生成式AI将颠覆网络安全行业
随着网络安全技术的发展,每一种新技术都会带来新威胁,并创造出应对这些威胁的工具。生成式人工智能也不例外。
近日,在旧金山召开的《财富》AI头脑风暴大会上,Wipro首席技术官苏巴·塔塔瓦尔迪参加了专题讨论会,主要探讨了AI时代的网络安全威胁。她表示:“生成式AI使攻守双方都变得更容易。”
生成式AI让网络钓鱼攻击变得更加逼真,尤其是大语言模型创造了一个高度暴露的攻击面。与此同时,有不法分子开始在暗网出售面向黑客的聊天机器人,类似于OpenAI旗下的ChatGPT,就像ChatGPT能快速回答问题或总结文本一样,这些聊天机器人能快速发动矢量攻击。关于生成式AI对网络安全的影响,尤其具有挑战性的是,它能在极短的时间内上市(包括黑市)。各行各业的公司现在都在争相了解生成式AI支持的新型攻击,并开发新防御工具,还要应对这些工具的内部应用、政策以及合规等方面快速变化的挑战。因此,首席信息安全官(CISO)这个职务正在发生翻天覆地的变化。
塔塔瓦尔迪表示:“我很同情现在的首席信息安全官。”她还表示,首席信息安全官职责的关键在于快速创新,包括要有自己的创新,而不只是使用市场上可用的技术。
与塔塔瓦尔迪同台的还有Check Point首席策略官伊泰·格林伯格和安永(EY)全球AI创新负责人罗德里戈·曼德尼斯。他们在这次战略讨论会上,共同探讨了AI如何影响不断变化的网络安全环境。在谈到生成式AI可能带来的新威胁时,讨论的热点之一显然是首席信息安全官的职责受到的影响,因为这会对网络安全领域造成巨大冲击。
曼德尼斯表示:“首席信息安全官的职责具有巨大的挑战性,而且正在快速发生变化。我认为,目前他们的职责是执行现有的数据和保护政策,但如果他们要承担起保护公司执行的对话界面免受注入攻击的责任,他们需要具备不同技能,要有一套尚未被开发出来的工具,而且这些工具大多数需要公司内部自行开发。”
同样,格林伯格表示,首席信息安全官应该考虑他们要使用哪些工具,要向这些工具尤其是公共工具上传哪些数据。其中还包括仔细设置护栏,例如规定哪些人可以从系统中删除数据。
对于许多人而言,这与首席信息安全官以前的职责截然不同。以往,首席信息安全官的职责主要专注于技术层面,如IT外包等,但并不参与重大的政策决策。这一点引起了参与者的讨论。他们讨论了作为首席信息安全官面临的日益增多的风险,而且他们猜测这个职位可能被一分为二,其中一个职位的职责偏向于运营,另外一个则专注于治理。
数据安全与保护公司Commvault的罗斯·坎普在会上提到了一个事实,那就是首席信息安全官要因为他们对公司遭受攻击的处理方式,承担个人刑事责任,他提出了我们是否应该担心短期内首席信息安全官不足的问题。上个月,SolarWinds前首席信息安全官提摩西·布朗被美国证券交易委员会(the Securities and Exchange Commission)指控,未能披露已知安全风险构成欺诈投资者的罪名,这些安全风险导致该公司遭遇了一次大规模供应链攻击。分析师和法律专业人士认为,这种情况会变得非常普遍。
至于如何使用生成式AI应对生成式AI攻击,这项工作任重道远。但曼德尼斯表示,在2024年,网络安全行业将会掀起一场开发解决方案的竞争。
曼德尼斯称:“我认为我们才刚刚开始看到,人们意识到攻击向量会如何攻击暴露在外的代理,这些攻击会是什么形态,以及他们需要采取什么样的商业解决方案。但我认为我们还没有到那一步。我想,我们正在尽快开发商业解决方案,并进行评估和部署。”
格林伯格曾发表了许多与新型攻击有关的观点,例如新型网络钓鱼欺诈,以及FraudGPT等应用的可用性等。他强调了采用多重防线的重要性,并警告不要相信任何一个工具能保证网络安全。
他说道:“我认为,重要的是我们要理解,仅靠一个系统或一款产品无法解决这个问题。”
译者:刘进龙
审校:汪皓
随着网络安全技术的发展,每一种新技术都会带来新威胁,并创造出应对这些威胁的工具。生成式人工智能也不例外。
近日,在旧金山召开的《财富》AI头脑风暴大会上,Wipro首席技术官苏巴·塔塔瓦尔迪参加了专题讨论会,主要探讨了AI时代的网络安全威胁。她表示:“生成式AI使攻守双方都变得更容易。”
生成式AI让网络钓鱼攻击变得更加逼真,尤其是大语言模型创造了一个高度暴露的攻击面。与此同时,有不法分子开始在暗网出售面向黑客的聊天机器人,类似于OpenAI旗下的ChatGPT,就像ChatGPT能快速回答问题或总结文本一样,这些聊天机器人能快速发动矢量攻击。关于生成式AI对网络安全的影响,尤其具有挑战性的是,它能在极短的时间内上市(包括黑市)。各行各业的公司现在都在争相了解生成式AI支持的新型攻击,并开发新防御工具,还要应对这些工具的内部应用、政策以及合规等方面快速变化的挑战。因此,首席信息安全官(CISO)这个职务正在发生翻天覆地的变化。
塔塔瓦尔迪表示:“我很同情现在的首席信息安全官。”她还表示,首席信息安全官职责的关键在于快速创新,包括要有自己的创新,而不只是使用市场上可用的技术。
与塔塔瓦尔迪同台的还有Check Point首席策略官伊泰·格林伯格和安永(EY)全球AI创新负责人罗德里戈·曼德尼斯。他们在这次战略讨论会上,共同探讨了AI如何影响不断变化的网络安全环境。在谈到生成式AI可能带来的新威胁时,讨论的热点之一显然是首席信息安全官的职责受到的影响,因为这会对网络安全领域造成巨大冲击。
曼德尼斯表示:“首席信息安全官的职责具有巨大的挑战性,而且正在快速发生变化。我认为,目前他们的职责是执行现有的数据和保护政策,但如果他们要承担起保护公司执行的对话界面免受注入攻击的责任,他们需要具备不同技能,要有一套尚未被开发出来的工具,而且这些工具大多数需要公司内部自行开发。”
同样,格林伯格表示,首席信息安全官应该考虑他们要使用哪些工具,要向这些工具尤其是公共工具上传哪些数据。其中还包括仔细设置护栏,例如规定哪些人可以从系统中删除数据。
对于许多人而言,这与首席信息安全官以前的职责截然不同。以往,首席信息安全官的职责主要专注于技术层面,如IT外包等,但并不参与重大的政策决策。这一点引起了参与者的讨论。他们讨论了作为首席信息安全官面临的日益增多的风险,而且他们猜测这个职位可能被一分为二,其中一个职位的职责偏向于运营,另外一个则专注于治理。
数据安全与保护公司Commvault的罗斯·坎普在会上提到了一个事实,那就是首席信息安全官要因为他们对公司遭受攻击的处理方式,承担个人刑事责任,他提出了我们是否应该担心短期内首席信息安全官不足的问题。上个月,SolarWinds前首席信息安全官提摩西·布朗被美国证券交易委员会(the Securities and Exchange Commission)指控,未能披露已知安全风险构成欺诈投资者的罪名,这些安全风险导致该公司遭遇了一次大规模供应链攻击。分析师和法律专业人士认为,这种情况会变得非常普遍。
至于如何使用生成式AI应对生成式AI攻击,这项工作任重道远。但曼德尼斯表示,在2024年,网络安全行业将会掀起一场开发解决方案的竞争。
曼德尼斯称:“我认为我们才刚刚开始看到,人们意识到攻击向量会如何攻击暴露在外的代理,这些攻击会是什么形态,以及他们需要采取什么样的商业解决方案。但我认为我们还没有到那一步。我想,我们正在尽快开发商业解决方案,并进行评估和部署。”
格林伯格曾发表了许多与新型攻击有关的观点,例如新型网络钓鱼欺诈,以及FraudGPT等应用的可用性等。他强调了采用多重防线的重要性,并警告不要相信任何一个工具能保证网络安全。
他说道:“我认为,重要的是我们要理解,仅靠一个系统或一款产品无法解决这个问题。”
译者:刘进龙
审校:汪皓
As goes the cycle of cybersecurity, every new technology creates both a new landscape of threats and tools to defend against them. Generative AI is no exception.
“Gen AI makes things easier for both the defenders and the attackers,” said Subha Tatavarti, chief technology officer for Wipro, at a panel discussion focused on cybersecurity threats in the AI age at the Fortune Brainstorm AI conference in San Francisco this week.
Generative AI is making phishing attacks more convincing, and large language models in particular have created a massively exposed attack surface. At the same time, malicious actors are now selling hacker-targeted ChatGPT-like chatbots on the dark web that will spin up vector attacks as quickly as OpenAI’s product will answer questions or summarize text. But what’s especially challenging about the impact of generative AI on cybersecurity is the whiplash speed at which it’s hit the market (including the black market). Companies across sectors are now scrambling to not only understand emerging generative AI–enabled attacks and build new defense tools, but deal with fast-moving challenges regarding internal usage of these tools, policy, and compliance. As a result, the CISO (chief information security officer) role is being turned on its head.
“I feel for the CISOs of today,” said Tatavarti, adding that it’s going to be critical for CISOs to innovate quickly, including doing their own innovation beyond just what’s available on the market.
Tatavarti spoke alongside Check Point chief strategy officer Itai Greenberg and Rodrigo Madanes, global AI innovation leader at EY, during a strategy session exploring how AI is impacting the evolving cybersecurity landscape. Amid the discussion about new kinds of threats being made possible by generative AI, the impact on the CISO role was a clear touchpoint that’s having a massive impact.
“The CISO’s role is incredibly challenging and evolving quickly,” said Madanes. “I think right now what’s happening is that they have been enforcing existing policies on data and protection, but as they move into the realm of shouldering the responsibility of protecting injection against the conversational interfaces that are being deployed, that requires a different skill set, a different set of tools that haven’t even been developed, that are mostly homegrown right now.”
Similarly, Greenberg said CISOs should be thinking about what tools they’re using and what data they’re uploading to those tools, especially public tools. This also includes carefully laying out guardrails, including for who can remove data from these systems.
To many, this looks like a different kind of role from the CISOs of yesterday, which narrowed in more on the technical aspects, such as IT outsourcing, rather than making major policy decisions. This point inspired a lively discussion among the participants, who commented on the growing risks of being a CISO and speculation that the role may actually split into two—one more operational role, and one that’s more governance-oriented.
Pointing to the fact that CISOs are now being held personally criminally liable regarding their handling of attacks on their companies, one participant, Ross Camp from data security and protection firm Commvault, asked if we should be worried about a shortage of CISOs in the near future. Just last month, former SolarWinds CISO Timothy Brown was charged by the Securities and Exchange Commission for defrauding investors by failing to disclose known security risks that led to a massive supply-chain attack on the company—and analysts and law professionals believe this will become much more common.
In terms of how to fight generative AI attacks with generative AI, this is still a work in progress. But in 2024, Madanes said the industry will be off to the races to build solutions.
“I think we’re only starting to see people realize how the attack vectors that are going to come into agents that are exposed to the outside world—what shape those are going to have, and what are going to be the commercial solutions they need to put in place. But I don’t think we’re there yet,” Madanes said. “I think we’re rushing to build commercial solutions, assess them, and deploy them.”
Greenberg, who provided much of the insight into the new types of attacks forming, such as next-level phishing and the availability of applications like FraudGPT, advocated for the importance of multiple lines of defense and cautioned against believing any one tool can do the job.
“I think it’s important for us to understand that it’s not one system, not one product that can deal with this,” he said.
