想想當(dāng)今可用的強(qiáng)大監(jiān)控技術(shù)。生物特征識別��、個(gè)人細(xì)微差別(行走方式����、面部表情、聲音變化等)��、體溫�����、社交習(xí)慣��、溝通趨勢以及其他一切讓你與眾不同的東西都可以被捕捉到�,其中大部分是秘密捕捉的?��,F(xiàn)在���,疊加不斷增加的計(jì)算能力、數(shù)據(jù)傳輸速度和內(nèi)存容量��。
CyberArk 的2023 年身份安全威脅形勢報(bào)告提出了一些有價(jià)值的見解�����。接受調(diào)查的 2,300 名安全專業(yè)人士給出了一些發(fā)人深省的數(shù)據(jù):
(相關(guān)資料圖)
68% 的人擔(dān)心員工裁員和流失帶來的內(nèi)部威脅99% 的人預(yù)計(jì)財(cái)務(wù)削減�、地緣政治因素、云應(yīng)用程序和混合工作環(huán)境會(huì)導(dǎo)致某種類型的身份泄露74% 的人擔(dān)心機(jī)密數(shù)據(jù)因員工�、前員工和第三方供應(yīng)商而丟失�。此外�����,許多人認(rèn)為數(shù)字身份擴(kuò)散正在增加��,攻擊面面臨人工智能 (AI) 攻擊�、憑證攻擊和雙重勒索的風(fēng)險(xiǎn)。現(xiàn)在�,讓我們關(guān)注數(shù)字身份擴(kuò)散和人工智能驅(qū)動(dòng)的攻擊。
數(shù)字身份:解決方案還是終極特洛伊木馬����?
一段時(shí)間以來,數(shù)字身份一直被認(rèn)為是提高網(wǎng)絡(luò)安全和減少數(shù)據(jù)丟失的潛在解決方案��。一般的想法是這樣的:每個(gè)人都有獨(dú)特的標(biāo)記�,從生物識別簽名到行為動(dòng)作。這意味著將這些標(biāo)記數(shù)字化并將其與個(gè)人相關(guān)聯(lián)應(yīng)該可以最大限度地減少授權(quán)和身份驗(yàn)證風(fēng)險(xiǎn)�。
粗略地說,這是一種“信任和驗(yàn)證”模型����。
但如果“信任”不再可靠怎么辦?相反�,如果某些虛假的東西得到驗(yàn)證——一些本來就不應(yīng)該被信任的東西����,該怎么辦��?為了糾正這種情況而進(jìn)行的風(fēng)險(xiǎn)分析在哪里��?
數(shù)字身份的強(qiáng)行推銷在一定程度上源于對技術(shù)世界的潛在偏見����。也就是說�����,信息安全技術(shù)和惡意行為者的策略�、技術(shù)和程序 (TTP) 都以相似的速度變化。現(xiàn)實(shí)告訴我們事實(shí)并非如此:TTP����,尤其是在人工智能的幫助下,正在突破安全控制�����。
您會(huì)看到�����,人工智能攻擊的一個(gè)特點(diǎn)是人工智能可以比人類更快地了解 IT 資產(chǎn)。因此���,技術(shù)和社會(huì)工程攻擊都可以根據(jù)環(huán)境和個(gè)人進(jìn)行定制�����。例如��,想象一下基于大數(shù)據(jù)集(例如��,您的社交媒體帖子����、從互聯(lián)網(wǎng)上刮取的有關(guān)您的數(shù)據(jù)���、公共監(jiān)控系統(tǒng)等)的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)�。這就是我們正在走的路�����。
數(shù)字身份可能有機(jī)會(huì)在非人工智能世界中成功運(yùn)作,在那里它們本質(zhì)上是值得信任的���。但在人工智能驅(qū)動(dòng)的世界中��,數(shù)字身份的信任正在被有效消除���,將它們變成本質(zhì)上不值得信任的東西。
信任需要重建����,因?yàn)橐粭l沒有任何東西值得信任的道路在邏輯上只能通向一個(gè)地方:全面監(jiān)控。
人工智能作為一種身份
身份驗(yàn)證解決方案已經(jīng)變得非常強(qiáng)大�����。它們縮短了訪問請求時(shí)間���,管理數(shù)十億次登錄嘗試,當(dāng)然還使用了人工智能�。但原則上,驗(yàn)證解決方案依賴于一個(gè)常數(shù):相信身份是真實(shí)的�����。
人工智能世界通過將“身份信任”變成一個(gè)變量來改變這一點(diǎn)��。
假設(shè)以下情況成立:我們在人工智能之旅中相對較早,但進(jìn)展很快�。大型語言模型可以取代人類交互并進(jìn)行惡意軟件分析以編寫新的惡意代碼。藝術(shù)性可以大規(guī)模地表現(xiàn)���,濾波器可以使尖叫的聲音聽起來像專業(yè)歌手����。深度造假����,無論是在聲音還是視覺表現(xiàn)上,都已經(jīng)從“公然造假”的領(lǐng)域轉(zhuǎn)向“等一下����,這是真的嗎?”領(lǐng)土����。值得慶幸的是,仔細(xì)分析仍然使我們能夠區(qū)分兩者��。
人工智能攻擊還有另一個(gè)特點(diǎn):機(jī)器學(xué)習(xí)能力��。它們會(huì)變得更快、更好����,并最終容易被操縱。請記住���,并不是算法有偏差��,而是程序員將其固有的偏差輸入到算法中����。因此��,隨著開源和商業(yè)AI技術(shù)可用性的不斷提高����,我們的真假辨別能力還能保持多久?
疊加技術(shù)打造完美頭像
想想當(dāng)今可用的強(qiáng)大監(jiān)控技術(shù)��。生物特征識別��、個(gè)人細(xì)微差別(行走方式���、面部表情、聲音變化等)、體溫�����、社交習(xí)慣��、溝通趨勢以及其他一切讓你與眾不同的東西都可以被捕捉到�����,其中大部分是秘密捕捉的?��,F(xiàn)在��,疊加不斷增加的計(jì)算能力����、數(shù)據(jù)傳輸速度和內(nèi)存容量���。
最后�,添加一個(gè)人工智能驅(qū)動(dòng)的世界���,在這個(gè)世界中����,惡意行為者可以訪問大型數(shù)據(jù)庫并執(zhí)行復(fù)雜的數(shù)據(jù)挖掘。創(chuàng)建令人信服的數(shù)字復(fù)制品的增量縮小了��。矛盾的是�,當(dāng)我們?yōu)榘踩胧﹦?chuàng)建更多關(guān)于自己的數(shù)據(jù)時(shí),我們的數(shù)字風(fēng)險(xiǎn)狀況也在增加�����。
通過限制數(shù)據(jù)量減少攻擊面
將我們的安全想象為水壩�,將數(shù)據(jù)想象為水。迄今為止����,我們利用數(shù)據(jù)大多是好的手段(例如,利用水進(jìn)行水力發(fā)電)�����。存在一些維護(hù)問題(例如��,攻擊者�����、數(shù)據(jù)泄漏����、維護(hù)不善),到目前為止���,如果令人筋疲力盡�,這些問題大多是可以管理的�。
但是,如果大壩的蓄水速度快于基礎(chǔ)設(shè)施設(shè)計(jì)管理和蓄水的速度怎么辦��?大壩潰決�����。使用這個(gè)類比���,接下來的任務(wù)就是轉(zhuǎn)移多余的水并加固大壩或限制數(shù)據(jù)并重建信任�����。
有哪些方法可以實(shí)現(xiàn)這一目標(biāo)���?
自上而下的方法創(chuàng)建護(hù)欄(策略)�。僅生成和保存您需要的數(shù)據(jù)�����,甚至可以抑制過多的數(shù)據(jù)保存�,尤其是與個(gè)人相關(guān)的數(shù)據(jù)。抵制為了微觀目標(biāo)而抓取和數(shù)據(jù)挖掘一切的誘惑���。除非有更安全的水庫�����,否則會(huì)有更多的水進(jìn)入水庫(提示:分段)���。自下而上的方法限制訪問(操作)。白名單是你的朋友��。限制權(quán)限并開始重建身份信任�。默認(rèn)情況下不再“選擇加入”;默認(rèn)情況下移至“選擇退出”���。這使您可以更好地管理流經(jīng)大壩的水流(例如�����,減少攻擊面和數(shù)據(jù)暴露)�����。專注于重要的事情(策略)����。實(shí)施證明我們無法保證一切�。這不是批評;而是現(xiàn)實(shí)����。關(guān)注風(fēng)險(xiǎn),尤其是身份和訪問管理����。再加上通道有限,基于風(fēng)險(xiǎn)的方法優(yōu)先考慮對大壩裂縫進(jìn)行修復(fù)�。最后,必須承擔(dān)風(fēng)險(xiǎn)才能實(shí)現(xiàn)未來的回報(bào)�。“無風(fēng)險(xiǎn)”適用于奇幻書籍����。因此�����,在數(shù)據(jù)過剩的時(shí)代�����,最大的“風(fēng)險(xiǎn)”可能是生成和持有的數(shù)據(jù)較少�。獎(jiǎng)勵(lì)�����?最大限度地減少數(shù)據(jù)丟失的影響�����,讓您在其他人折斷的時(shí)候屈服�。
韓“天安”號護(hù)衛(wèi)艦下水 
