1986 年首個(gè)針對(duì)個(gè)人電腦的計(jì)算機(jī)病毒出現(xiàn)以來(lái)，近四十年來(lái)，網(wǎng)絡(luò)威脅不斷演變，網(wǎng)絡(luò)安全領(lǐng)域面臨著越來(lái)越復(fù)雜的挑戰(zhàn)。雖然許多人都熟悉網(wǎng)絡(luò)釣魚和勒索軟件等常見威脅，但更新、更有針對(duì)性的攻擊正在出現(xiàn)，威脅著我們數(shù)字基礎(chǔ)設(shè)施的根基。

供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)

最近的事件凸顯了供應(yīng)鏈攻擊的破壞性潛力。一個(gè)令人震驚的例子是XZ Utils 后門 (CVE-2024-3094)，這是一個(gè)廣泛使用的開源壓縮工具中的一個(gè)嚴(yán)重漏洞。這次攻擊由“Jia Tan”賬戶領(lǐng)導(dǎo)，是一項(xiàng)持續(xù)多年的行動(dòng)，始于2021年，最終于2024年部署了后門。

隨著時(shí)間的推移，攻擊者將他們的漏洞嵌入到軟件中，展示了供應(yīng)鏈攻擊可以多么深入地滲透和利用眾多組織的基礎(chǔ)軟件。

此次事件提醒各組織機(jī)構(gòu)應(yīng)嚴(yán)格審查其軟件供應(yīng)鏈的安全性。開源組件可能是薄弱環(huán)節(jié)，通常由小型且資金不足的團(tuán)隊(duì)維護(hù)。組織機(jī)構(gòu)必須監(jiān)控更新和補(bǔ)丁，以避免引入新的漏洞。

開源軟件問題

XZ Utils 事件凸顯了開源社區(qū)的廣泛擔(dān)憂。惡意行為者可以輕而易舉地在開源項(xiàng)目中插入后門。Jia Tan賬戶只是可疑賬戶如何躲過監(jiān)控的一個(gè)例子，它們悄悄地將惡意代碼注入到廣泛使用的軟件包中。

最近的一項(xiàng)分析顯示，即使是 Python 包管理系統(tǒng) PIP 也有一個(gè)具有提交權(quán)限的可疑帳戶。這引起了人們對(duì)許多關(guān)鍵 Python 包安全性的嚴(yán)重?fù)?dān)憂。這些帳戶經(jīng)常做出看似無(wú)辜的貢獻(xiàn)，但可能會(huì)為未來(lái)的攻擊奠定基礎(chǔ)。

這種情況凸顯了開源社區(qū)需要加強(qiáng)警惕和驗(yàn)證。依賴開源軟件的組織必須實(shí)施嚴(yán)格的審查流程，并使用工具來(lái)監(jiān)控和警告其代碼庫(kù)中的可疑活動(dòng)。

GenAI 的前景與風(fēng)險(xiǎn)

GenAI 具有變革潛力，Klarna的AI Assistant 就證明了這一點(diǎn)，它現(xiàn)在處理的工作量相當(dāng)于700名客服人員。對(duì)于 Klarna 來(lái)說，這意味著每年可節(jié)省約 4000萬(wàn)美元，這證明了 AI 能夠提高生產(chǎn)力并降低運(yùn)營(yíng)成本。

然而，GenAI的整合也存在風(fēng)險(xiǎn)。高管在采用AI解決方案時(shí)必須確保網(wǎng)絡(luò)安全是基本考慮因素。GenAI系統(tǒng)可能容易受到各種威脅，例如數(shù)據(jù)中毒，攻擊者將誤導(dǎo)性數(shù)據(jù)輸入AI系統(tǒng)，導(dǎo)致輸出不正確。此外，這些系統(tǒng)可能面臨拒絕服務(wù)攻擊，導(dǎo)致成本增加和性能下降，或?qū)е旅舾袛?shù)據(jù)泄露的隱私泄露。

集成 GenAI 時(shí)需要考慮的三個(gè)關(guān)鍵因素是可用性、系統(tǒng)完整性和隱私性。確保這些方面得到妥善管理將有助于降低大規(guī)模部署 AI 系統(tǒng)所帶來(lái)的風(fēng)險(xiǎn)。

抵御網(wǎng)絡(luò)攻擊的最佳戰(zhàn)略防御策略

組織必須采用多層防御策略來(lái)應(yīng)對(duì)這種復(fù)雜的威脅形勢(shì)。以下是一些關(guān)鍵組成部分：

1. 主動(dòng)安全測(cè)試：紅藍(lán)隊(duì)演習(xí)

紅藍(lán)隊(duì)演習(xí)模擬了現(xiàn)實(shí)世界的網(wǎng)絡(luò)攻擊，幫助組織在漏洞被利用之前發(fā)現(xiàn)它們。對(duì)于人工智能系統(tǒng)，這些演習(xí)應(yīng)側(cè)重于評(píng)估模型對(duì)幻覺、偏見和騷擾等違禁內(nèi)容等危害的穩(wěn)健性。組織可以通過不斷評(píng)估和改進(jìn)人工智能系統(tǒng)的安全性和道德表現(xiàn)來(lái)領(lǐng)先于潛在威脅。

2. 人工智能專用的安全措施，開始利用ATLAS

隨著人工智能越來(lái)越融入業(yè)務(wù)流程，應(yīng)對(duì)特定于人工智能的威脅至關(guān)重要。人工智能系統(tǒng)對(duì)抗威脅態(tài)勢(shì) (ATLAS) 是 MITRE ATT&CK 的補(bǔ)充知識(shí)庫(kù)，記錄了現(xiàn)實(shí)世界中針對(duì)人工智能系統(tǒng)的對(duì)抗策略。組織應(yīng)使用 ATLAS 來(lái)隨時(shí)了解這些不斷演變的威脅，并提高對(duì)針對(duì)人工智能技術(shù)的攻擊的防御能力。

3. 零信任架構(gòu)，實(shí)現(xiàn)更好的訪問控制

在當(dāng)今環(huán)境中，采用零信任架構(gòu)至關(guān)重要，尤其是對(duì)于集成 AI 的系統(tǒng)而言。這種方法的原則是，默認(rèn)情況下不應(yīng)信任任何實(shí)體（無(wú)論是網(wǎng)絡(luò)內(nèi)部還是外部）。持續(xù)驗(yàn)證用戶身份和嚴(yán)格的訪問控制是基礎(chǔ)要素。

然而，數(shù)據(jù)邊界對(duì)于人工智能系統(tǒng)同樣重要。人工智能模型通常處理大量敏感數(shù)據(jù)，確保這些數(shù)據(jù)得到充分分割和保護(hù)至關(guān)重要。建立清晰的數(shù)據(jù)邊界可防止未經(jīng)授權(quán)訪問敏感信息，從而降低數(shù)據(jù)泄露或操縱的風(fēng)險(xiǎn)。這在人工智能系統(tǒng)中尤為重要，因?yàn)閿?shù)據(jù)完整性直接影響人工智能的輸出和決策。

通過實(shí)施具有可靠數(shù)據(jù)邊界控制的零信任架構(gòu)，組織可以確保其 AI 系統(tǒng)安全運(yùn)行，保護(hù)其處理的數(shù)據(jù)和生成的見解。

不斷變化的威脅形勢(shì)要求組織在網(wǎng)絡(luò)安全工作中保持警惕和主動(dòng)性。通過了解與供應(yīng)鏈漏洞、開源軟件和 GenAI 集成相關(guān)的風(fēng)險(xiǎn)并實(shí)施戰(zhàn)略防御策略，組織可以更好地保護(hù)其數(shù)字資產(chǎn)。網(wǎng)絡(luò)安全不再僅僅是 IT 問題。它是整體業(yè)務(wù)戰(zhàn)略的重要組成部分，需要組織各個(gè)層面的關(guān)注。