生成式人工智能將對(duì)網(wǎng)絡(luò)安全行業(yè)所有企業(yè)的運(yùn)作方式產(chǎn)生重大深遠(yuǎn)影響。2023年將是網(wǎng)絡(luò)安全技術(shù)進(jìn)化最快的一年,為未來(lái)幾十年指明方向。
ChatGPT引發(fā)的網(wǎng)絡(luò)安全“軍備競(jìng)賽”正在持續(xù)發(fā)酵,無(wú)數(shù)真實(shí)用例表明網(wǎng)絡(luò)安全正以不可逆的姿態(tài)進(jìn)入生成式人工智能時(shí)代。
生成式人工智能對(duì)網(wǎng)絡(luò)安全團(tuán)隊(duì)來(lái)說(shuō)是福是禍?網(wǎng)絡(luò)安全業(yè)界的觀點(diǎn)可大致分為“降臨派”、“拯救派”和“幸存派”三大類。
降臨派認(rèn)為人工智能是攻擊技術(shù)的大殺器,將大大加快黑客攻擊和網(wǎng)絡(luò)犯罪的技術(shù)迭代,使大規(guī)模針對(duì)性網(wǎng)絡(luò)攻擊成為可能,網(wǎng)絡(luò)安全將進(jìn)入“亂紀(jì)元”;拯救派則認(rèn)為生成式人工智能可極大增強(qiáng)威脅預(yù)防、檢測(cè)和響應(yīng)能力,是防御者“用魔法打敗魔法”的有力武器;幸存派則同時(shí)支持前兩者的觀點(diǎn),并祈禱自己不會(huì)淪為新一輪AI軍備競(jìng)賽的炮灰。
ChatGPT推動(dòng)11大網(wǎng)絡(luò)安全創(chuàng)新
無(wú)論是降臨派、拯救派還是幸存派,都面臨一個(gè)共同問(wèn)題,難以跟蹤光速進(jìn)化、百花齊放的ChatGPT網(wǎng)絡(luò)安全用例。近日,普華永道高級(jí)分析師(拯救派)分享了2023年ChatGPT推動(dòng)的,即將改變網(wǎng)絡(luò)安全市場(chǎng)和威脅格局的11大創(chuàng)新,具體如下:
1.人工智能的進(jìn)攻性技術(shù)(惡意)應(yīng)用
2.AI訓(xùn)練和輸出數(shù)據(jù)的安全防護(hù)
3.制訂生成式AI使用政策
4.推動(dòng)安全審計(jì)現(xiàn)代化
5.更加關(guān)注數(shù)據(jù)衛(wèi)生和評(píng)估偏見(jiàn)
6.應(yīng)對(duì)快速增長(zhǎng)的人工智能風(fēng)險(xiǎn),練好安全基本功
7.創(chuàng)造新的工作和責(zé)任
8.利用人工智能優(yōu)化網(wǎng)絡(luò)投資
9.增強(qiáng)威脅情報(bào)
10.威脅預(yù)防和管理合規(guī)風(fēng)險(xiǎn)
11.實(shí)施數(shù)字信任戰(zhàn)略
一、人工智能進(jìn)攻性技術(shù)(惡意)應(yīng)用
我們正處于一個(gè)轉(zhuǎn)折點(diǎn),今天的人工智能范式巨變影響著每一個(gè)人和每一件事。當(dāng)人工智能掌握在公民和消費(fèi)者手中時(shí),是人類社會(huì)的福祉。但與此同時(shí),ChatGPT這樣的生成式人工智能技術(shù)也可以被不法分子用于惡意目的,例如開(kāi)發(fā)快速迭代和變異的惡意軟件以及高度復(fù)雜和定制化的網(wǎng)絡(luò)釣魚(yú)電子郵件。
——Sean Joyce,普華永道全球網(wǎng)絡(luò)安全和隱私負(fù)責(zé)人
二、AI訓(xùn)練和輸出數(shù)據(jù)的安全防護(hù)
生成式人工智能已經(jīng)發(fā)展到能幫助公司轉(zhuǎn)變業(yè)務(wù)的地步,對(duì)于領(lǐng)導(dǎo)者來(lái)說(shuō),重要的是與懂得如何駕馭日益增長(zhǎng)的AI安全和隱私問(wèn)題的企業(yè)合作。
原因是雙重的。首先,企業(yè)必須保護(hù)其訓(xùn)練人工智能的方式,因?yàn)樗麄儚奈⒄{(diào)模型中獲得的獨(dú)特知識(shí)對(duì)于如何經(jīng)營(yíng)業(yè)務(wù)、提供更好的產(chǎn)品和服務(wù)以及與員工、客戶和生態(tài)系統(tǒng)的互動(dòng)至關(guān)重要。
其次,公司還必須保護(hù)他們生成式人工智能解決方案的輸入和輸出信息,因?yàn)檫@些信息會(huì)透露企業(yè)客戶和員工使用該技術(shù)所做的事情。
——Mohamed Kande,普華永道美國(guó)副主席、美國(guó)咨詢解決方案聯(lián)席主管兼全球咨詢主管
三、制定生成式人工智能技術(shù)的使用政策
企業(yè)可以用獨(dú)特的知識(shí)產(chǎn)權(quán)和知識(shí)內(nèi)容來(lái)不斷訓(xùn)練模型,提升生成式人工智能的場(chǎng)景化能力。在此過(guò)程中,安全和隱私保護(hù)格外重要。對(duì)于企業(yè)而言,提示(提問(wèn))生成式AI生成內(nèi)容的方式應(yīng)該是私有的。幸運(yùn)的是,大多數(shù)生成式人工智能平臺(tái)從一開(kāi)始就考慮到了這一點(diǎn),并承諾確保提示、輸出和微調(diào)內(nèi)容的安全性和隱私性。
但是,現(xiàn)在所有用戶都明白這一點(diǎn)。因此,對(duì)于任何企業(yè)來(lái)說(shuō),制定使用生成人工智能的政策,避免機(jī)密和個(gè)人數(shù)據(jù)通過(guò)人機(jī)交互進(jìn)入公共系統(tǒng),并在其業(yè)務(wù)中為生成人工智能建立安全可靠的環(huán)境都極為重要。
——Bret Greenstein,普華永道美國(guó)合伙人(數(shù)據(jù)、分析和人工智能)
四、推動(dòng)安全審計(jì)的現(xiàn)代化
安全審計(jì)是生成式人工智能最熱門(mén)的潛在應(yīng)用領(lǐng)域之一。高級(jí)生成式人工智能技術(shù)基于復(fù)雜條件編寫(xiě)條理清晰、簡(jiǎn)潔易懂的報(bào)告,快速且高效。
生成式人工智能提供了一個(gè)信息訪問(wèn)的單點(diǎn)界面,同時(shí)還支持文檔自動(dòng)化和分析數(shù)據(jù)以響應(yīng)特定查詢,而且它非常高效,這對(duì)于安全審計(jì)人員和客戶來(lái)說(shuō)是雙贏的。不但能為審計(jì)人員提供更好的體驗(yàn),同時(shí)也為客戶提供了更好的體驗(yàn)。
——Kathryn Kaminsky,普華永道美國(guó)信托解決方案聯(lián)合負(fù)責(zé)人
五、更加關(guān)注數(shù)據(jù)安全(衛(wèi)生)并評(píng)估偏見(jiàn)
任何輸入人工智能系統(tǒng)的數(shù)據(jù)都有可能被盜或被濫用。因此,企業(yè)首先應(yīng)該審核輸入數(shù)據(jù)是否安全或者脫敏,這將有助于降低因攻擊而丟失機(jī)密信息的風(fēng)險(xiǎn)。
此外,重要的是進(jìn)行適當(dāng)?shù)臄?shù)據(jù)收集,以制定詳細(xì)且有針對(duì)性的提示并將其輸入系統(tǒng),這樣企業(yè)可以獲得更有價(jià)值(且安全)的輸出。
企業(yè)同樣需要詳細(xì)檢視人工智能系統(tǒng)的輸出信息,評(píng)估系統(tǒng)是否存在任何固有偏差。在此過(guò)程中,企業(yè)可能需要聘請(qǐng)多元化的專業(yè)團(tuán)隊(duì)來(lái)幫助評(píng)估任何偏見(jiàn)。
與編碼或腳本解決方案不同,生成式人工智能基于經(jīng)過(guò)訓(xùn)練的模型,因此它們提供的響應(yīng)不是100%可預(yù)測(cè)的。生成式人工智能的可靠輸出需要幕后技術(shù)人員與用戶之間的協(xié)作。
——Jacky Wagner,普華永道美國(guó)網(wǎng)絡(luò)安全、風(fēng)險(xiǎn)和監(jiān)管負(fù)責(zé)人
六、應(yīng)對(duì)快速增長(zhǎng)的人工智能風(fēng)險(xiǎn),練好安全基本功
生成式人工智能正在被廣泛采用,實(shí)施強(qiáng)大的安全措施是防止威脅行為者的必要條件。網(wǎng)絡(luò)犯罪分子有可能更容易地制造深度偽造內(nèi)容并執(zhí)行惡意軟件和勒索軟件攻擊,公司需要為這些挑戰(zhàn)做好準(zhǔn)備。
最有效的網(wǎng)絡(luò)安全措施往往是不起眼的基礎(chǔ)工作,例如:通過(guò)保持基本的網(wǎng)絡(luò)衛(wèi)生和壓縮龐大的遺留系統(tǒng),企業(yè)可以大大減少網(wǎng)絡(luò)犯罪分子的攻擊面。
整合運(yùn)營(yíng)環(huán)境可以降低成本,使企業(yè)能夠最大限度地提高效率并專注于改進(jìn)其網(wǎng)絡(luò)安全措施。
——Joe Nocera,普華永道合伙人負(fù)責(zé)人(網(wǎng)絡(luò)、風(fēng)險(xiǎn)和監(jiān)管營(yíng)銷)
七、創(chuàng)造新的崗位和責(zé)任
總的來(lái)說(shuō),我建議企業(yè)考慮采用生成式人工智能,而不是豎起防火墻來(lái)抵制,但要有適當(dāng)?shù)谋U洗胧┖惋L(fēng)險(xiǎn)緩解措施。生成式人工智能在完成工作方面展現(xiàn)了巨大的潛力,可幫助安全人員騰出更多時(shí)間和精力從事人類擅長(zhǎng)的分析和創(chuàng)造力。
生成式人工智能技術(shù)的出現(xiàn)可能會(huì)帶來(lái)與技術(shù)本身相關(guān)的新工作和責(zé)任,并產(chǎn)生確保人工智能以合乎道德和負(fù)責(zé)任的方式使用的責(zé)任。
員工還迫切需要接受人工智能技能培訓(xùn),從而能夠評(píng)估和識(shí)別創(chuàng)建的內(nèi)容是否準(zhǔn)確。
就像如何使用計(jì)算器來(lái)完成簡(jiǎn)單的數(shù)學(xué)相關(guān)任務(wù)一樣,在生成人工智能的日常使用中仍然需要應(yīng)用許多人類技能,例如批判性思維和有目的的定制。
從表面上看,人工智能自動(dòng)化技術(shù)似乎對(duì)手動(dòng)任務(wù)的能力構(gòu)成威脅,但它也可以釋放創(chuàng)造力并提供幫助、提高技能,幫助人們?cè)诠ぷ髦忻摲f而出。
——Julia Lamm,普華永道美國(guó)勞動(dòng)力戰(zhàn)略合伙人
八、利用人工智能優(yōu)化網(wǎng)絡(luò)安全投資
即使在經(jīng)濟(jì)高度不確定的情況下,2023年大多數(shù)企業(yè)也沒(méi)有打算減少網(wǎng)絡(luò)安全支出。但是,CISO正面臨提高安全投資有效性和決策質(zhì)量的壓力,也就是用更少的錢(qián)做更多的,這導(dǎo)致CISO熱衷于投資于用自動(dòng)化替代方案取代過(guò)度依賴手動(dòng)風(fēng)險(xiǎn)預(yù)防和緩解流程的技術(shù)。
雖然生成式AI并不完美,但它非??焖?、高效且一致,并且技能會(huì)迅速提高。通過(guò)實(shí)施正確的風(fēng)險(xiǎn)技術(shù),例如為更大的風(fēng)險(xiǎn)覆蓋和檢測(cè)而設(shè)計(jì)的機(jī)器學(xué)習(xí)機(jī)制,企業(yè)可以節(jié)省大量資金、時(shí)間和人員,并且能夠更好地應(yīng)對(duì)和抵御未來(lái)的任何不確定性。
——Elizabeth McNichol,普華永道美國(guó)企業(yè)技術(shù)解決方案負(fù)責(zé)人(網(wǎng)絡(luò)、風(fēng)險(xiǎn)和監(jiān)管)
九、增強(qiáng)威脅情報(bào)
雖然開(kāi)發(fā)生成式AI技術(shù)的公司一再聲稱將確保產(chǎn)品不被濫用于開(kāi)發(fā)和傳播惡意軟件、錯(cuò)誤信息或虛假信息,但已經(jīng)發(fā)生的案例和經(jīng)驗(yàn)告訴我們,安全問(wèn)題永遠(yuǎn)不是硅谷科技公司的第一優(yōu)先級(jí),用戶自己需要未雨綢繆,為即將到來(lái)的威脅做好準(zhǔn)備。
好消息是,到2023年,我們有望看到生成式人工智能有助于進(jìn)一步增強(qiáng)威脅情報(bào)和其他防御能力。生成式人工智能還將顯著提高效率和實(shí)時(shí)信任決策,例如,以比當(dāng)前部署的訪問(wèn)和身份模型更高的置信度,給出訪問(wèn)系統(tǒng)和信息的實(shí)時(shí)判斷。
可以肯定的是,生成式人工智能將對(duì)網(wǎng)絡(luò)安全行業(yè)的每家公司的運(yùn)作方式產(chǎn)生重大深遠(yuǎn)影響。普華永道認(rèn)為,該行業(yè)的集體進(jìn)步將繼續(xù)以人為主導(dǎo),技術(shù)為動(dòng)力,2023年將是網(wǎng)絡(luò)安全技術(shù)進(jìn)化最快的一年,為未來(lái)幾十年指明方向。
——Matt Hobbs,普華永道美國(guó)微軟業(yè)務(wù)負(fù)責(zé)人
十、威脅防范與合規(guī)風(fēng)險(xiǎn)管理
隨著威脅形勢(shì)的不斷發(fā)展,富含大量個(gè)人信息的醫(yī)療行業(yè)成了黑客的熱門(mén)目標(biāo)。
醫(yī)療行業(yè)的高管們正在增加他們的網(wǎng)絡(luò)預(yù)算并投資于自動(dòng)化技術(shù),這些技術(shù)不僅可以幫助防止網(wǎng)絡(luò)攻擊,還可以管理合規(guī)風(fēng)險(xiǎn)、更好地保護(hù)患者和員工數(shù)據(jù)、降低醫(yī)療成本、消除流程效率低下等等。
隨著生成式人工智能的不斷發(fā)展,醫(yī)療系統(tǒng)安全面臨的風(fēng)險(xiǎn)和機(jī)遇都在快速發(fā)展變化,這凸顯了醫(yī)療行業(yè)在采用生成式人工智能新技術(shù)的同時(shí)建立網(wǎng)絡(luò)防御和彈性的重要性。
——Tiffany Gallagher,普華永道美國(guó)醫(yī)療行業(yè)風(fēng)險(xiǎn)和監(jiān)管負(fù)責(zé)人
十一、實(shí)施數(shù)字信任戰(zhàn)略
對(duì)于ChatGPT這種突然加速的技術(shù)創(chuàng)新,監(jiān)管的滯后和企業(yè)信任的流失在所難免,業(yè)界迫切需要一種更具戰(zhàn)略性的方法來(lái)應(yīng)對(duì)。
通過(guò)實(shí)施數(shù)字信任戰(zhàn)略,企業(yè)可以更好地協(xié)調(diào)傳統(tǒng)上孤立的功能,例如網(wǎng)絡(luò)安全、隱私和數(shù)據(jù)治理,從而使他們能夠預(yù)測(cè)風(fēng)險(xiǎn),同時(shí)為業(yè)務(wù)釋放價(jià)值。
數(shù)字信任框架核心價(jià)值不是滿足合規(guī)需求,而是優(yōu)先考慮企業(yè)與客戶之間的信任和價(jià)值交換。
——Toby Spry,普華永道美國(guó)數(shù)據(jù)風(fēng)險(xiǎn)和隱私負(fù)責(zé)人
聲明:本文來(lái)自GoUpSec,版權(quán)歸作者所有。