生成式人工智能將對網(wǎng)絡(luò)安全行業(yè)所有企業(yè)的運(yùn)作方式產(chǎn)生重大深遠(yuǎn)影響。2023年將是網(wǎng)絡(luò)安全技術(shù)進(jìn)化最快的一年，為未來幾十年指明方向。

ChatGPT引發(fā)的網(wǎng)絡(luò)安全“軍備競賽”正在持續(xù)發(fā)酵，無數(shù)真實(shí)用例表明網(wǎng)絡(luò)安全正以不可逆的姿態(tài)進(jìn)入生成式人工智能時(shí)代。

生成式人工智能對網(wǎng)絡(luò)安全團(tuán)隊(duì)來說是福是禍？網(wǎng)絡(luò)安全業(yè)界的觀點(diǎn)可大致分為“降臨派”、“拯救派”和“幸存派”三大類。

降臨派認(rèn)為人工智能是攻擊技術(shù)的大殺器，將大大加快黑客攻擊和網(wǎng)絡(luò)犯罪的技術(shù)迭代，使大規(guī)模針對性網(wǎng)絡(luò)攻擊成為可能，網(wǎng)絡(luò)安全將進(jìn)入“亂紀(jì)元”；拯救派則認(rèn)為生成式人工智能可極大增強(qiáng)威脅預(yù)防、檢測和響應(yīng)能力，是防御者“用魔法打敗魔法”的有力武器；幸存派則同時(shí)支持前兩者的觀點(diǎn)，并祈禱自己不會(huì)淪為新一輪AI軍備競賽的炮灰。

ChatGPT推動(dòng)11大網(wǎng)絡(luò)安全創(chuàng)新

無論是降臨派、拯救派還是幸存派，都面臨一個(gè)共同問題，難以跟蹤光速進(jìn)化、百花齊放的ChatGPT網(wǎng)絡(luò)安全用例。近日，普華永道高級分析師（拯救派）分享了2023年ChatGPT推動(dòng)的，即將改變網(wǎng)絡(luò)安全市場和威脅格局的11大創(chuàng)新，具體如下：

1.人工智能的進(jìn)攻性技術(shù)（惡意）應(yīng)用

2.AI訓(xùn)練和輸出數(shù)據(jù)的安全防護(hù)

3.制訂生成式AI使用政策

4.推動(dòng)安全審計(jì)現(xiàn)代化

5.更加關(guān)注數(shù)據(jù)衛(wèi)生和評估偏見

6.應(yīng)對快速增長的人工智能風(fēng)險(xiǎn)，練好安全基本功

7.創(chuàng)造新的工作和責(zé)任

8.利用人工智能優(yōu)化網(wǎng)絡(luò)投資

9.增強(qiáng)威脅情報(bào)

10.威脅預(yù)防和管理合規(guī)風(fēng)險(xiǎn)

11.實(shí)施數(shù)字信任戰(zhàn)略

一、人工智能進(jìn)攻性技術(shù)（惡意）應(yīng)用

我們正處于一個(gè)轉(zhuǎn)折點(diǎn)，今天的人工智能范式巨變影響著每一個(gè)人和每一件事。當(dāng)人工智能掌握在公民和消費(fèi)者手中時(shí)，是人類社會(huì)的福祉。但與此同時(shí)，ChatGPT這樣的生成式人工智能技術(shù)也可以被不法分子用于惡意目的，例如開發(fā)快速迭代和變異的惡意軟件以及高度復(fù)雜和定制化的網(wǎng)絡(luò)釣魚電子郵件。

——Sean Joyce，普華永道全球網(wǎng)絡(luò)安全和隱私負(fù)責(zé)人

二、AI訓(xùn)練和輸出數(shù)據(jù)的安全防護(hù)

生成式人工智能已經(jīng)發(fā)展到能幫助公司轉(zhuǎn)變業(yè)務(wù)的地步，對于領(lǐng)導(dǎo)者來說，重要的是與懂得如何駕馭日益增長的AI安全和隱私問題的企業(yè)合作。

原因是雙重的。首先，企業(yè)必須保護(hù)其訓(xùn)練人工智能的方式，因?yàn)樗麄儚奈⒄{(diào)模型中獲得的獨(dú)特知識對于如何經(jīng)營業(yè)務(wù)、提供更好的產(chǎn)品和服務(wù)以及與員工、客戶和生態(tài)系統(tǒng)的互動(dòng)至關(guān)重要。

其次，公司還必須保護(hù)他們生成式人工智能解決方案的輸入和輸出信息，因?yàn)檫@些信息會(huì)透露企業(yè)客戶和員工使用該技術(shù)所做的事情。

——Mohamed Kande，普華永道美國副主席、美國咨詢解決方案聯(lián)席主管兼全球咨詢主管

三、制定生成式人工智能技術(shù)的使用政策

企業(yè)可以用獨(dú)特的知識產(chǎn)權(quán)和知識內(nèi)容來不斷訓(xùn)練模型，提升生成式人工智能的場景化能力。在此過程中，安全和隱私保護(hù)格外重要。對于企業(yè)而言，提示（提問）生成式AI生成內(nèi)容的方式應(yīng)該是私有的。幸運(yùn)的是，大多數(shù)生成式人工智能平臺從一開始就考慮到了這一點(diǎn)，并承諾確保提示、輸出和微調(diào)內(nèi)容的安全性和隱私性。

但是，現(xiàn)在所有用戶都明白這一點(diǎn)。因此，對于任何企業(yè)來說，制定使用生成人工智能的政策，避免機(jī)密和個(gè)人數(shù)據(jù)通過人機(jī)交互進(jìn)入公共系統(tǒng)，并在其業(yè)務(wù)中為生成人工智能建立安全可靠的環(huán)境都極為重要。

——Bret Greenstein，普華永道美國合伙人（數(shù)據(jù)、分析和人工智能）

四、推動(dòng)安全審計(jì)的現(xiàn)代化

安全審計(jì)是生成式人工智能最熱門的潛在應(yīng)用領(lǐng)域之一。高級生成式人工智能技術(shù)基于復(fù)雜條件編寫條理清晰、簡潔易懂的報(bào)告，快速且高效。

生成式人工智能提供了一個(gè)信息訪問的單點(diǎn)界面，同時(shí)還支持文檔自動(dòng)化和分析數(shù)據(jù)以響應(yīng)特定查詢，而且它非常高效，這對于安全審計(jì)人員和客戶來說是雙贏的。不但能為審計(jì)人員提供更好的體驗(yàn)，同時(shí)也為客戶提供了更好的體驗(yàn)。

——Kathryn Kaminsky，普華永道美國信托解決方案聯(lián)合負(fù)責(zé)人

五、更加關(guān)注數(shù)據(jù)安全（衛(wèi)生）并評估偏見

任何輸入人工智能系統(tǒng)的數(shù)據(jù)都有可能被盜或被濫用。因此，企業(yè)首先應(yīng)該審核輸入數(shù)據(jù)是否安全或者脫敏，這將有助于降低因攻擊而丟失機(jī)密信息的風(fēng)險(xiǎn)。

此外，重要的是進(jìn)行適當(dāng)?shù)臄?shù)據(jù)收集，以制定詳細(xì)且有針對性的提示并將其輸入系統(tǒng)，這樣企業(yè)可以獲得更有價(jià)值（且安全）的輸出。

企業(yè)同樣需要詳細(xì)檢視人工智能系統(tǒng)的輸出信息，評估系統(tǒng)是否存在任何固有偏差。在此過程中，企業(yè)可能需要聘請多元化的專業(yè)團(tuán)隊(duì)來幫助評估任何偏見。

與編碼或腳本解決方案不同，生成式人工智能基于經(jīng)過訓(xùn)練的模型，因此它們提供的響應(yīng)不是100%可預(yù)測的。生成式人工智能的可靠輸出需要幕后技術(shù)人員與用戶之間的協(xié)作。

——Jacky Wagner，普華永道美國網(wǎng)絡(luò)安全、風(fēng)險(xiǎn)和監(jiān)管負(fù)責(zé)人

六、應(yīng)對快速增長的人工智能風(fēng)險(xiǎn)，練好安全基本功

生成式人工智能正在被廣泛采用，實(shí)施強(qiáng)大的安全措施是防止威脅行為者的必要條件。網(wǎng)絡(luò)犯罪分子有可能更容易地制造深度偽造內(nèi)容并執(zhí)行惡意軟件和勒索軟件攻擊，公司需要為這些挑戰(zhàn)做好準(zhǔn)備。

最有效的網(wǎng)絡(luò)安全措施往往是不起眼的基礎(chǔ)工作，例如：通過保持基本的網(wǎng)絡(luò)衛(wèi)生和壓縮龐大的遺留系統(tǒng)，企業(yè)可以大大減少網(wǎng)絡(luò)犯罪分子的攻擊面。

整合運(yùn)營環(huán)境可以降低成本，使企業(yè)能夠最大限度地提高效率并專注于改進(jìn)其網(wǎng)絡(luò)安全措施。

——Joe Nocera，普華永道合伙人負(fù)責(zé)人（網(wǎng)絡(luò)、風(fēng)險(xiǎn)和監(jiān)管營銷）

七、創(chuàng)造新的崗位和責(zé)任

總的來說，我建議企業(yè)考慮采用生成式人工智能，而不是豎起防火墻來抵制，但要有適當(dāng)?shù)谋Ｕ洗胧┖惋L(fēng)險(xiǎn)緩解措施。生成式人工智能在完成工作方面展現(xiàn)了巨大的潛力，可幫助安全人員騰出更多時(shí)間和精力從事人類擅長的分析和創(chuàng)造力。

生成式人工智能技術(shù)的出現(xiàn)可能會(huì)帶來與技術(shù)本身相關(guān)的新工作和責(zé)任，并產(chǎn)生確保人工智能以合乎道德和負(fù)責(zé)任的方式使用的責(zé)任。

員工還迫切需要接受人工智能技能培訓(xùn)，從而能夠評估和識別創(chuàng)建的內(nèi)容是否準(zhǔn)確。

就像如何使用計(jì)算器來完成簡單的數(shù)學(xué)相關(guān)任務(wù)一樣，在生成人工智能的日常使用中仍然需要應(yīng)用許多人類技能，例如批判性思維和有目的的定制。

從表面上看，人工智能自動(dòng)化技術(shù)似乎對手動(dòng)任務(wù)的能力構(gòu)成威脅，但它也可以釋放創(chuàng)造力并提供幫助、提高技能，幫助人們在工作中脫穎而出。

——Julia Lamm，普華永道美國勞動(dòng)力戰(zhàn)略合伙人

八、利用人工智能優(yōu)化網(wǎng)絡(luò)安全投資

即使在經(jīng)濟(jì)高度不確定的情況下，2023年大多數(shù)企業(yè)也沒有打算減少網(wǎng)絡(luò)安全支出。但是，CISO正面臨提高安全投資有效性和決策質(zhì)量的壓力，也就是用更少的錢做更多的，這導(dǎo)致CISO熱衷于投資于用自動(dòng)化替代方案取代過度依賴手動(dòng)風(fēng)險(xiǎn)預(yù)防和緩解流程的技術(shù)。

雖然生成式AI并不完美，但它非常快速、高效且一致，并且技能會(huì)迅速提高。通過實(shí)施正確的風(fēng)險(xiǎn)技術(shù)，例如為更大的風(fēng)險(xiǎn)覆蓋和檢測而設(shè)計(jì)的機(jī)器學(xué)習(xí)機(jī)制，企業(yè)可以節(jié)省大量資金、時(shí)間和人員，并且能夠更好地應(yīng)對和抵御未來的任何不確定性。

——Elizabeth McNichol，普華永道美國企業(yè)技術(shù)解決方案負(fù)責(zé)人（網(wǎng)絡(luò)、風(fēng)險(xiǎn)和監(jiān)管）

九、增強(qiáng)威脅情報(bào)

雖然開發(fā)生成式AI技術(shù)的公司一再聲稱將確保產(chǎn)品不被濫用于開發(fā)和傳播惡意軟件、錯(cuò)誤信息或虛假信息，但已經(jīng)發(fā)生的案例和經(jīng)驗(yàn)告訴我們，安全問題永遠(yuǎn)不是硅谷科技公司的第一優(yōu)先級，用戶自己需要未雨綢繆，為即將到來的威脅做好準(zhǔn)備。

好消息是，到2023年，我們有望看到生成式人工智能有助于進(jìn)一步增強(qiáng)威脅情報(bào)和其他防御能力。生成式人工智能還將顯著提高效率和實(shí)時(shí)信任決策，例如，以比當(dāng)前部署的訪問和身份模型更高的置信度，給出訪問系統(tǒng)和信息的實(shí)時(shí)判斷。

可以肯定的是，生成式人工智能將對網(wǎng)絡(luò)安全行業(yè)的每家公司的運(yùn)作方式產(chǎn)生重大深遠(yuǎn)影響。普華永道認(rèn)為，該行業(yè)的集體進(jìn)步將繼續(xù)以人為主導(dǎo)，技術(shù)為動(dòng)力，2023年將是網(wǎng)絡(luò)安全技術(shù)進(jìn)化最快的一年，為未來幾十年指明方向。

——Matt Hobbs，普華永道美國微軟業(yè)務(wù)負(fù)責(zé)人

十、威脅防范與合規(guī)風(fēng)險(xiǎn)管理

隨著威脅形勢的不斷發(fā)展，富含大量個(gè)人信息的醫(yī)療行業(yè)成了黑客的熱門目標(biāo)。

醫(yī)療行業(yè)的高管們正在增加他們的網(wǎng)絡(luò)預(yù)算并投資于自動(dòng)化技術(shù)，這些技術(shù)不僅可以幫助防止網(wǎng)絡(luò)攻擊，還可以管理合規(guī)風(fēng)險(xiǎn)、更好地保護(hù)患者和員工數(shù)據(jù)、降低醫(yī)療成本、消除流程效率低下等等。

隨著生成式人工智能的不斷發(fā)展，醫(yī)療系統(tǒng)安全面臨的風(fēng)險(xiǎn)和機(jī)遇都在快速發(fā)展變化，這凸顯了醫(yī)療行業(yè)在采用生成式人工智能新技術(shù)的同時(shí)建立網(wǎng)絡(luò)防御和彈性的重要性。

——Tiffany Gallagher，普華永道美國醫(yī)療行業(yè)風(fēng)險(xiǎn)和監(jiān)管負(fù)責(zé)人

十一、實(shí)施數(shù)字信任戰(zhàn)略

對于ChatGPT這種突然加速的技術(shù)創(chuàng)新，監(jiān)管的滯后和企業(yè)信任的流失在所難免，業(yè)界迫切需要一種更具戰(zhàn)略性的方法來應(yīng)對。

通過實(shí)施數(shù)字信任戰(zhàn)略，企業(yè)可以更好地協(xié)調(diào)傳統(tǒng)上孤立的功能，例如網(wǎng)絡(luò)安全、隱私和數(shù)據(jù)治理，從而使他們能夠預(yù)測風(fēng)險(xiǎn)，同時(shí)為業(yè)務(wù)釋放價(jià)值。

數(shù)字信任框架核心價(jià)值不是滿足合規(guī)需求，而是優(yōu)先考慮企業(yè)與客戶之間的信任和價(jià)值交換。

——Toby Spry，普華永道美國數(shù)據(jù)風(fēng)險(xiǎn)和隱私負(fù)責(zé)人

聲明：本文來自GoUpSec，版權(quán)歸作者所有。