第一批AI受害者陸續(xù)涌現，身份仍是攻擊的首選策略！

眾所周知，人臉、聲音等自然人的生物信息具有高度識別性和強關聯性，是身份屬性中的強屬性特征。而一旦這些信息“丟失”了，會怎么樣？

01

AI安全攻擊事件日漸增加？

1月21日，美國新罕布什爾州一些選民稱接到了“拜登總統”的自動留言電話，告訴接聽者不要在該州初選中投票。美國白宮新聞秘書卡琳·讓-皮埃爾（Karine Jean-Pierre）次日回應稱：“那通電話確實是假的。”

1月底，明星泰勒·斯威夫特（Taylor Swift，中文綽號“霉霉”）大量虛假“不雅照片”在社交平臺上傳播。2月4日，據香港文匯報報道，有詐騙集團利用AI“深度偽造”技術向一家跨國公司的香港分公司實施詐騙，并成功騙走2億港元，這也是香港迄今為止損失最大的“換臉”案例。

去年5月初，內蒙古包頭市公安局電信網絡犯罪偵查局發(fā)布一起使用智能AI技術進行電信詐騙的案件。福建省福州市某科技公司法人代表郭先生的“好友”突然通過微信視頻聯系他，聲稱自己的朋友在外地投標，需要430萬元保證金，想借用郭先生公司的賬戶走賬?；谝曨l聊天信任的前提，郭先生并未核實錢是否到賬，就陸續(xù)轉給對方共計430萬元，之后才發(fā)現被騙。

......

02

身份仍是AI攻擊的首選策略

類似上述使用AI深度偽造換臉、換聲等進行詐騙、誹謗、敲詐勒索等新型違法行為屢見不鮮，且日漸增多；尤其是在生成式AI浪潮下，黑客們將生成式AI作為他們的“攻擊武器”頻繁發(fā)起復雜的網絡攻擊，并將其擴大甚至是自動化。

據有關報告顯示，2023年基于AI的深度偽造欺詐暴增了3000%，基于AI的釣魚郵件增長了1000%，密碼攻擊嘗試高達每月300億次……

從上述AI安全事件與攻擊數據來看，身份仍然是攻擊的首選策略。近日，IBM公布的2024年《X-Force 威脅情報指數報告》也再次證明了該觀點。據報告顯示，2023 年利用身份信息形成的網絡攻擊激增71%。

03

如何從“身份”應對AI安全危機？

從網絡安全危機角度來看，AI一方面放大了現有威脅，比如釣魚郵件、惡意軟件和社會工程學等；另一方面又引入了新型威脅，如AI自動化攻擊、AI深度偽造等。

面對AI帶來的系列安全危機，以及身份仍是攻擊的首選策略的安全現狀，派拉軟件建議企業(yè)組織持續(xù)加強數字身份安全，重建數字信任，從而更加有效應對AI安全危機！

當下，企業(yè)組織采取全新的以“身份優(yōu)先”的零信任網絡安全架構或是加強數字身份安全的最佳選擇。在零信任架構下，IAM系統會默認進入企業(yè)內生數字世界的一切實體（包括人和非人）都是不可信的。

只有通過了基于上下文的實時動態(tài)認證評估分析，并在基于風險的細粒度訪問控制策略與鑒權下，應用自適應授權機制后，才能讓實體接入并訪問特定的資源，確保只有正確的實體在正確的時間、正確的條件下才能訪問正確的資源！這不僅減少了攻擊面，降低了身份和憑證被盜竊的風險，還提升了用戶的整體體驗。

近期，派拉軟件在與云安全聯盟大中華區(qū)聯合翻譯并發(fā)布的《面向IAM的零信任原則與指南》中進一步詳細闡述了，在零信任架構中，認證方式從主體可信轉變?yōu)樽赃m應身份驗證和授權模型。

業(yè)務系統和數據的訪問權限基于訪問主體提供的一系列身份屬性進行授權。這些身份屬性和訪問請求相關的情報(標識)進行組合校驗，當訪問主體的信任評估結果達到(或超過)預設置的訪問請求閾值時，才允許該訪問主體對系統和數據的訪問請求。

此外，零信任架構下的訪問請求是基于訪問應用、訪問途經、訪問設備及訪問請求的頻率而持續(xù)動態(tài)評估的。因此無需考慮組織的資源和環(huán)境位于什么位置，通過零信任架構的持續(xù)動態(tài)評估即可增強訪問的安全性。

當訪問者完成了一次訪問請求，將針對已完成的訪問請求進行建模，同時將一次可信的訪問請求日志進行記錄，便于為后續(xù)出現潛在風險請求時的積極應對。

詳細《面向IAM的零信任原則與指南》內容，關注【派拉軟件】公眾號，回復關鍵字【零信任】，即可在線下載獲取。

以上只是從身份安全這一角度去探討如何應對AI安全危機。當然，這還遠遠不夠，但卻也是企業(yè)組織必不可少的安全基礎。未來，AI帶來的安全危機還將隨著時間與技術的發(fā)展不斷變化。

AI這個潘多拉的盒子已經打開了，要想再關上就沒有那么容易了。這絕不是一個企業(yè)可以應對的，而是需要國家、政府等組織以及全球每一個人置身其中，共同面對。