現(xiàn)如今，各行各業(yè)都在探索如何利用創(chuàng)新技術(shù)加速產(chǎn)業(yè)升級(jí)，最直接的方式之一就是上云。

對(duì)于絕大部分企業(yè)而言，將業(yè)務(wù)遷移到云端所帶來的優(yōu)勢是顯而易見的。一方面，云計(jì)算具有按需自助服務(wù)、寬帶網(wǎng)絡(luò)訪問、快速伸縮性等特點(diǎn)，使企業(yè)可以根據(jù)自身需求靈活調(diào)整和利用計(jì)算資源，能夠高效地運(yùn)營業(yè)務(wù)，從而快速應(yīng)對(duì)市場環(huán)境的不斷變化;另一方面，通過云計(jì)算的高效計(jì)算和存儲(chǔ)能力，結(jié)合大數(shù)據(jù)、5G、物聯(lián)網(wǎng)等數(shù)字技術(shù)，將發(fā)揮疊加效應(yīng)，為企業(yè)帶來更多的商業(yè)機(jī)遇和競爭優(yōu)勢，促進(jìn)產(chǎn)業(yè)的快速發(fā)展和進(jìn)步。

不過，隨著企業(yè)上云用云進(jìn)程的加快，安全問題開始變得日益突出。特別是隨著生成式AI的出現(xiàn)，并被迅速應(yīng)用于諸多領(lǐng)域，表現(xiàn)出令人矚目的成效和能力的同時(shí)，也給云安全帶來了新的挑戰(zhàn)。

日前，比特網(wǎng)采訪到Akamai執(zhí)行副總裁兼首席技術(shù)官Robert?Blumofe博士，主要圍繞生成式AI對(duì)網(wǎng)絡(luò)安全的影響，進(jìn)行了深入預(yù)測。

Akamai執(zhí)行副總裁兼首席技術(shù)官?Robert?Blumofe博士

云安全面臨的挑戰(zhàn)

近年來，生成式AI技術(shù)取得突破式發(fā)展，無論是DALL-E的圖像生成能力，還是ChatGPT的自然語言處理技能，生成式AI的潛力正在被逐漸發(fā)掘，并吸引著眾多企業(yè)紛紛入局。

Blumofe指出，在采用新技術(shù)方面，亞太地區(qū)往往走在世界的前列，而生成式?AI?也不例外。據(jù)IDC公布的數(shù)據(jù)顯示，在采用生成式AI技術(shù)方面，亞太地區(qū)走在世界的前列，三分之二的公司已經(jīng)在生成式AI領(lǐng)域進(jìn)行投資或者在探索潛在的應(yīng)用場景。

然而，與任何技術(shù)一樣，總會(huì)有人試圖利用它來達(dá)到惡意目的。生成式AI作為一種人工智能技術(shù)，利用機(jī)器學(xué)習(xí)模型和深度學(xué)習(xí)技術(shù)，通過研究歷史數(shù)據(jù)的模式來生成文本、圖像、音頻、視頻等內(nèi)容。但與此同時(shí)，生成式AI還可以生成逼真且令人信服的虛假內(nèi)容，如假新聞、假圖片和假視頻等，這些深度偽造內(nèi)容往往難以辨別真?zhèn)?，容易被誤傳和誤導(dǎo)，對(duì)社會(huì)和個(gè)人造成不良影響。

也正因?yàn)槿绱耍鐣?huì)工程攻擊將成為網(wǎng)絡(luò)犯罪分子的首選武器。以前，社會(huì)工程攻擊需要付出大量努力，不但需要對(duì)受害者進(jìn)行廣泛深入的研究，且需要花費(fèi)大量時(shí)間精心偽造令人信服的虛假信息，現(xiàn)在有了生成式AI技術(shù)，所有這一切都發(fā)生了改變。

通過生成式AI技術(shù)，網(wǎng)絡(luò)犯罪分子實(shí)現(xiàn)了社會(huì)工程攻擊研究的自動(dòng)化，并生成令人信服的深度偽造，這意味著網(wǎng)絡(luò)犯罪分子可以更容易地獲取受害者的信任，實(shí)施大規(guī)模、高收益的社會(huì)工程攻擊。這可能導(dǎo)致云服務(wù)提供商和用戶的敏感信息泄露、數(shù)據(jù)損壞或服務(wù)中斷等問題，對(duì)云安全造成嚴(yán)重影響。因此，云安全領(lǐng)域需要采取相應(yīng)的防御措施，加強(qiáng)用戶教育，提高對(duì)深度偽造內(nèi)容的辨識(shí)能力，以及采用先進(jìn)的威脅檢測和防護(hù)技術(shù)來應(yīng)對(duì)社會(huì)工程攻擊帶來的安全挑戰(zhàn)。

如何做好網(wǎng)絡(luò)安全防范措施？

面對(duì)這種嚴(yán)峻的安全形勢，企業(yè)該如何應(yīng)對(duì)呢？

對(duì)此，Blumofe表示，應(yīng)從培訓(xùn)AI素養(yǎng)、打造零信任環(huán)境、避免盲目追求AI技術(shù)三方面入手，應(yīng)對(duì)生成式AI帶來的安全挑戰(zhàn)，具體來看：

在培訓(xùn)AI素養(yǎng)方面，隨著生成式?AI?工具的應(yīng)用變得越來越普及，人們將更加難以辨別是非真假，各企業(yè)需要對(duì)?AI?素養(yǎng)進(jìn)行投資，以維持客戶信任。

AI素養(yǎng)作為一種綜合素質(zhì)，不僅包括AI相關(guān)的知識(shí)和判斷能力，還包括與AI技術(shù)使用相關(guān)的態(tài)度和倫理等。可以說，AI素養(yǎng)的提升無疑將有助于人們更好地適應(yīng)和利用AI技術(shù)帶來的變革和機(jī)會(huì)，同時(shí)維護(hù)互聯(lián)網(wǎng)的健康發(fā)展和社會(huì)的福祉。

“亞太地區(qū)有機(jī)會(huì)在應(yīng)對(duì)AI帶來的真假難辨挑戰(zhàn)方面發(fā)揮先導(dǎo)作用，同時(shí)確保深度偽造不會(huì)損害合法企業(yè)并幫助每個(gè)人能夠區(qū)分事實(shí)與虛構(gòu)內(nèi)容?！盉lumofe說道。

在打造零信任環(huán)境方面，目前，亞太地區(qū)及日本已經(jīng)開始采取行動(dòng)，出臺(tái)了更嚴(yán)格的法規(guī)來保護(hù)個(gè)人身份信息并避免數(shù)據(jù)泄露。這些法規(guī)不僅加大了對(duì)違法行為的處罰力度，還要求企業(yè)采取更加有效的安全措施來保護(hù)用戶數(shù)據(jù)。

為了滿足法規(guī)要求并抵御社會(huì)工程攻擊，許多企業(yè)開始對(duì)Zero?Trust架構(gòu)進(jìn)行投資。這種架構(gòu)的核心思想是“永不信任，始終驗(yàn)證”，強(qiáng)調(diào)對(duì)所有用戶和設(shè)備的持續(xù)性驗(yàn)證，而不是僅僅依靠一次性的身份驗(yàn)證，即便是某個(gè)員工無意中成為社會(huì)工程攻擊的受害者，也能確保企業(yè)關(guān)鍵資產(chǎn)的安全。

實(shí)際上，在Zero?Trust架構(gòu)中，微分段技術(shù)扮演了關(guān)鍵角色。它可以將網(wǎng)絡(luò)劃分為多個(gè)小段，每個(gè)小段都有自己的安全策略和訪問控制，即使攻擊者成功侵入網(wǎng)絡(luò)，他們的活動(dòng)范圍也會(huì)被限制在一個(gè)小段內(nèi)，這大大提高了系統(tǒng)的安全性，降低了社會(huì)工程攻擊成功的可能性。

在優(yōu)化安全基礎(chǔ)保護(hù)措施方面，隨著生成式AI技術(shù)的快速發(fā)展，網(wǎng)絡(luò)犯罪分子也開始利用這些工具來推進(jìn)其惡意目標(biāo)，這讓企業(yè)安全面臨全新的挑戰(zhàn)。因此，企業(yè)必須時(shí)刻保持警惕，確保自身的資產(chǎn)得到充分保護(hù)。

盡管AI，尤其是深度學(xué)習(xí)在解決安全挑戰(zhàn)上占有一席之地，有些初創(chuàng)公司也宣稱已經(jīng)使用生成式AI來制造確保安全的“靈丹妙藥”，但實(shí)際是，完善的安全基礎(chǔ)防護(hù)措施仍然是保護(hù)企業(yè)資產(chǎn)免受已知和未知威脅侵?jǐn)_的最佳方式，這包括身份驗(yàn)證、監(jiān)測能力、Zero?Trust訪問策略和微分段等。

總的來說，雖然AI技術(shù)在企業(yè)安全中發(fā)揮著重要作用，但企業(yè)不應(yīng)該盲目追求AI技術(shù)，而應(yīng)該優(yōu)先考慮基礎(chǔ)的安全保護(hù)措施，應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅。

根據(jù)Akamai近期發(fā)布的“A?Year?in?Review”SOTI報(bào)告分析，盡管面臨種種網(wǎng)絡(luò)安全挑戰(zhàn)，用戶仍可以通過遵循網(wǎng)絡(luò)和運(yùn)營協(xié)調(diào)的兩項(xiàng)最佳實(shí)踐來提高保護(hù)自身的有效性，從而使?Akamai?能夠作為其網(wǎng)絡(luò)團(tuán)隊(duì)的延伸。

首先，企業(yè)應(yīng)該在安全時(shí)期與?SOCC?合作，主動(dòng)建立防御態(tài)勢，而不是在攻擊期間才嘗試這樣做。這樣可以預(yù)先緩解攻擊，而不會(huì)對(duì)生產(chǎn)產(chǎn)生影響，并且客戶將收到詳細(xì)說明所避免的攻擊的后續(xù)報(bào)告。

其次，企業(yè)應(yīng)該積極致力于運(yùn)營準(zhǔn)備和備份計(jì)劃。例如，企業(yè)應(yīng)該確保知道在測試期間如何進(jìn)出不同的平臺(tái)。由于運(yùn)營問題，五分鐘的攻擊可能會(huì)對(duì)用戶造成巨大的損失，因此做好運(yùn)營準(zhǔn)備與應(yīng)對(duì)純粹的網(wǎng)絡(luò)問題同樣重要。

寫在最后：

每一項(xiàng)重大的技術(shù)進(jìn)步，都會(huì)引發(fā)雙重用途的困境。隨著生成式AI技術(shù)的快速發(fā)展，對(duì)企業(yè)的云安全能力提出了更高的要求。企業(yè)應(yīng)時(shí)刻保持警惕，持續(xù)提升自身的網(wǎng)絡(luò)安全防護(hù)能力，以確保業(yè)務(wù)的穩(wěn)健運(yùn)行和持續(xù)發(fā)展。