1986 年首個針對個人電腦的計算機病毒出現(xiàn)以來，近四十年來，網(wǎng)絡(luò)威脅不斷演變，網(wǎng)絡(luò)安全領(lǐng)域面臨著越來越復(fù)雜的挑戰(zhàn)。雖然許多人都熟悉網(wǎng)絡(luò)釣魚和勒索軟件等常見威脅，但更新、更有針對性的攻擊正在出現(xiàn)，威脅著我們數(shù)字基礎(chǔ)設(shè)施的根基。

供應(yīng)鏈網(wǎng)絡(luò)風險

最近的事件凸顯了供應(yīng)鏈攻擊的破壞性潛力。一個令人震驚的例子是XZ Utils 后門 (CVE-2024-3094)，這是一個廣泛使用的開源壓縮工具中的一個嚴重漏洞。這次攻擊由“Jia Tan”賬戶領(lǐng)導(dǎo)，是一項持續(xù)多年的行動，始于2021年，最終于2024年部署了后門。

隨著時間的推移，攻擊者將他們的漏洞嵌入到軟件中，展示了供應(yīng)鏈攻擊可以多么深入地滲透和利用眾多組織的基礎(chǔ)軟件。

此次事件提醒各組織機構(gòu)應(yīng)嚴格審查其軟件供應(yīng)鏈的安全性。開源組件可能是薄弱環(huán)節(jié)，通常由小型且資金不足的團隊維護。組織機構(gòu)必須監(jiān)控更新和補丁，以避免引入新的漏洞。

開源軟件問題

XZ Utils 事件凸顯了開源社區(qū)的廣泛擔憂。惡意行為者可以輕而易舉地在開源項目中插入后門。Jia Tan賬戶只是可疑賬戶如何躲過監(jiān)控的一個例子，它們悄悄地將惡意代碼注入到廣泛使用的軟件包中。

最近的一項分析顯示，即使是 Python 包管理系統(tǒng) PIP 也有一個具有提交權(quán)限的可疑帳戶。這引起了人們對許多關(guān)鍵 Python 包安全性的嚴重擔憂。這些帳戶經(jīng)常做出看似無辜的貢獻，但可能會為未來的攻擊奠定基礎(chǔ)。

這種情況凸顯了開源社區(qū)需要加強警惕和驗證。依賴開源軟件的組織必須實施嚴格的審查流程，并使用工具來監(jiān)控和警告其代碼庫中的可疑活動。

GenAI 的前景與風險

GenAI 具有變革潛力，Klarna的AI Assistant 就證明了這一點，它現(xiàn)在處理的工作量相當于700名客服人員。對于 Klarna 來說，這意味著每年可節(jié)省約 4000萬美元，這證明了 AI 能夠提高生產(chǎn)力并降低運營成本。

然而，GenAI的整合也存在風險。高管在采用AI解決方案時必須確保網(wǎng)絡(luò)安全是基本考慮因素。GenAI系統(tǒng)可能容易受到各種威脅，例如數(shù)據(jù)中毒，攻擊者將誤導(dǎo)性數(shù)據(jù)輸入AI系統(tǒng)，導(dǎo)致輸出不正確。此外，這些系統(tǒng)可能面臨拒絕服務(wù)攻擊，導(dǎo)致成本增加和性能下降，或?qū)е旅舾袛?shù)據(jù)泄露的隱私泄露。

集成 GenAI 時需要考慮的三個關(guān)鍵因素是可用性、系統(tǒng)完整性和隱私性。確保這些方面得到妥善管理將有助于降低大規(guī)模部署 AI 系統(tǒng)所帶來的風險。

抵御網(wǎng)絡(luò)攻擊的最佳戰(zhàn)略防御策略

組織必須采用多層防御策略來應(yīng)對這種復(fù)雜的威脅形勢。以下是一些關(guān)鍵組成部分：

1. 主動安全測試：紅藍隊演習

紅藍隊演習模擬了現(xiàn)實世界的網(wǎng)絡(luò)攻擊，幫助組織在漏洞被利用之前發(fā)現(xiàn)它們。對于人工智能系統(tǒng)，這些演習應(yīng)側(cè)重于評估模型對幻覺、偏見和騷擾等違禁內(nèi)容等危害的穩(wěn)健性。組織可以通過不斷評估和改進人工智能系統(tǒng)的安全性和道德表現(xiàn)來領(lǐng)先于潛在威脅。

2. 人工智能專用的安全措施，開始利用ATLAS

隨著人工智能越來越融入業(yè)務(wù)流程，應(yīng)對特定于人工智能的威脅至關(guān)重要。人工智能系統(tǒng)對抗威脅態(tài)勢 (ATLAS) 是 MITRE ATT&CK 的補充知識庫，記錄了現(xiàn)實世界中針對人工智能系統(tǒng)的對抗策略。組織應(yīng)使用 ATLAS 來隨時了解這些不斷演變的威脅，并提高對針對人工智能技術(shù)的攻擊的防御能力。

3. 零信任架構(gòu)，實現(xiàn)更好的訪問控制

在當今環(huán)境中，采用零信任架構(gòu)至關(guān)重要，尤其是對于集成 AI 的系統(tǒng)而言。這種方法的原則是，默認情況下不應(yīng)信任任何實體（無論是網(wǎng)絡(luò)內(nèi)部還是外部）。持續(xù)驗證用戶身份和嚴格的訪問控制是基礎(chǔ)要素。

然而，數(shù)據(jù)邊界對于人工智能系統(tǒng)同樣重要。人工智能模型通常處理大量敏感數(shù)據(jù)，確保這些數(shù)據(jù)得到充分分割和保護至關(guān)重要。建立清晰的數(shù)據(jù)邊界可防止未經(jīng)授權(quán)訪問敏感信息，從而降低數(shù)據(jù)泄露或操縱的風險。這在人工智能系統(tǒng)中尤為重要，因為數(shù)據(jù)完整性直接影響人工智能的輸出和決策。

通過實施具有可靠數(shù)據(jù)邊界控制的零信任架構(gòu)，組織可以確保其 AI 系統(tǒng)安全運行，保護其處理的數(shù)據(jù)和生成的見解。

不斷變化的威脅形勢要求組織在網(wǎng)絡(luò)安全工作中保持警惕和主動性。通過了解與供應(yīng)鏈漏洞、開源軟件和 GenAI 集成相關(guān)的風險并實施戰(zhàn)略防御策略，組織可以更好地保護其數(shù)字資產(chǎn)。網(wǎng)絡(luò)安全不再僅僅是 IT 問題。它是整體業(yè)務(wù)戰(zhàn)略的重要組成部分，需要組織各個層面的關(guān)注。