從OpenAI的ChatGPT等大型語言模型(LLM)的爆炸性流行，到生成式AI和機器學習的廣泛商業(yè)應用，AI革命正在加速發(fā)展。雖然這些技術進步可以帶來前所未有的效率和創(chuàng)造力，但它們也帶來了前所未有的風險，即大量人工智能驅動的網(wǎng)絡威脅。

最緊迫的威脅之一來自人工智能生成的網(wǎng)絡釣魚。沒有比生成人工智能更適合網(wǎng)絡釣魚攻擊的技術了，因為它允許網(wǎng)絡犯罪分子大規(guī)模創(chuàng)建高度針對性和可信的網(wǎng)絡釣魚內容。從LLM組成的網(wǎng)絡釣魚信息到深度造假，我們正在進入一個更難區(qū)分欺詐和合法內容的時期。這意味著網(wǎng)絡罪犯將更容易通過社會工程攻擊來欺騙和操縱員工。

當網(wǎng)絡犯罪分子擁有發(fā)起網(wǎng)絡釣魚攻擊的強大工具時，網(wǎng)絡安全意識培訓至關重要。然而，培訓的性質必須隨著網(wǎng)絡威脅形勢的變化而發(fā)展。模擬網(wǎng)絡釣魚等資源已經(jīng)證明可以幫助員工做好抵御最常見網(wǎng)絡攻擊之一的準備，但它們必須針對人工智能時代進行更新。

人工智能將使網(wǎng)絡釣魚攻擊變得更加危險

網(wǎng)絡釣魚是網(wǎng)絡犯罪分子社會工程武器庫中的超級武器。網(wǎng)絡釣魚尤其危險，因為它是網(wǎng)絡犯罪分子獲得初始訪問權限的最可靠方式。

人工智能已經(jīng)開始使網(wǎng)絡釣魚攻擊變得更加有效。網(wǎng)絡釣魚就是欺騙受害者點擊鏈接并下載惡意軟件或發(fā)送帳戶憑據(jù)，因此黑客希望他們的消息盡可能可信。雖然許多網(wǎng)絡釣魚攻擊會發(fā)送大量欺詐消息，希望少數(shù)攻擊能夠成功，但人工智能可以極大地提高網(wǎng)絡犯罪分子發(fā)起魚叉式網(wǎng)絡釣魚攻擊的能力。這些攻擊利用人工智能篩選大量數(shù)據(jù)來制作定制的網(wǎng)絡釣魚消息，其成功率比標準的大規(guī)模網(wǎng)絡釣魚攻擊高得多。

由于黑客從世界各地發(fā)起攻擊，員工可以通過語法或拼寫錯誤檢測惡意內容。但GPT-4支持26種語言，這使得網(wǎng)絡犯罪分子可以為更多的受害者制作引人注目的網(wǎng)絡釣魚內容。人工智能不僅會幫助網(wǎng)絡犯罪分子創(chuàng)建更有說服力的網(wǎng)絡釣魚消息。它還將幫助他們通過搜索暗網(wǎng)上公開的信息和數(shù)據(jù)來識別受害者。

過去一年中，網(wǎng)絡釣魚電子郵件的數(shù)量激增，毫無疑問，人工智能已成為一個重要的力量倍增器。這意味著公司必須調整其網(wǎng)絡安全意識培訓計劃，以應對人工智能帶來的迅速出現(xiàn)的威脅。

企業(yè)如何阻止人工智能驅動的網(wǎng)絡釣魚

近四分之三的數(shù)據(jù)泄露涉及人為因素。作為最常見的初始攻擊媒介，網(wǎng)絡釣魚尤其依賴于誘騙員工共享敏感信息或提供直接訪問。這些計劃之所以有效，是因為它們利用了一長串的心理弱點，比如恐懼、服從或好奇心。在人工智能的幫助下，網(wǎng)絡犯罪分子將能夠更有效地利用這些漏洞。

隨著人工智能網(wǎng)絡釣魚攻擊變得更有針對性，安全領導者需要圍繞員工的特定行為概況制定意識培訓計劃。每個員工都有獨特的心理特征，他們的培訓必須能夠識別這些特征并提供個性化的內容，以增強行為優(yōu)勢，同時解決弱點。成功的網(wǎng)絡安全意識培訓計劃的一個基本要素是適應性。這意味著教育內容和評估必須圍繞現(xiàn)實世界的網(wǎng)絡攻擊和不斷發(fā)展的策略構建。培訓計劃還必須適應員工的需求，從員工的心理狀況到知識水平和學習方式。

由人工智能驅動的生成式網(wǎng)絡釣魚攻擊并不是我們唯一的問題。網(wǎng)絡犯罪分子還將使用更多的深度偽造來欺騙人們。要了解深度造假的威力，想象一下接到親人要求緊急幫助的電話或首席財務官要求立即電匯的電話會是什么樣子。這些有力地提醒我們，人工智能時代的意識培訓必須發(fā)生根本性的改變。舊的檢測方法必須被取代，并且應該始終鼓勵員工質疑他們正在與誰交談以及為什么要求他們做某事。

深度偽造和生成人工智能組成的網(wǎng)絡釣魚消息等復雜技術的部署，使得企業(yè)需要改進其CSAT平臺，以跟上人工智能生成的網(wǎng)絡威脅的步伐。

網(wǎng)絡釣魚模擬確保責任感和適應性

問責制是網(wǎng)絡安全意識培訓的核心方面。隨著網(wǎng)絡安全投資的增加，首席信息安全官和其他安全領導者必須證明這些資源得到了充分利用。他們可以通過確保員工學習他們需要知道的知識并能夠阻止現(xiàn)實世界的網(wǎng)絡攻擊來做到這一點。

模擬網(wǎng)絡釣魚使企業(yè)能夠評估員工識別和預防最常見類型網(wǎng)絡攻擊的能力。這有助于安全領導者跟蹤員工的進度，鞏固他們所學到的知識，并確定組織最容易受到攻擊的地方。員工培訓是降低數(shù)據(jù)泄露總成本的首要緩解因素之一，其速度超過了加密、威脅情報和人工智能驅動的洞察。但培訓必須緊跟最新威脅才能保持有效。這就是為什么模擬網(wǎng)絡釣魚應該為所有員工構建自適應行為檔案，并根據(jù)他們的技能水平和特定漏洞提供個性化指導。

當網(wǎng)絡犯罪分子冒充權威人物發(fā)起網(wǎng)絡釣魚攻擊時，他們是在利用受害者的恐懼、服從和緊迫感。其他受害者更有可能陷入提供獎勵的詐騙，例如學生貸款減免或投資計劃。模擬網(wǎng)絡釣魚應考慮到使員工面臨不同類型社會工程攻擊風險的不同性格特征，同時提供有關如何全面抵御人工智能驅動的網(wǎng)絡攻擊的指導。安全領導者可以使用模擬網(wǎng)絡釣魚來彌補潛在的安全漏洞、讓自己承擔責任并改善信息保留。

安全領導者必須認識到人工智能可以幫助網(wǎng)絡犯罪分子繞過垃圾郵件過濾器并產(chǎn)生更有說服力的消息。它幫助黑客利用受害者的公共和私人信息來攻擊他們，并允許不良行為者利用心理漏洞。當員工了解這些策略并在模擬中不斷面對它們時，他們就會武裝起來保護公司免受最前沿的社會工程攻擊。