生成式AI將顛覆網絡安全行業
SAGE LAZZARO
2023-12-31
在《財富》AI頭腦風暴大會上,Wipro首席技術官蘇巴·塔塔瓦爾迪(左)和Check Point公司首席策略官伊泰·格林伯格談論了網絡安全問題。圖片來源:DUY HO FOR FORTUNE
隨著網絡安全技術的發展,每一種新技術都會帶來新威脅,并創造出應對這些威脅的工具。生成式人工智能也不例外。
近日,在舊金山召開的《財富》AI頭腦風暴大會上,Wipro首席技術官蘇巴·塔塔瓦爾迪參加了專題討論會,主要探討了AI時代的網絡安全威脅。她表示:“生成式AI使攻守雙方都變得更容易。”
生成式AI讓網絡釣魚攻擊變得更加逼真,尤其是大語言模型創造了一個高度暴露的攻擊面。與此同時,有不法分子開始在暗網出售面向黑客的聊天機器人,類似于OpenAI旗下的ChatGPT,就像ChatGPT能快速回答問題或總結文本一樣,這些聊天機器人能快速發動矢量攻擊。關于生成式AI對網絡安全的影響,尤其具有挑戰性的是,它能在極短的時間內上市(包括黑市)。各行各業的公司現在都在爭相了解生成式AI支持的新型攻擊,并開發新防御工具,還要應對這些工具的內部應用、政策以及合規等方面快速變化的挑戰。因此,首席信息安全官(CISO)這個職務正在發生翻天覆地的變化。
塔塔瓦爾迪表示:“我很同情現在的首席信息安全官。”她還表示,首席信息安全官職責的關鍵在于快速創新,包括要有自己的創新,而不只是使用市場上可用的技術。
與塔塔瓦爾迪同臺的還有Check Point首席策略官伊泰·格林伯格和安永(EY)全球AI創新負責人羅德里戈·曼德尼斯。他們在這次戰略討論會上,共同探討了AI如何影響不斷變化的網絡安全環境。在談到生成式AI可能帶來的新威脅時,討論的熱點之一顯然是首席信息安全官的職責受到的影響,因為這會對網絡安全領域造成巨大沖擊。
曼德尼斯表示:“首席信息安全官的職責具有巨大的挑戰性,而且正在快速發生變化。我認為,目前他們的職責是執行現有的數據和保護政策,但如果他們要承擔起保護公司執行的對話界面免受注入攻擊的責任,他們需要具備不同技能,要有一套尚未被開發出來的工具,而且這些工具大多數需要公司內部自行開發。”
同樣,格林伯格表示,首席信息安全官應該考慮他們要使用哪些工具,要向這些工具尤其是公共工具上傳哪些數據。其中還包括仔細設置護欄,例如規定哪些人可以從系統中刪除數據。
對于許多人而言,這與首席信息安全官以前的職責截然不同。以往,首席信息安全官的職責主要專注于技術層面,如IT外包等,但并不參與重大的政策決策。這一點引起了參與者的討論。他們討論了作為首席信息安全官面臨的日益增多的風險,而且他們猜測這個職位可能被一分為二,其中一個職位的職責偏向于運營,另外一個則專注于治理。
數據安全與保護公司Commvault的羅斯·坎普在會上提到了一個事實,那就是首席信息安全官要因為他們對公司遭受攻擊的處理方式,承擔個人刑事責任,他提出了我們是否應該擔心短期內首席信息安全官不足的問題。上個月,SolarWinds前首席信息安全官提摩西·布朗被美國證券交易委員會(the Securities and Exchange Commission)指控,未能披露已知安全風險構成欺詐投資者的罪名,這些安全風險導致該公司遭遇了一次大規模供應鏈攻擊。分析師和法律專業人士認為,這種情況會變得非常普遍。
至于如何使用生成式AI應對生成式AI攻擊,這項工作任重道遠。但曼德尼斯表示,在2024年,網絡安全行業將會掀起一場開發解決方案的競爭。
曼德尼斯稱:“我認為我們才剛剛開始看到,人們意識到攻擊向量會如何攻擊暴露在外的代理,這些攻擊會是什么形態,以及他們需要采取什么樣的商業解決方案。但我認為我們還沒有到那一步。我想,我們正在盡快開發商業解決方案,并進行評估和部署。”
格林伯格曾發表了許多與新型攻擊有關的觀點,例如新型網絡釣魚欺詐,以及FraudGPT等應用的可用性等。他強調了采用多重防線的重要性,并警告不要相信任何一個工具能保證網絡安全。
他說道:“我認為,重要的是我們要理解,僅靠一個系統或一款產品無法解決這個問題。”
譯者:劉進龍
審校:汪皓
隨著網絡安全技術的發展,每一種新技術都會帶來新威脅,并創造出應對這些威脅的工具。生成式人工智能也不例外。
近日,在舊金山召開的《財富》AI頭腦風暴大會上,Wipro首席技術官蘇巴·塔塔瓦爾迪參加了專題討論會,主要探討了AI時代的網絡安全威脅。她表示:“生成式AI使攻守雙方都變得更容易。”
生成式AI讓網絡釣魚攻擊變得更加逼真,尤其是大語言模型創造了一個高度暴露的攻擊面。與此同時,有不法分子開始在暗網出售面向黑客的聊天機器人,類似于OpenAI旗下的ChatGPT,就像ChatGPT能快速回答問題或總結文本一樣,這些聊天機器人能快速發動矢量攻擊。關于生成式AI對網絡安全的影響,尤其具有挑戰性的是,它能在極短的時間內上市(包括黑市)。各行各業的公司現在都在爭相了解生成式AI支持的新型攻擊,并開發新防御工具,還要應對這些工具的內部應用、政策以及合規等方面快速變化的挑戰。因此,首席信息安全官(CISO)這個職務正在發生翻天覆地的變化。
塔塔瓦爾迪表示:“我很同情現在的首席信息安全官。”她還表示,首席信息安全官職責的關鍵在于快速創新,包括要有自己的創新,而不只是使用市場上可用的技術。
與塔塔瓦爾迪同臺的還有Check Point首席策略官伊泰·格林伯格和安永(EY)全球AI創新負責人羅德里戈·曼德尼斯。他們在這次戰略討論會上,共同探討了AI如何影響不斷變化的網絡安全環境。在談到生成式AI可能帶來的新威脅時,討論的熱點之一顯然是首席信息安全官的職責受到的影響,因為這會對網絡安全領域造成巨大沖擊。
曼德尼斯表示:“首席信息安全官的職責具有巨大的挑戰性,而且正在快速發生變化。我認為,目前他們的職責是執行現有的數據和保護政策,但如果他們要承擔起保護公司執行的對話界面免受注入攻擊的責任,他們需要具備不同技能,要有一套尚未被開發出來的工具,而且這些工具大多數需要公司內部自行開發。”
同樣,格林伯格表示,首席信息安全官應該考慮他們要使用哪些工具,要向這些工具尤其是公共工具上傳哪些數據。其中還包括仔細設置護欄,例如規定哪些人可以從系統中刪除數據。
對于許多人而言,這與首席信息安全官以前的職責截然不同。以往,首席信息安全官的職責主要專注于技術層面,如IT外包等,但并不參與重大的政策決策。這一點引起了參與者的討論。他們討論了作為首席信息安全官面臨的日益增多的風險,而且他們猜測這個職位可能被一分為二,其中一個職位的職責偏向于運營,另外一個則專注于治理。
數據安全與保護公司Commvault的羅斯·坎普在會上提到了一個事實,那就是首席信息安全官要因為他們對公司遭受攻擊的處理方式,承擔個人刑事責任,他提出了我們是否應該擔心短期內首席信息安全官不足的問題。上個月,SolarWinds前首席信息安全官提摩西·布朗被美國證券交易委員會(the Securities and Exchange Commission)指控,未能披露已知安全風險構成欺詐投資者的罪名,這些安全風險導致該公司遭遇了一次大規模供應鏈攻擊。分析師和法律專業人士認為,這種情況會變得非常普遍。
至于如何使用生成式AI應對生成式AI攻擊,這項工作任重道遠。但曼德尼斯表示,在2024年,網絡安全行業將會掀起一場開發解決方案的競爭。
曼德尼斯稱:“我認為我們才剛剛開始看到,人們意識到攻擊向量會如何攻擊暴露在外的代理,這些攻擊會是什么形態,以及他們需要采取什么樣的商業解決方案。但我認為我們還沒有到那一步。我想,我們正在盡快開發商業解決方案,并進行評估和部署。”
格林伯格曾發表了許多與新型攻擊有關的觀點,例如新型網絡釣魚欺詐,以及FraudGPT等應用的可用性等。他強調了采用多重防線的重要性,并警告不要相信任何一個工具能保證網絡安全。
他說道:“我認為,重要的是我們要理解,僅靠一個系統或一款產品無法解決這個問題。”
譯者:劉進龍
審校:汪皓
As goes the cycle of cybersecurity, every new technology creates both a new landscape of threats and tools to defend against them. Generative AI is no exception.
“Gen AI makes things easier for both the defenders and the attackers,” said Subha Tatavarti, chief technology officer for Wipro, at a panel discussion focused on cybersecurity threats in the AI age at the Fortune Brainstorm AI conference in San Francisco this week.
Generative AI is making phishing attacks more convincing, and large language models in particular have created a massively exposed attack surface. At the same time, malicious actors are now selling hacker-targeted ChatGPT-like chatbots on the dark web that will spin up vector attacks as quickly as OpenAI’s product will answer questions or summarize text. But what’s especially challenging about the impact of generative AI on cybersecurity is the whiplash speed at which it’s hit the market (including the black market). Companies across sectors are now scrambling to not only understand emerging generative AI–enabled attacks and build new defense tools, but deal with fast-moving challenges regarding internal usage of these tools, policy, and compliance. As a result, the CISO (chief information security officer) role is being turned on its head.
“I feel for the CISOs of today,” said Tatavarti, adding that it’s going to be critical for CISOs to innovate quickly, including doing their own innovation beyond just what’s available on the market.
Tatavarti spoke alongside Check Point chief strategy officer Itai Greenberg and Rodrigo Madanes, global AI innovation leader at EY, during a strategy session exploring how AI is impacting the evolving cybersecurity landscape. Amid the discussion about new kinds of threats being made possible by generative AI, the impact on the CISO role was a clear touchpoint that’s having a massive impact.
“The CISO’s role is incredibly challenging and evolving quickly,” said Madanes. “I think right now what’s happening is that they have been enforcing existing policies on data and protection, but as they move into the realm of shouldering the responsibility of protecting injection against the conversational interfaces that are being deployed, that requires a different skill set, a different set of tools that haven’t even been developed, that are mostly homegrown right now.”
Similarly, Greenberg said CISOs should be thinking about what tools they’re using and what data they’re uploading to those tools, especially public tools. This also includes carefully laying out guardrails, including for who can remove data from these systems.
To many, this looks like a different kind of role from the CISOs of yesterday, which narrowed in more on the technical aspects, such as IT outsourcing, rather than making major policy decisions. This point inspired a lively discussion among the participants, who commented on the growing risks of being a CISO and speculation that the role may actually split into two—one more operational role, and one that’s more governance-oriented.
Pointing to the fact that CISOs are now being held personally criminally liable regarding their handling of attacks on their companies, one participant, Ross Camp from data security and protection firm Commvault, asked if we should be worried about a shortage of CISOs in the near future. Just last month, former SolarWinds CISO Timothy Brown was charged by the Securities and Exchange Commission for defrauding investors by failing to disclose known security risks that led to a massive supply-chain attack on the company—and analysts and law professionals believe this will become much more common.
In terms of how to fight generative AI attacks with generative AI, this is still a work in progress. But in 2024, Madanes said the industry will be off to the races to build solutions.
“I think we’re only starting to see people realize how the attack vectors that are going to come into agents that are exposed to the outside world—what shape those are going to have, and what are going to be the commercial solutions they need to put in place. But I don’t think we’re there yet,” Madanes said. “I think we’re rushing to build commercial solutions, assess them, and deploy them.”
Greenberg, who provided much of the insight into the new types of attacks forming, such as next-level phishing and the availability of applications like FraudGPT, advocated for the importance of multiple lines of defense and cautioned against believing any one tool can do the job.
“I think it’s important for us to understand that it’s not one system, not one product that can deal with this,” he said.
財富中文網所刊載內容之知識產權為財富媒體知識產權有限公司及/或相關權利人專屬所有或持有。未經許可,禁止進行轉載、摘編、復制及建立鏡像等任何使用。
