可在線下載獲取。

 

以上只是從身份安全這一角度去探討如何應(yīng)對(duì)AI安全危機(jī)。當(dāng)然,這還遠(yuǎn)遠(yuǎn)不夠,但卻也是企業(yè)組織必不可少的安全基礎(chǔ)。未來,AI帶來的安全危機(jī)還將隨著時(shí)間與技術(shù)的發(fā)展不斷變化。

 

AI這個(gè)潘多拉的盒子已經(jīng)打開了,要想再關(guān)上就沒有那么容易了。這絕不是一個(gè)企業(yè)可以應(yīng)對(duì)的,而是需要國家、政府等組織以及全球每一個(gè)人置身其中,共同面對(duì)。