网络安全、深度造假和人工智能欺诈的人为风险

　　

　　

　　在2024年3月全国州首席信息官协会(National Association of State Chief Information officer)与政府和企业IT领导者的电话会议上，一个老的安全问题被强调了出来，而这个问题已经演变成了当前的最大威胁:对终端用户的网络安全意识培训又回到了政府网络安全关注的首要问题，我们以前也看到过这种情况。我们有吗?

　　新一代人工智能生成的网络钓鱼攻击，通过电子邮件、短信、语音信息甚至视频进行攻击，以前所未有的方式瞄准政府机构。这些聪明的新型网络攻击给企业防御者带来了新的挑战，因为它们不会出现以往针对性网络钓鱼和鱼叉式网络钓鱼活动中出现的打字错误、格式错误和其他错误。

　　更可怕的是人工智能生成的深度伪造，可以模仿人的声音、面部和手势。新的网络攻击工具可以以前所未有的规模和复杂程度传播虚假信息和欺诈性信息。

　　简而言之，人工智能产生的欺诈比以往任何时候都更难被发现和阻止。最近的2024年例子包括模仿美国总统拜登、佛罗里达州州长罗恩·德桑蒂斯和私营企业首席执行官的虚假信息。除了选举和政治影响之外，最近一家跨国公司首席财务官的深度伪造视频欺骗了员工进行银行转账，导致损失2600万美元(1.23亿令吉)。

　　那么企业该如何应对这些新的数据风险呢?

　　在过去的几年里，业界一直在推动超越传统的终端用户安全意识培训，转向一套更全面的措施，以打击针对人类的网络攻击。

　　简单地说:有效的安全意识培训真正改变了安全文化。人们开始参与并提出问题，他们了解并报告风险，他们意识到安全不仅仅是工作场所的问题。这关系到他们的个人安全和家庭安全。

　　许多人现在采用的术语是“人力风险管理”(HRM)。研究和咨询公司Forrester将人力资源管理描述为“通过检测和测量人类安全行为并量化人类风险来管理和减少人类造成和给人类带来的网络安全风险的解决方案;启动基于人为风险的政策和培训干预措施;教育员工并使其能够保护自己和组织免受网络攻击;建立积极的安全文化”。

　　那么，这对于解决人工智能即时生成的深度造假问题意味着什么呢?

　　首先，我们必须(重新)培训员工检测新一代复杂的网络钓鱼攻击。他们需要知道如何验证接收到的源和内容。这包括向他们展示要查找的内容，例如:

　　*音频或视频质量不一致

　　*口型或语音同步不匹配

　　*不自然的面部动作

　　不典型的行为或说话方式

　　*来源核实

　　*提高侦测能力

　　*使用水印的图像和视频

　　其次，提供验证消息真实性的工具、流程和技术。如果或者当这些新工具不可用时，建立一个流程，以确保员工通过一个验证过程来质疑信息的合法性，这将受到管理层的鼓励。此外，报告深度造假内容:如果你遇到涉及你或你认识的人的深度造假，请向内容托管平台报告。

　　第三，考虑使用人工智能来检测邮件欺诈的新企业技术工具。没错——你可能需要以其人之道还治其人之道，使用下一代网络工具来阻止这些人工智能生成的消息，就像电子邮件安全工具检测和禁用传统的网络钓鱼链接并隔离垃圾邮件一样。一些新工具使工作人员能够检查信息和图像是否存在欺诈，如果不能对所有传入的电子邮件自动进行检查的话。

　　新一代的网络攻击利用深度造假来欺骗人类，从根本上破坏了人们对一切数字事物的信任。事实上，政府越来越难以获得数字信任，而且目前的趋势并不令人鼓舞——需要立即采取行动。

　　正如阿尔伯特·爱因斯坦曾经说过的，“谁在小事上不重视真理，谁就不能在大事上得到信任。”-政府技术/论坛新服务

　　×