如何保護(hù)企業(yè)免受人工智能網(wǎng)絡(luò)釣魚攻擊

從OpenAI的ChatGPT等大型語(yǔ)言模型(LLM)的爆炸性流行，到生成式AI和機(jī)器學(xué)習(xí)的廣泛商業(yè)應(yīng)用，AI革命正在加速發(fā)展。雖然這些技術(shù)進(jìn)步可以帶來前所未有的效率和創(chuàng)造力，但它們也帶來了前所未有的風(fēng)險(xiǎn)，即大量人工智能驅(qū)動(dòng)的網(wǎng)絡(luò)威脅。

最緊迫的威脅之一來自人工智能生成的網(wǎng)絡(luò)釣魚。沒有比生成人工智能更適合網(wǎng)絡(luò)釣魚攻擊的技術(shù)了，因?yàn)樗试S網(wǎng)絡(luò)犯罪分子大規(guī)模創(chuàng)建高度針對(duì)性和可信的網(wǎng)絡(luò)釣魚內(nèi)容。從LLM組成的網(wǎng)絡(luò)釣魚信息到深度造假，我們正在進(jìn)入一個(gè)更難區(qū)分欺詐和合法內(nèi)容的時(shí)期。這意味著網(wǎng)絡(luò)罪犯將更容易通過社會(huì)工程攻擊來欺騙和操縱員工。

當(dāng)網(wǎng)絡(luò)犯罪分子擁有發(fā)起網(wǎng)絡(luò)釣魚攻擊的強(qiáng)大工具時(shí)，網(wǎng)絡(luò)安全意識(shí)培訓(xùn)至關(guān)重要。然而，培訓(xùn)的性質(zhì)必須隨著網(wǎng)絡(luò)威脅形勢(shì)的變化而發(fā)展。模擬網(wǎng)絡(luò)釣魚等資源已經(jīng)證明可以幫助員工做好抵御最常見網(wǎng)絡(luò)攻擊之一的準(zhǔn)備，但它們必須針對(duì)人工智能時(shí)代進(jìn)行更新。

人工智能將使網(wǎng)絡(luò)釣魚攻擊變得更加危險(xiǎn)

網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)犯罪分子社會(huì)工程武器庫(kù)中的超級(jí)武器。網(wǎng)絡(luò)釣魚尤其危險(xiǎn)，因?yàn)樗蔷W(wǎng)絡(luò)犯罪分子獲得初始訪問權(quán)限的最可靠方式。

人工智能已經(jīng)開始使網(wǎng)絡(luò)釣魚攻擊變得更加有效。網(wǎng)絡(luò)釣魚就是欺騙受害者點(diǎn)擊鏈接并下載惡意軟件或發(fā)送帳戶憑據(jù)，因此黑客希望他們的消息盡可能可信。雖然許多網(wǎng)絡(luò)釣魚攻擊會(huì)發(fā)送大量欺詐消息，希望少數(shù)攻擊能夠成功，但人工智能可以極大地提高網(wǎng)絡(luò)犯罪分子發(fā)起魚叉式網(wǎng)絡(luò)釣魚攻擊的能力。這些攻擊利用人工智能篩選大量數(shù)據(jù)來制作定制的網(wǎng)絡(luò)釣魚消息，其成功率比標(biāo)準(zhǔn)的大規(guī)模網(wǎng)絡(luò)釣魚攻擊高得多。

由于黑客從世界各地發(fā)起攻擊，員工可以通過語(yǔ)法或拼寫錯(cuò)誤檢測(cè)惡意內(nèi)容。但GPT-4支持26種語(yǔ)言，這使得網(wǎng)絡(luò)犯罪分子可以為更多的受害者制作引人注目的網(wǎng)絡(luò)釣魚內(nèi)容。人工智能不僅會(huì)幫助網(wǎng)絡(luò)犯罪分子創(chuàng)建更有說服力的網(wǎng)絡(luò)釣魚消息。它還將幫助他們通過搜索暗網(wǎng)上公開的信息和數(shù)據(jù)來識(shí)別受害者。

過去一年中，網(wǎng)絡(luò)釣魚電子郵件的數(shù)量激增，毫無疑問，人工智能已成為一個(gè)重要的力量倍增器。這意味著公司必須調(diào)整其網(wǎng)絡(luò)安全意識(shí)培訓(xùn)計(jì)劃，以應(yīng)對(duì)人工智能帶來的迅速出現(xiàn)的威脅。

企業(yè)如何阻止人工智能驅(qū)動(dòng)的網(wǎng)絡(luò)釣魚

近四分之三的數(shù)據(jù)泄露涉及人為因素。作為最常見的初始攻擊媒介，網(wǎng)絡(luò)釣魚尤其依賴于誘騙員工共享敏感信息或提供直接訪問。這些計(jì)劃之所以有效，是因?yàn)樗鼈兝昧艘婚L(zhǎng)串的心理弱點(diǎn)，比如恐懼、服從或好奇心。在人工智能的幫助下，網(wǎng)絡(luò)犯罪分子將能夠更有效地利用這些漏洞。

隨著人工智能網(wǎng)絡(luò)釣魚攻擊變得更有針對(duì)性，安全領(lǐng)導(dǎo)者需要圍繞員工的特定行為概況制定意識(shí)培訓(xùn)計(jì)劃。每個(gè)員工都有獨(dú)特的心理特征，他們的培訓(xùn)必須能夠識(shí)別這些特征并提供個(gè)性化的內(nèi)容，以增強(qiáng)行為優(yōu)勢(shì)，同時(shí)解決弱點(diǎn)。成功的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)計(jì)劃的一個(gè)基本要素是適應(yīng)性。這意味著教育內(nèi)容和評(píng)估必須圍繞現(xiàn)實(shí)世界的網(wǎng)絡(luò)攻擊和不斷發(fā)展的策略構(gòu)建。培訓(xùn)計(jì)劃還必須適應(yīng)員工的需求，從員工的心理狀況到知識(shí)水平和學(xué)習(xí)方式。

由人工智能驅(qū)動(dòng)的生成式網(wǎng)絡(luò)釣魚攻擊并不是我們唯一的問題。網(wǎng)絡(luò)犯罪分子還將使用更多的深度偽造來欺騙人們。要了解深度造假的威力，想象一下接到親人要求緊急幫助的電話或首席財(cái)務(wù)官要求立即電匯的電話會(huì)是什么樣子。這些有力地提醒我們，人工智能時(shí)代的意識(shí)培訓(xùn)必須發(fā)生根本性的改變。舊的檢測(cè)方法必須被取代，并且應(yīng)該始終鼓勵(lì)員工質(zhì)疑他們正在與誰(shuí)交談以及為什么要求他們做某事。

深度偽造和生成人工智能組成的網(wǎng)絡(luò)釣魚消息等復(fù)雜技術(shù)的部署，使得企業(yè)需要改進(jìn)其CSAT平臺(tái)，以跟上人工智能生成的網(wǎng)絡(luò)威脅的步伐。

網(wǎng)絡(luò)釣魚模擬確保責(zé)任感和適應(yīng)性

問責(zé)制是網(wǎng)絡(luò)安全意識(shí)培訓(xùn)的核心方面。隨著網(wǎng)絡(luò)安全投資的增加，首席信息安全官和其他安全領(lǐng)導(dǎo)者必須證明這些資源得到了充分利用。他們可以通過確保員工學(xué)習(xí)他們需要知道的知識(shí)并能夠阻止現(xiàn)實(shí)世界的網(wǎng)絡(luò)攻擊來做到這一點(diǎn)。

模擬網(wǎng)絡(luò)釣魚使企業(yè)能夠評(píng)估員工識(shí)別和預(yù)防最常見類型網(wǎng)絡(luò)攻擊的能力。這有助于安全領(lǐng)導(dǎo)者跟蹤員工的進(jìn)度，鞏固他們所學(xué)到的知識(shí)，并確定組織最容易受到攻擊的地方。員工培訓(xùn)是降低數(shù)據(jù)泄露總成本的首要緩解因素之一，其速度超過了加密、威脅情報(bào)和人工智能驅(qū)動(dòng)的洞察。但培訓(xùn)必須緊跟最新威脅才能保持有效。這就是為什么模擬網(wǎng)絡(luò)釣魚應(yīng)該為所有員工構(gòu)建自適應(yīng)行為檔案，并根據(jù)他們的技能水平和特定漏洞提供個(gè)性化指導(dǎo)。

當(dāng)網(wǎng)絡(luò)犯罪分子冒充權(quán)威人物發(fā)起網(wǎng)絡(luò)釣魚攻擊時(shí)，他們是在利用受害者的恐懼、服從和緊迫感。其他受害者更有可能陷入提供獎(jiǎng)勵(lì)的詐騙，例如學(xué)生貸款減免或投資計(jì)劃。模擬網(wǎng)絡(luò)釣魚應(yīng)考慮到使員工面臨不同類型社會(huì)工程攻擊風(fēng)險(xiǎn)的不同性格特征，同時(shí)提供有關(guān)如何全面抵御人工智能驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊的指導(dǎo)。安全領(lǐng)導(dǎo)者可以使用模擬網(wǎng)絡(luò)釣魚來彌補(bǔ)潛在的安全漏洞、讓自己承擔(dān)責(zé)任并改善信息保留。

安全領(lǐng)導(dǎo)者必須認(rèn)識(shí)到人工智能可以幫助網(wǎng)絡(luò)犯罪分子繞過垃圾郵件過濾器并產(chǎn)生更有說服力的消息。它幫助黑客利用受害者的公共和私人信息來攻擊他們，并允許不良行為者利用心理漏洞。當(dāng)員工了解這些策略并在模擬中不斷面對(duì)它們時(shí)，他們就會(huì)武裝起來保護(hù)公司免受最前沿的社會(huì)工程攻擊。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。