現(xiàn)如今，各行各業(yè)都在探索如何利用創(chuàng)新技術(shù)加速產(chǎn)業(yè)升級，最直接的方式之一就是上云。

對于絕大部分企業(yè)而言，將業(yè)務(wù)遷移到云端所帶來的優(yōu)勢是顯而易見的。一方面，云計算具有按需自助服務(wù)、寬帶網(wǎng)絡(luò)訪問、快速伸縮性等特點，使企業(yè)可以根據(jù)自身需求靈活調(diào)整和利用計算資源，能夠高效地運營業(yè)務(wù)，從而快速應(yīng)對市場環(huán)境的不斷變化;另一方面，通過云計算的高效計算和存儲能力，結(jié)合大數(shù)據(jù)、5G、物聯(lián)網(wǎng)等數(shù)字技術(shù)，將發(fā)揮疊加效應(yīng)，為企業(yè)帶來更多的商業(yè)機遇和競爭優(yōu)勢，促進產(chǎn)業(yè)的快速發(fā)展和進步。

不過，隨著企業(yè)上云用云進程的加快，安全問題開始變得日益突出。特別是隨著生成式AI的出現(xiàn)，并被迅速應(yīng)用于諸多領(lǐng)域，表現(xiàn)出令人矚目的成效和能力的同時，也給云安全帶來了新的挑戰(zhàn)。

日前，比特網(wǎng)采訪到Akamai執(zhí)行副總裁兼首席技術(shù)官Robert?Blumofe博士，主要圍繞生成式AI對網(wǎng)絡(luò)安全的影響，進行了深入預測。

Akamai執(zhí)行副總裁兼首席技術(shù)官?Robert?Blumofe博士

云安全面臨的挑戰(zhàn)

近年來，生成式AI技術(shù)取得突破式發(fā)展，無論是DALL-E的圖像生成能力，還是ChatGPT的自然語言處理技能，生成式AI的潛力正在被逐漸發(fā)掘，并吸引著眾多企業(yè)紛紛入局。

Blumofe指出，在采用新技術(shù)方面，亞太地區(qū)往往走在世界的前列，而生成式?AI?也不例外。據(jù)IDC公布的數(shù)據(jù)顯示，在采用生成式AI技術(shù)方面，亞太地區(qū)走在世界的前列，三分之二的公司已經(jīng)在生成式AI領(lǐng)域進行投資或者在探索潛在的應(yīng)用場景。

然而，與任何技術(shù)一樣，總會有人試圖利用它來達到惡意目的。生成式AI作為一種人工智能技術(shù)，利用機器學習模型和深度學習技術(shù)，通過研究歷史數(shù)據(jù)的模式來生成文本、圖像、音頻、視頻等內(nèi)容。但與此同時，生成式AI還可以生成逼真且令人信服的虛假內(nèi)容，如假新聞、假圖片和假視頻等，這些深度偽造內(nèi)容往往難以辨別真?zhèn)?，容易被誤傳和誤導，對社會和個人造成不良影響。

也正因為如此，社會工程攻擊將成為網(wǎng)絡(luò)犯罪分子的首選武器。以前，社會工程攻擊需要付出大量努力，不但需要對受害者進行廣泛深入的研究，且需要花費大量時間精心偽造令人信服的虛假信息，現(xiàn)在有了生成式AI技術(shù)，所有這一切都發(fā)生了改變。

通過生成式AI技術(shù)，網(wǎng)絡(luò)犯罪分子實現(xiàn)了社會工程攻擊研究的自動化，并生成令人信服的深度偽造，這意味著網(wǎng)絡(luò)犯罪分子可以更容易地獲取受害者的信任，實施大規(guī)模、高收益的社會工程攻擊。這可能導致云服務(wù)提供商和用戶的敏感信息泄露、數(shù)據(jù)損壞或服務(wù)中斷等問題，對云安全造成嚴重影響。因此，云安全領(lǐng)域需要采取相應(yīng)的防御措施，加強用戶教育，提高對深度偽造內(nèi)容的辨識能力，以及采用先進的威脅檢測和防護技術(shù)來應(yīng)對社會工程攻擊帶來的安全挑戰(zhàn)。

如何做好網(wǎng)絡(luò)安全防范措施？

面對這種嚴峻的安全形勢，企業(yè)該如何應(yīng)對呢？

對此，Blumofe表示，應(yīng)從培訓AI素養(yǎng)、打造零信任環(huán)境、避免盲目追求AI技術(shù)三方面入手，應(yīng)對生成式AI帶來的安全挑戰(zhàn)，具體來看：

在培訓AI素養(yǎng)方面，隨著生成式?AI?工具的應(yīng)用變得越來越普及，人們將更加難以辨別是非真假，各企業(yè)需要對?AI?素養(yǎng)進行投資，以維持客戶信任。

AI素養(yǎng)作為一種綜合素質(zhì)，不僅包括AI相關(guān)的知識和判斷能力，還包括與AI技術(shù)使用相關(guān)的態(tài)度和倫理等。可以說，AI素養(yǎng)的提升無疑將有助于人們更好地適應(yīng)和利用AI技術(shù)帶來的變革和機會，同時維護互聯(lián)網(wǎng)的健康發(fā)展和社會的福祉。

“亞太地區(qū)有機會在應(yīng)對AI帶來的真假難辨挑戰(zhàn)方面發(fā)揮先導作用，同時確保深度偽造不會損害合法企業(yè)并幫助每個人能夠區(qū)分事實與虛構(gòu)內(nèi)容。”Blumofe說道。

在打造零信任環(huán)境方面，目前，亞太地區(qū)及日本已經(jīng)開始采取行動，出臺了更嚴格的法規(guī)來保護個人身份信息并避免數(shù)據(jù)泄露。這些法規(guī)不僅加大了對違法行為的處罰力度，還要求企業(yè)采取更加有效的安全措施來保護用戶數(shù)據(jù)。

為了滿足法規(guī)要求并抵御社會工程攻擊，許多企業(yè)開始對Zero?Trust架構(gòu)進行投資。這種架構(gòu)的核心思想是“永不信任，始終驗證”，強調(diào)對所有用戶和設(shè)備的持續(xù)性驗證，而不是僅僅依靠一次性的身份驗證，即便是某個員工無意中成為社會工程攻擊的受害者，也能確保企業(yè)關(guān)鍵資產(chǎn)的安全。

實際上，在Zero?Trust架構(gòu)中，微分段技術(shù)扮演了關(guān)鍵角色。它可以將網(wǎng)絡(luò)劃分為多個小段，每個小段都有自己的安全策略和訪問控制，即使攻擊者成功侵入網(wǎng)絡(luò)，他們的活動范圍也會被限制在一個小段內(nèi)，這大大提高了系統(tǒng)的安全性，降低了社會工程攻擊成功的可能性。

在優(yōu)化安全基礎(chǔ)保護措施方面，隨著生成式AI技術(shù)的快速發(fā)展，網(wǎng)絡(luò)犯罪分子也開始利用這些工具來推進其惡意目標，這讓企業(yè)安全面臨全新的挑戰(zhàn)。因此，企業(yè)必須時刻保持警惕，確保自身的資產(chǎn)得到充分保護。

盡管AI，尤其是深度學習在解決安全挑戰(zhàn)上占有一席之地，有些初創(chuàng)公司也宣稱已經(jīng)使用生成式AI來制造確保安全的“靈丹妙藥”，但實際是，完善的安全基礎(chǔ)防護措施仍然是保護企業(yè)資產(chǎn)免受已知和未知威脅侵擾的最佳方式，這包括身份驗證、監(jiān)測能力、Zero?Trust訪問策略和微分段等。

總的來說，雖然AI技術(shù)在企業(yè)安全中發(fā)揮著重要作用，但企業(yè)不應(yīng)該盲目追求AI技術(shù)，而應(yīng)該優(yōu)先考慮基礎(chǔ)的安全保護措施，應(yīng)對日益嚴峻的網(wǎng)絡(luò)安全威脅。

根據(jù)Akamai近期發(fā)布的“A?Year?in?Review”SOTI報告分析，盡管面臨種種網(wǎng)絡(luò)安全挑戰(zhàn)，用戶仍可以通過遵循網(wǎng)絡(luò)和運營協(xié)調(diào)的兩項最佳實踐來提高保護自身的有效性，從而使?Akamai?能夠作為其網(wǎng)絡(luò)團隊的延伸。

首先，企業(yè)應(yīng)該在安全時期與?SOCC?合作，主動建立防御態(tài)勢，而不是在攻擊期間才嘗試這樣做。這樣可以預先緩解攻擊，而不會對生產(chǎn)產(chǎn)生影響，并且客戶將收到詳細說明所避免的攻擊的后續(xù)報告。

其次，企業(yè)應(yīng)該積極致力于運營準備和備份計劃。例如，企業(yè)應(yīng)該確保知道在測試期間如何進出不同的平臺。由于運營問題，五分鐘的攻擊可能會對用戶造成巨大的損失，因此做好運營準備與應(yīng)對純粹的網(wǎng)絡(luò)問題同樣重要。

寫在最后：

每一項重大的技術(shù)進步，都會引發(fā)雙重用途的困境。隨著生成式AI技術(shù)的快速發(fā)展，對企業(yè)的云安全能力提出了更高的要求。企業(yè)應(yīng)時刻保持警惕，持續(xù)提升自身的網(wǎng)絡(luò)安全防護能力，以確保業(yè)務(wù)的穩(wěn)健運行和持續(xù)發(fā)展。