从美国大选造谣视频到AI编写的网络钓鱼邮件,深度伪造(deepfake)诈骗和生成式人工默认攻打日益猖狂,人眼越来越难以辨识,企业迫切须要为网络安保团队制订AI安保事情照应指南。
深度伪造攻打要挟日益参与
世界范围内,越来越多的邮件和消息被AI生成,2022年底仅有7%的邮件由AI生成,当初这一比例现已回升到12%。安保公司纷繁开发检测工具,以识别AI生成的内容。
近日,世界运行安保名目组织(OWASP)发布了一系列专门应答AI要挟的指南,为企业提供深度伪造事情的照应框架,并设立AI安保出色核心和AI安保处置方案数据库。此前,OWASP曾发布一份AI安保与控制的审核清单,而此次新推出的指南愈加并重于AI技术的用户,详细如下:
《深度伪造事情预备和应答指南》论述了“超事实数字伪造”所带来的疑问。作为人工默认网络要挟情报方案的产物,该资源结合了适用和务虚的进攻战略,协助组织在深度伪造技术始终改良的状况下坚持安保。
“出色核心指南”协助企业建设最佳通常和框架,以创立AI安保通常。该指南协助组织建设风险控制系统和跨部门协调系统,包含安保、法律、数据迷信和运营团队,以及如何制订和口头安保政策以及对员工启动AI安保教育。
“AI安保处置方案概览指南”是一份对于如何包全开源和商业LLM及GenAI运行程序的宽泛参考。它对现有和新兴的安保产品启动了分类,并就如何思考十大列表中确定的风险提供了指点。
“企业想要尽或者在安保的前提下经常使用AI,由于在当今竞争强烈的商业环境中,这是一种关键的竞争差异化要素。”OWASP名目联席担任人斯科特·克林顿(Scott Clinton)示意。
网络安保公司遭逢深度伪造攻打
近日,网络安保公司Exabeam就遭逢了一同深度伪造攻打事情。公司一位初级安保剖析师候选人在成功初步面试后进入最终面试环节时,被Exabeam的控制、风险与合规团队担任人乔迪·马斯(Jodi Maas)发觉出异常。
马斯回想,虽然人力资源团队最后在面试中发现该候选人的体现有些“刻意”,但在正式面试时疑问更为显著:视频中的女性面试者简直没有表情,嘴唇与音频不同步,背景还产生了数字伪影。面试完结后,马斯与Exabeam的首席消息安保官凯文·柯克伍德(Kevin Kirkwood)核实,确认这是一场深度伪造攻打。
“最令人异常的是,求职者居然经过了HR的初步挑选。”柯克伍德说道。看法到该要挟的潜在风险后,Exabeam立刻改良了面试流程,并向HR团队提出了警觉深度伪造的倡导。现阶段,公司倡导员工对视频通话坚持高度警觉,并遍及了辨识深度伪造的技巧。
深度伪造技术的“军备比赛”
深度伪造现象已惹起IT专业人士的极大关注。一项由电子邮件安保公司Ironscales启动的考查显示,48%的受访者对深度伪造示意“极为担心”,74%的人以为它将成为未来的严关键挟。Ironscales开创人兼CEO艾亚尔·贝尼西蒂(Eyal Benishti)指出,即使的深度伪造技术尚未足够真切,但未来AI视频将愈加实在,甚至能够实时模拟他人,成为真正的“数字替身”。
“企业曾经看法到未来的沟通手腕或者不可齐全信赖,这须要一段时期来顺应。”贝尼西蒂说道。
Exabeam的柯克伍德以为,随着深度伪造技术始终优化,技术进攻手腕也必定跟上。“最蹩脚的状况是技术出现螺旋式更新——检测手腕提高,伪造技术优化,检测再更新,伪造再优化。”他说道。“我在期待技术开展,以便将其集成到SIEM系统中,标志出与深度伪造关系的特色。”
应答深度伪造须要从技术与流程入手
OWASP的克林顿指出,相较于培训人们辨识可疑视频,企业更应构建验证视频实在性的基础架构,特意是在财务买卖和员工身份验证等关键环节建设明白的流程和照应机制。
“仅依赖人类来识别深度伪造并不事实,由于这是客观的。”克林顿解释道,“须要的是愈加客观的处置方案。咱们提出了一些详细的步骤,经过技术和流程相结合来有效应答这些要挟。”
随着深度伪造技术的始终开展,企业必定从技术和控制两个方面同时发力,建设片面的进攻体系。虽然深度伪造目前还无余以诈骗大少数人,但随着技术始终提高,它必将成为网络安保畛域的一大应战。