眾所周知�����,人臉�����、聲音等自然人的生物信息具有高度識別性和強(qiáng)關(guān)聯(lián)性�����,是身份屬性中的強(qiáng)屬性特征�����。而一旦這些信息“丟失”了�����,會怎么樣�����?
1月21日,美國新罕布什爾州一些選民稱接到了“拜登總統(tǒng)”的自動留言電話�����,告訴接聽者不要在該州初選中投票�����。美國白宮新聞秘書卡琳·讓-皮埃爾(Karine Jean-Pierre)次日回應(yīng)稱:“那通電話確實(shí)是假的�����。”
1月底�����,明星泰勒·斯威夫特(Taylor Swift�����,中文綽號“霉霉”)大量虛假“不雅照片”在社交平臺上傳播�����。2月4日,據(jù)香港文匯報報道�����,有詐騙集團(tuán)利用AI“深度偽造”技術(shù)向一家跨國公司的香港分公司實(shí)施詐騙�����,并成功騙走2億港元�����,這也是香港迄今為止損失最大的“換臉”案例�����。
去年5月初�����,內(nèi)蒙古包頭市公安局電信網(wǎng)絡(luò)犯罪偵查局發(fā)布一起使用智能AI技術(shù)進(jìn)行電信詐騙的案件�����。福建省福州市某科技公司法人代表郭先生的“好友”突然通過微信視頻聯(lián)系他�����,聲稱自己的朋友在外地投標(biāo)�����,需要430萬元保證金�����,想借用郭先生公司的賬戶走賬�����?����;谝曨l聊天信任的前提�����,郭先生并未核實(shí)錢是否到賬�����,就陸續(xù)轉(zhuǎn)給對方共計430萬元,之后才發(fā)現(xiàn)被騙�����。
......
類似上述使用AI深度偽造換臉�����、換聲等進(jìn)行詐騙�����、誹謗�����、敲詐勒索等新型違法行為屢見不鮮�����,且日漸增多�����;尤其是在生成式AI浪潮下�����,黑客們將生成式AI作為他們的“攻擊武器”頻繁發(fā)起復(fù)雜的網(wǎng)絡(luò)攻擊�����,并將其擴(kuò)大甚至是自動化�����。
據(jù)有關(guān)報告顯示�����,2023年基于AI的深度偽造欺詐暴增了3000%�����,基于AI的釣魚郵件增長了1000%�����,密碼攻擊嘗試高達(dá)每月300億次……
從上述AI安全事件與攻擊數(shù)據(jù)來看�����,身份仍然是攻擊的首選策略。近日�����,IBM公布的2024年《X-Force 威脅情報指數(shù)報告》也再次證明了該觀點(diǎn)�����。據(jù)報告顯示�����,2023 年利用身份信息形成的網(wǎng)絡(luò)攻擊激增71%�����。
如何從“身份”應(yīng)對AI安全危機(jī)�����?
從網(wǎng)絡(luò)安全危機(jī)角度來看�����,AI一方面放大了現(xiàn)有威脅�����,比如釣魚郵件�����、惡意軟件和社會工程學(xué)等�����;另一方面又引入了新型威脅�����,如AI自動化攻擊�����、AI深度偽造等�����。
面對AI帶來的系列安全危機(jī)�����,以及身份仍是攻擊的首選策略的安全現(xiàn)狀,派拉軟件建議企業(yè)組織持續(xù)加強(qiáng)數(shù)字身份安全�����,重建數(shù)字信任�����,從而更加有效應(yīng)對AI安全危機(jī)�����!
當(dāng)下�����,企業(yè)組織采取全新的以“身份優(yōu)先”的零信任網(wǎng)絡(luò)安全架構(gòu)或是加強(qiáng)數(shù)字身份安全的最佳選擇�����。在零信任架構(gòu)下�����,IAM系統(tǒng)會默認(rèn)進(jìn)入企業(yè)內(nèi)生數(shù)字世界的一切實(shí)體(包括人和非人)都是不可信的�����。
只有通過了基于上下文的實(shí)時動態(tài)認(rèn)證評估分析�����,并在基于風(fēng)險的細(xì)粒度訪問控制策略與鑒權(quán)下�����,應(yīng)用自適應(yīng)授權(quán)機(jī)制后�����,才能讓實(shí)體接入并訪問特定的資源�����,確保只有正確的實(shí)體在正確的時間�����、正確的條件下才能訪問正確的資源�����!這不僅減少了攻擊面,降低了身份和憑證被盜竊的風(fēng)險�����,還提升了用戶的整體體驗(yàn)�����。
近期�����,派拉軟件在與云安全聯(lián)盟大中華區(qū)聯(lián)合翻譯并發(fā)布的《面向IAM的零信任原則與指南》中進(jìn)一步詳細(xì)闡述了�����,在零信任架構(gòu)中�����,認(rèn)證方式從主體可信轉(zhuǎn)變?yōu)樽赃m應(yīng)身份驗(yàn)證和授權(quán)模型�����。
業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的訪問權(quán)限基于訪問主體提供的一系列身份屬性進(jìn)行授權(quán)�����。這些身份屬性和訪問請求相關(guān)的情報(標(biāo)識)進(jìn)行組合校驗(yàn)�����,當(dāng)訪問主體的信任評估結(jié)果達(dá)到(或超過)預(yù)設(shè)置的訪問請求閾值時�����,才允許該訪問主體對系統(tǒng)和數(shù)據(jù)的訪問請求�����。
此外�����,零信任架構(gòu)下的訪問請求是基于訪問應(yīng)用�����、訪問途經(jīng)、訪問設(shè)備及訪問請求的頻率而持續(xù)動態(tài)評估的�����。因此無需考慮組織的資源和環(huán)境位于什么位置�����,通過零信任架構(gòu)的持續(xù)動態(tài)評估即可增強(qiáng)訪問的安全性�����。
當(dāng)訪問者完成了一次訪問請求�����,將針對已完成的訪問請求進(jìn)行建模�����,同時將一次可信的訪問請求日志進(jìn)行記錄�����,便于為后續(xù)出現(xiàn)潛在風(fēng)險請求時的積極應(yīng)對�����。
詳細(xì)《面向IAM的零信任原則與指南》內(nèi)容�����,關(guān)注【派拉軟件】公眾號�����,回復(fù)關(guān)鍵字【零信任】�����,即可在線下載獲取�����。
以上只是從身份安全這一角度去探討如何應(yīng)對AI安全危機(jī)�����。當(dāng)然�����,這還遠(yuǎn)遠(yuǎn)不夠,但卻也是企業(yè)組織必不可少的安全基礎(chǔ)�����。未來�����,AI帶來的安全危機(jī)還將隨著時間與技術(shù)的發(fā)展不斷變化�����。
AI這個潘多拉的盒子已經(jīng)打開了�����,要想再關(guān)上就沒有那么容易了�����。這絕不是一個企業(yè)可以應(yīng)對的�����,而是需要國家�����、政府等組織以及全球每一個人置身其中,共同面對�����。
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認(rèn)證IDA
細(xì)粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺PDMP
一體化零信任
運(yùn)維安全
數(shù)據(jù)安全治理
遠(yuǎn)程辦公安全
國產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺
數(shù)字化員工門戶
.png)
.png)
熱門文章
7*24小時服務(wù)
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認(rèn)證
滬公網(wǎng)安備 31011502012922號