深度偽造對企業數據的威脅
隨著深度偽造詐騙的關注度上升,網絡保險公司大多仍然專注於傳統的網絡風險,例如釣魚攻擊。然而,隨著科技的進步,企業必須重新思考其技術防禦及所需的保險覆蓋範圍。三月,網絡威脅保險公司Coalition新增了一項名為「肯定 AI 批註」的保險範圍,該批註可補償因資金轉移詐騙、網絡安全失敗及相關問題所造成的損失。Digital Insurance與Coalition的研究副總裁Tiago Henriques進行了對話,探討企業及保險公司如何利用最新科技來抵禦日益複雜的網絡攻擊。
企業和保險公司如何防範深度偽造?
Tiago Henriques提到,針對聲音深度偽造,建議公司內部設置共享關鍵短語。例如,在通話中使用特定詞語(如「香蕉」)來確認對方身份。另一種方法是在通話結束後,主動撥回對方的號碼確認通話內容。此外,對於電子郵件,應對「看起來太好而不真實」的事情採取嚴格的預防措施,進行二次確認。例如,收到一封聲稱是供應商的電子郵件,要求支付一筆金額時,應確認是否真的欠款,切勿在未經核實的情況下直接轉賬。
Henriques指出,防禦者開始利用大型語言模型(LLMs)來對抗這些技術,但這將是一場持續的貓捉老鼠遊戲,未來會有更多有趣的演變,但挑戰也相當艱巨。
這些風險或損失是否被視為犯罪損失或網絡安全失敗?
Coalition的肯定覆蓋是針對特定情況的明確保險,並不意味著有新的保險類別。Henriques表示,許多客戶正在將LLMs嵌入到其產品中,這使得攻擊者可以使用「提示注入」的方式來獲取客戶數據。Coalition明確表示,如果客戶遭遇提示注入攻擊,這將被包含在其網絡保險政策內。
AI技術可能帶來的網絡漏洞
Henriques指出,越來越多的企業開始使用AI,但他們往往對數據隱私問題不夠謹慎。企業需要仔細閱讀供應商的條款和數據隱私政策,了解數據的使用方式。是否真的需要將所有數據發送給LLM?是否能將客戶數據與一般數據分開?特別是在歐盟,AI數據法規相當嚴格,因此企業必須謹慎處理這些問題。
AI如何用於防禦網絡漏洞?
雖然AI技術被壞人利用,但也有許多正面的應用。Henriques指出,詐騙電話、深度偽造、電子郵件釣魚等活動的增長是不可避免的,因為這些技術的成本仍然較低,攻擊者可以在本地運行LLMs。儘管目前深度偽造視頻的生成仍需大量計算能力,但聲音和文本相關的攻擊將會持續增長。
企業是否在導入操作技術時創造了更多漏洞?
Henriques強調,許多企業在使用AI技術時並沒有充分考慮安全性。例如,某些企業在其網站上嵌入了聊天機器人,卻讓這些機器人可以訪問整個客戶數據庫,這將導致數據洩露的風險。對於這些新技術,企業需要考慮所有角色基於的訪問權限及隱私配置,避免出現數據中毒等問題。
企業和保險公司應關注的其他風險
隨著科技公司的AI應用受到高度關注,企業也面臨著成本壓力,急於削減開支,卻未考慮到由此可能帶來的其他問題。這種情況促使企業在未經充分考慮的情況下,盲目追求AI技術的應用,這可能會引發新的安全風險。
總結來說,隨著AI技術的快速發展,企業在享受其帶來的便利的同時,也必須深思熟慮,建立健全的安全防護措施,以防範潛在的網絡安全威脅。這不僅是為了保護自身的數據安全,也是對客戶信任的負責。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
