CyberArk的2023年身份安全威脅形勢報告提出了一些有價值的見解���。接受調(diào)查的 2,300 名安全專業(yè)人士給出了一些發(fā)人深省的數(shù)據(jù):
68%的人擔心員工裁員和流失帶來的內(nèi)部威脅
99%的人預計財務削減、地緣政治因素�����、云應用程序和混合工作環(huán)境會導致某種類型的身份泄露
74%的人擔心機密數(shù)據(jù)因員工���、前員工和第三方供應商而丟失����。
此外�,許多人認為數(shù)字身份擴散正在增加,攻擊面面臨人工智能 (AI) 攻擊�、憑證攻擊和雙重勒索的風險?�,F(xiàn)在�,讓我們關注數(shù)字身份擴散和人工智能驅(qū)動的攻擊���。
數(shù)字身份:解決方案還是終極特洛伊木馬?
一段時間以來��,數(shù)字身份一直被認為是提高網(wǎng)絡安全和減少數(shù)據(jù)丟失的潛在解決方案��。一般的想法是這樣的:每個人都有獨特的標記���,從生物識別簽名到行為動作�����。這意味著將這些標記數(shù)字化并將其與個人相關聯(lián)應該可以最大限度地減少授權和身份驗證風險�。
粗略地說���,這是一種“信任和驗證”模型���。
但如果“信任”不再可靠怎么辦?相反�,如果某些虛假的東西得到驗證——一些本來就不應該被信任的東西��,該怎么辦����?為了糾正這種情況而進行的風險分析在哪里����?
數(shù)字身份的強行推銷在一定程度上源于對技術世界的潛在偏見。也就是說���,信息安全技術和惡意行為者的策略�����、技術和程序 (TTP) 都以相似的速度變化?����,F(xiàn)實告訴我們事實并非如此:TTP����,尤其是在人工智能的幫助下���,正在突破安全控制��。
您會看到���,人工智能攻擊的一個特點是人工智能可以比人類更快地了解 IT 資產(chǎn)�����。因此,技術和社會工程攻擊都可以根據(jù)環(huán)境和個人進行定制����。例如,想象一下基于大數(shù)據(jù)集(例如����,您的社交媒體帖子、從互聯(lián)網(wǎng)上刮取的有關您的數(shù)據(jù)��、公共監(jiān)控系統(tǒng)等)的魚叉式網(wǎng)絡釣魚活動�����。這就是我們正在走的路�。
數(shù)字身份可能有機會在非人工智能世界中成功運作,在那里它們本質(zhì)上是值得信任的�����。但在人工智能驅(qū)動的世界中,數(shù)字身份的信任正在被有效消除�����,將它們變成本質(zhì)上不值得信任的東西����。
信任需要重建,因為一條沒有任何東西值得信任的道路在邏輯上只能通向一個地方:全面監(jiān)控�。
人工智能作為一種身份
身份驗證解決方案已經(jīng)變得非常強大。它們縮短了訪問請求時間��,管理數(shù)十億次登錄嘗試�����,當然還使用了人工智能�����。但原則上�����,驗證解決方案依賴于一個常數(shù):相信身份是真實的。
人工智能世界通過將“身份信任”變成一個變量來改變這一點��。
假設以下情況成立:我們在人工智能之旅中相對較早���,但進展很快��。大型語言模型可以取代人類交互并進行惡意軟件分析以編寫新的惡意代碼����。藝術性可以大規(guī)模地表現(xiàn)�����,濾波器可以使尖叫的聲音聽起來像專業(yè)歌手�����。深度造假����,無論是在聲音還是視覺表現(xiàn)上�,都已經(jīng)從“公然造假”的領域轉(zhuǎn)向“等一下,這是真的嗎?” 領土���。值得慶幸的是����,仔細分析仍然使我們能夠區(qū)分兩者����。
人工智能攻擊還有另一個特點:機器學習能力。它們會變得更快���、更好��,并最終容易被操縱�。請記住�����,并不是算法有偏差�����,而是程序員將其固有的偏差輸入到算法中�����。因此,隨著開源和商業(yè)AI技術可用性的不斷提高��,我們的真假辨別能力還能保持多久�?
疊加技術打造完美頭像
想想當今可用的強大監(jiān)控技術。生物特征識別�、個人細微差別(行走方式、面部表情��、聲音變化等)�、體溫、社交習慣�����、溝通趨勢以及其他一切讓你與眾不同的東西都可以被捕捉到����,其中大部分是秘密捕捉的?���,F(xiàn)在,疊加不斷增加的計算能力�����、數(shù)據(jù)傳輸速度和內(nèi)存容量。
最后����,添加一個人工智能驅(qū)動的世界,在這個世界中��,惡意行為者可以訪問大型數(shù)據(jù)庫并執(zhí)行復雜的數(shù)據(jù)挖掘�����。創(chuàng)建令人信服的數(shù)字復制品的增量縮小了�����。矛盾的是���,當我們?yōu)榘踩胧﹦?chuàng)建更多關于自己的數(shù)據(jù)時�����,我們的數(shù)字風險狀況也在增加���。
通過限制數(shù)據(jù)量減少攻擊面
將我們的安全想象為水壩���,將數(shù)據(jù)想象為水。迄今為止�����,我們利用數(shù)據(jù)大多是好的手段(例如����,利用水進行水力發(fā)電)。存在一些維護問題(例如�,攻擊者、數(shù)據(jù)泄漏��、維護不善)�,到目前為止,如果令人筋疲力盡���,這些問題大多是可以管理的���。
但是�,如果大壩的蓄水速度快于基礎設施設計管理和蓄水的速度怎么辦?大壩潰決���。使用這個類比�,接下來的任務就是轉(zhuǎn)移多余的水并加固大壩或限制數(shù)據(jù)并重建信任。
有哪些方法可以實現(xiàn)這一目標��?
自上而下的方法創(chuàng)建護欄(策略)�。僅生成和保存您需要的數(shù)據(jù),甚至可以抑制過多的數(shù)據(jù)保存��,尤其是與個人相關的數(shù)據(jù)�����。抵制為了微觀目標而抓取和數(shù)據(jù)挖掘一切的誘惑���。除非有更安全的水庫�,否則會有更多的水進入水庫(提示:分段)����。
自下而上的方法限制訪問(操作)。白名單是你的朋友���。限制權限并開始重建身份信任�。默認情況下不再“選擇加入”����;默認情況下移至“選擇退出”��。這使您可以更好地管理流經(jīng)大壩的水流(例如����,減少攻擊面和數(shù)據(jù)暴露)�����。
專注于重要的事情(策略)��。實施證明我們無法保證一切�����。這不是批評�����;而是現(xiàn)實��。關注風險�,尤其是身份和訪問管理。再加上通道有限��,基于風險的方法優(yōu)先考慮對大壩裂縫進行修復�。
最后,必須承擔風險才能實現(xiàn)未來的回報�����。“無風險”適用于奇幻書籍�����。因此��,在數(shù)據(jù)過剩的時代�����,最大的“風險”可能是生成和持有的數(shù)據(jù)較少����。獎勵?最大限度地減少數(shù)據(jù)丟失的影響���,讓您在其他人折斷的時候屈服��。
沃卡惠
