第二届北美台湾科技年会,16日(上周六)在硅谷圣塔克拉拉国际会议中心,举办了一系列论坛,其中包括网络资讯安全论坛。该论坛讨论了人工智能,在信息安全领域的应用和挑战,以及未来信息安全所面临的威胁。
论坛邀请了Cloudflare的副首席信息安全官蒋苏珊(Susan Chiang)、KLC咨询公司总裁赖凯尔(Kyle Lai)、微软资深总监曹贝蒂(Betty Tsao)三人,作为主讲嘉宾,并请资安解压缩创办人洪杰夫(Jeff Hung),作为论坛的主持人。
微软资深总监曹贝蒂表示,有了人工智能之后,过去一两天才能完成的工作,现在可能只需要一两分钟就完成了。
所以,在一定程度上,人工智能提高了人们防御和应对网络威胁的能力。具体表现有以下两方面:
一、完成重复性基础工作
人工智能能够持续监测并分析使用者活动、系统安全状况、网络流量,以及对应用程式和资料的存取情况。
它能够检测并标记异常情况,有效减少了人工劳动量,同时能够让分析师在分析方面节省时间。
二、识别攻击
针对恶意软体和恶意行为,传统的安全解决方案,通常依靠特征比对(Signature-Based)检测来识别。
然而,目前的攻击方式多避开特征检测,如果利用人工智能检测,可分析大量日志、事件类型和相应结果,能够更快地发现新型、变形或其它威胁。
不过,曹贝蒂说,人工智能也被广泛应用于网络犯罪,大大地提高了网络攻击的自动化程度。
如利用人工智能搜集客户资料,自动发动针对性攻击,并且已经有研究发现,生成式AI可创建网络流量,作为一种欺骗手段,以掩盖实际的攻击。
曹贝蒂表示,早在几年前,
平面磨床公司安全部门就发现,人工智能合成的语音,可以通过公司安全系统认证。
作为专业安全人员,她已经看到多种攻击方式,因商业化水平提高,深受网络犯罪分子的青睐。
Cloudflare副首席信息安全官蒋苏珊表示,人工智能使用简单,不需编码,甚至不需要完整的句子,降低了网络犯罪的门槛;也帮助黑客更有针对性地发动网络攻击。
在个人信息方面,蒋苏珊表示,公司或者黑客搜集大量个人信息并不难。
一些安全行业的朋友曾对她说:“你喜欢‘天马’,是吧?我看到了你8年前的密码,知道你可能喜欢这支足球为了确保个人信息的安全,蒋苏珊建议,对于账户,如银行账户等,要经常检查信用评分,不要重复使用密码,可使用歌曲名字等组合作为密码,或密码管理器,或安全密钥;另外,在社交媒体或互联网上,发布任何信息都要很谨慎,有心人搜集了这些资讯,就可以分析出很多个人资料,“发布多少信息取决于你自己,你要考虑,长期把这些信息公诸于众是否值得。” 蒋苏珊说。
在政府网络安全方面,微软的资深总监曹贝蒂表示,有三个关键要点:首先,政府需持续投资于网络安全研发,探索人工智能与网络安全技术的融合;其次,提高对潜在威胁、黑客和公私合作伙伴关系的认识和培训;最后,建立整个行业的整体信息共享伙伴关系,至关重要。
KLC咨询公司总裁赖凯尔表示,他的公司是美国国防网络安全领域的承包商之一。
他指出,美国国防部的担忧在于,黑客组织不会直接攻击国防部,而是会攻击供应链中最薄弱的环节。
这些攻击者会先攻击分包商,再进攻主承包商,最后再针对美国国防部展开攻击。
美国国防部有数十万家承包商,因此对这个问题非常忧虑。
为此,美国政府和国防部正在采取行动,将于明年开始强制执行第三方独立评估,评估承包商的敏感信息,包括非机密信息。
“我的意思是,即便是非机密信息,美国国防部也会加强防范措施”。而台湾正在模仿美国的这套防范机制。
不过,在
平面磨床公司方面,蒋苏珊看到,人工智能的迅速发展,使许多公司都仿佛得了“错失恐惧症”,为快速推出新的人工智能模型,彻底调整了公司在安全、隐私等方面的风险容忍度;蒋苏珊强调,现在企业看重的是速度,放慢速度,也许会更安全,但公司可能无法在人工智能领域,保持竞争力。
“什么是安全?或者几年后,它(这种人工智能模型)就不存在了?”
展望未来,蒋苏珊认为,十年或更长时间,许多入门级的安全工作,将逐步被人工智能完全代替;如何让人们善用人工智能,是一个社会问题。
赖凯尔补充道,人工智能是一个全新的领域,有很多未知数,从风险的角度来看,可能会有许多漏洞,“可能每隔一天,就发现一些重大的漏洞”,公司甚至可以训练生成式人工智能:一加一等于三。
如果出现这个情况,就会造成很多社会问题,这需要政府制订适当的政策,规范监管人工智能的应用及发展。
