安全团队需要了解的六大最危险的新威胁

news2024/12/23 7:50:37

图片

人工智能的崛起为网络安全带来了非凡的机遇和令人生畏的挑战。

虽然人工智能可以轻松识别和利用漏洞,但如果没有强大的安全措施,部署人工智能会带来重大风险。

随着技术的发展,许多组织优先考虑人工智能创新,却忽视了安全性,导致系统易受攻击。这凸显了建立安全框架和持续教育人工智能动态风险的必要性。 

通过优先考虑 AI 安全并支持网络安全专业人员,组织可以有效地降低风险并保障运营。

每年,RSA 大会上的专家都会讨论六大新攻击和威胁,以及企业可以采取哪些可行措施来应对这些攻击和威胁。

1.攻击者利用人工智能发现代码中的弱点

如果给 GPT-4 一份现实世界漏洞列表, 它可以自主利用其中的 87%。这意味着黑客可以使用公开披露的列表来瞄准公司。

虽然这是人类黑客历来采取的方法——寻找防御漏洞,但人工智能做到这一点的速度和轻松程度改变了游戏规则。

如果未修补,应用程序将变得极易受到攻击,其中零日攻击(公开的、未修补的漏洞)和一日攻击(已修补但未应用)构成重大威胁。

为了有效防止人工智能驱动的攻击,安全团队必须采取主动的方法,利用人工智能进行防御——以毒攻毒。由于人类团队无法像恶意人工智能检测到漏洞那样快速修补漏洞,因此确保企业完全具备人工智能能力至关重要。

这要求安全团队精通人工智能,而自动化紫色测试(模拟攻击者和防御者的角色)可以创建模拟攻击和响应补救策略的连续反馈循环。

2.贵公司的 GenAI 被利用和武器化

“我们需要在公司内拥有 GenAI”是自该技术爆炸式增长以来企业中经常听到的一句话。

随着企业寻求利用新技术,创新正在迅速转化为产品,但它们也为攻击者利用和攻击企业打开了一个重要的切入点。

IBM 的一项调查发现,70% 的高管受访者认为,在 AI 方面,创新优先于安全。尽管 82% 的受访者表示“安全可靠的 AI 对企业成功至关重要”,但只有 24% 的受访者表示他们确实在保护 GenAI 产品的安全。

不安全的大型语言模型 (LLM) 的风险巨大且影响深远。例如,攻击者可以利用即时注入来操纵 AI,使其泄露敏感数据或执行未经授权的操作,而训练数据中毒可能会在 AI 学习阶段破坏 AI,导致后门攻击等有害后果。

展望未来,人们担心攻击者可能会利用 AI 系统发起协同攻击,因此确保新品牌的 AI 不会成为犯罪分子至关重要。

为了保护 LLM,首先要采用成熟的框架,例如Google 的安全 AI 框架 (SAIF) 和 Nist 的 AI 风险管理框架。在执行最小特权原则的同时,进行全面的建模和数据验证。

3.攻击者利用 GenAI 进行复杂的鱼叉式网络钓鱼

在这个时代,只需三秒钟的说话样本就能克隆出一个人的声音,并验证其身份,这很快就会变得非常困难。

我们不能依赖公司用人工智能生成保护性内容,因为即使是微妙的迹象也很容易被抹去。

这对远程身份验证提出了重大挑战,尤其是在分布式劳动力中。

为了解决这个问题,重点是制定为客户和员工建立和重新建立身份的策略。

利用人工智能来检测异常行为,但请记住,尽管人类付出了努力,但他们仍然是安全堆栈中最薄弱的环节。

4.利用 GenAI 对员工和高管进行性勒索

在 GenAI 时代,性勒索是一个令人不安但又至关重要的话题。

虽然这个概念并不新鲜(就像那些威胁要曝光某人硬盘上内容的电子邮件一样),但人工智能的进步使它成为一个日益严重的威胁,任何人都可能成为目标。

不幸的是,它通常不会在付款后结束。我们看到攻击者使用“替代”付款方式,例如授予网络访问权限、安装恶意软件或任何破坏系统的方式。

高管面临的风险最大,因此实施高管保护计划至关重要。让整个公司了解什么是性勒索以及攻击可能是什么样子。这令人不安,但这些攻击在无知的环境中蓬勃发展。

5.多因素身份验证(MFA)拦截

MFA 推送的通知越来越令人厌烦,导致许多用户不假思索就点击它们。

这使它们容易受到“中间人”攻击,攻击者诱骗用户登录虚假网站。登录后,攻击者会获取用户的凭据和 MFA 代码以访问真实帐户。

虽然 MFA 聊胜于无,但它并不是万灵药。为了增强安全性,用户必须在登录屏幕上输入代码,因为攻击者无法访问它。

在推送通知中添加上下文,例如登录位置,并加强对异常登录时间的身份验证措施。

6.缺乏训练有素(且警惕)的网络安全专业人员  

网络安全专业人员短缺是一个众所周知的问题,71% 的组织存在网络安全职位空缺。

这种短缺导致安全团队人手不足且精疲力竭,而人工智能的兴起使这一问题更加严重。

鉴于威胁者现在拥有的人工智能工具,网络安全专业人员必须比以往任何时候都更加警惕。然而,只有12% 的人拥有丰富的人工智能工作经验。

专注于提升网络安全团队在基于人工智能的防御策略方面的技能,并利用人工智能减轻他们的工作负担,这将是有益的。

入站消息过滤、总结事件报告、流程自动化和过滤漏洞赏金挑战等任务都可以实现自动化。

为员工提供资源,让他们随时了解威胁行为者使用人工智能的方式,并弥补知识差距,这将使团队更加投入、装备更精良,随时准备抵御犯罪分子。

在问题发生之前立即开始降低风险

面对重大的网络安全威胁,采取积极而切实的措施来保护员工和组织至关重要。

解决网络安全专业人员短缺、人工智能驱动的攻击和性勒索等问题需要采取深思熟虑的方法——从提高团队的人工智能防御技能到创造支持性的工作环境。

通过保持警惕和积极主动,企业可以有效地降低风险并增强整体安全态势。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2124501.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

《黑神话悟空》有情众生三十四难成就指南

在《黑神话悟空》的丰富世界中,解锁“有情众生三十四难”成就是一项颇具挑战性的任务。这个成就要求玩家完成一系列精细的支线任务,并在小雷音寺击败不白。以下是详细的成就解锁步骤,助你在这款动作角色扮演游戏中取得新的进展。 如果需要一个…

苹果手机铃声怎么设置自己的歌?3个方法自定义手机铃声

苹果手机内部的手机铃声库只有固定的几首铃声,且都是纯音乐,比较单调,并不是所有用户都喜欢这些铃声。那么,苹果手机铃声怎么设置自己的歌呢?小编这里有3个方法,可以教大家如何将手机铃声设置成自己喜欢的歌…

深度学习-目标检测(一)-R-CNN

目录 一:目标检测-Overfeat模型 1.滑动窗口 二:目标检测R-CNN模型 1.R-CNN结构 1.步骤(以AlexNet网络为基准) 2.候选区域 3.CropWarp 4.CNN网络提取特征 5.特征向量训练分类器SVM 三:R-CNN训练过程 1.训练…

DataLoader使用

文章目录 一、认识dataloader二、DataLoader整合数据集三、使用DataLoader展示图片方法四、去除结尾不满足batch_size设值图片的展示 一、认识dataloader DataLoader 用于封装数据集,并提供批量加载数据的迭代器。它支持自动打乱数据、多线程数据加载等功能。datas…

【网络安全】-文件上传漏洞实战-upload-labs(0~16)

准备&#xff1a; 一句话木马&#xff1a;<? php eval($_REQUEST[cmd]); ?)> 格式&#xff1a;写入txt文本重命名后缀问.php /.php 格式&#xff0c;看具体要求上传。 Pass-01: 显示页面源代码&#xff0c;发现是js对不合法文件进行检查,上传修改为.jpg的php文件直接…

孩子为什么会有自闭症?

自闭症&#xff0c;这个复杂而神秘的神经发展性障碍&#xff0c;长久以来一直困扰着无数家庭和专业人士。尽管其确切原因尚未被完全揭示&#xff0c;但多年的研究与实践已经为我们提供了多个可能的解释框架。 首先&#xff0c;遗传因素在自闭症的发病中扮演了重要角色。科学家发…

HTML5超酷炫的水果蔬菜在线商城网站源码系列模板1

文章目录 1.设计来源1.1 主界面1.2 商品列表界面1.3 商品详情界面1.4 其他界面 2.效果和源码2.1 动态效果2.2 源代码 源码下载 作者&#xff1a;xcLeigh 文章地址&#xff1a;https://blog.csdn.net/weixin_43151418/article/details/142059238 HTML5超酷炫的水果蔬菜在线商城网…

五星级可视化页面(04):城市鸟瞰地图,恢宏大气。

今天继续分享五星级可视化大屏界面&#xff0c;本期分享城市3D鸟瞰图的&#xff0c;非常的恢宏大气。

101 个 React 技巧和窍门

在这篇文章中&#xff0c;我分享了我多年来学到的101个最佳提示和技巧。准备好了吗&#xff1f;让我们开始吧&#x1f4aa;&#xff01; 注意&#xff1a;本指南假定你对 React 有基本的了解&#xff0c;并了解术语 props、state、context 等。 类别 #1&#xff1a;组件组织 1…

Mac中Twig模版安装与SSTI漏洞学习

感谢大佬的文章参考学习。 SSTI&#xff1a;https://www.cnblogs.com/bmjoker/p/13508538.html Homebrew&#xff1a;快速开始 - Homebrew 中文网 Homebrew安装 一键快捷安装&#xff1a;默认使用中科大的源 /bin/bash -c "$(curl -fsSL https://gitee.com/ineo6/homeb…

LDAP HA 配置

目录 1 LDAP 高可用1.1 介绍1.2 安装1、环境2、全量数据同步3、配置LDAP的HA4、测试 总结 1 LDAP 高可用 1.1 介绍 LDAP的主从同步模式有5种&#xff1a; MirrorMode为ldap ha比较主流的一种模式&#xff0c;本文基于MirrorMode模式进行部署。 如果想要主从LDAP是同一个IP…

QT QPrinter无弹窗后台打印

最近遇到一个打印相关的问题,就是如何通过代码设定打印的相关信息,然后一键打印出来呢,不通过系统的打印设置界面(下图所示)进行设置内容,直接实现打印? 网上找到的一般的打印都如下所示,都是通过了QPrintDialog进行弹出系统打印设置,然后再进行打印,才完成打印,类…

所有即将登陆iPhone 16的Apple智能功能以及预期发布时间

苹果即将在9月9日的“Glowtime”&#xff08;闪耀时刻&#xff09;发布会上揭示和&#xff0c;这是本年度最值得期待的iPhone。 据悉&#xff0c;今年的iPhone将推出更大的屏幕、更快的芯片、更好的摄像头、新的颜色以及更多的内部升级。但是&#xff0c;除了这些硬件提升外&a…

如何进行匈牙利匹配

1 问题提出 在做目标检测的指标评价时,模型会输出一系列目标结果,而标注的GT又会有一些结果,如何将预测值和GT标注真值进行匹配呢?这个时候就可以使用匈牙利匹配来解决问题! For example: 2 匈牙利匹配使用流程 构建代价矩阵 可以根据PRED和GT中心点距离或者颜色特征的…

消防指挥中心控制台:守护安全的关键枢纽

在消防应急救援的战场上&#xff0c;嘉德立消防指挥中心控制台犹如一座坚实的堡垒&#xff0c;发挥着至关重要的作用。它是消防指挥的核心枢纽&#xff0c;连接着无数的信息与行动&#xff0c;为保护人民生命财产安全提供了强大的保障。 一、重要地位与作用 消防指挥中心控制台…

爆火AI教学视频Grant Sanderson作者是谁?

Grant Sanderson 是一位著名的数学教育家和 YouTube 频道 3Blue1Brown 的创始人。他于 2015 年毕业于斯坦福大学&#xff0c;获得数学学士学位。在斯坦福大学期间&#xff0c;他不仅专注于数学&#xff0c;还涉猎了计算机科学领域。 毕业后&#xff0c;Sanderson 加入了 Khan A…

小白看八字排盘需要的基础知识

我们在看生辰八字的时候比较专业的大师都会先根据命主的八字排盘起卦得出命盘卦象&#xff0c;然后再进行分析&#xff0c;今天我们来教大家认识八字命盘&#xff0c;小白看八字排盘需要学习哪些基础知识&#xff1f; 什么是八字排盘 八字排盘&#xff0c;顾名思义就是将一个…

图分类!!!

deepwalk 使用图中节点与节点的共现关系来学习节点的向量表示。那么关键的问题就是如何来描述节点与节点的共现关系&#xff0c;DeepWalk给出的方法是使用随机游走(RandomWalk)的方式在图中进行节点采样,RandomWalk是一种可重复访问已访问节点的深度优先遍历算法。给定当前访问…

Kafka--高吞吐量消息中间件

文章目录 Kafka特点和优势Kafka特点Kafka优势Kafka角色分区和副本的优势Kafka写入流程 Kafka部署单机集群部署1.环境准备ZooKeeper2.配置文件说明3.各节点部署Kafka4.启动服务5.确保服务启动 Kafka读写数据创建Topic获取Topic验证Topic详情生成Topic消费Topic删除 Topic Kafka特…

IP网络广播服务平台upload接口存在任意文件上传漏洞

免责声明&#xff1a;请勿利用文章内的相关技术从事非法测试&#xff0c;由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失&#xff0c;均由使用者本人负责&#xff0c;所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述 …