CyberArk 的2023 年身份安全威胁形势报告提出了一些有价值的见解。接受调查的 2,300 名安全专业人士给出了一些发人深省的数据:
- 68% 的人担心员工裁员和流失带来的内部威胁
- 99% 的人预计财务削减、地缘政治因素、云应用程序和混合工作环境会导致某种类型的身份泄露
- 74% 的人担心机密数据因员工、前员工和第三方供应商而丢失。
此外,许多人认为数字身份扩散正在增加,攻击面面临人工智能 (AI) 攻击、凭证攻击和双重勒索的风险。现在,让我们关注数字身份扩散和人工智能驱动的攻击。
数字身份:解决方案还是终极特洛伊木马?
一段时间以来,数字身份一直被认为是提高网络安全和减少数据丢失的潜在解决方案。一般的想法是这样的:每个人都有独特的标记,从生物识别签名到行为动作。这意味着将这些标记数字化并将其与个人相关联应该可以最大限度地减少授权和身份验证风险。
粗略地说,这是一种“信任和验证”模型。
但如果“信任”不再可靠怎么办?相反,如果某些虚假的东西得到验证——一些本来就不应该被信任的东西,该怎么办?为了纠正这种情况而进行的风险分析在哪里?
数字身份的强行推销在一定程度上源于对技术世界的潜在偏见。也就是说,信息安全技术和恶意行为者的策略、技术和程序 (TTP) 都以相似的速度变化。现实告诉我们事实并非如此:TTP,尤其是在人工智能的帮助下,正在突破安全控制。
您会看到,人工智能攻击的一个特点是人工智能可以比人类更快地了解 IT 资产。因此,技术和社会工程攻击都可以根据环境和个人进行定制。例如,想象一下基于大数据集(例如,您的社交媒体帖子、从互联网上刮取的有关您的数据、公共监控系统等)的鱼叉式网络钓鱼活动。这就是我们正在走的路。
数字身份可能有机会在非人工智能世界中成功运作,在那里它们本质上是值得信任的。但在人工智能驱动的世界中,数字身份的信任正在被有效消除,将它们变成本质上不值得信任的东西。
信任需要重建,因为一条没有任何东西值得信任的道路在逻辑上只能通向一个地方:全面监控。
人工智能作为一种身份
身份验证解决方案已经变得非常强大。它们缩短了访问请求时间,管理数十亿次登录尝试,当然还使用了人工智能。但原则上,验证解决方案依赖于一个常数:相信身份是真实的。
人工智能世界通过将“身份信任”变成一个变量来改变这一点。
假设以下情况成立:我们在人工智能之旅中相对较早,但进展很快。大型语言模型可以取代人类交互并进行恶意软件分析以编写新的恶意代码。艺术性可以大规模地表现,滤波器可以使尖叫的声音听起来像专业歌手。深度造假,无论是在声音还是视觉表现上,都已经从“公然造假”的领域转向“等一下,这是真的吗?” 领土。值得庆幸的是,仔细分析仍然使我们能够区分两者。
人工智能攻击还有另一个特点:机器学习能力。它们会变得更快、更好,并最终容易被操纵。请记住,并不是算法有偏差,而是程序员将其固有的偏差输入到算法中。因此,随着开源和商业AI技术可用性的不断提高,我们的真假辨别能力还能保持多久?
叠加技术打造完美头像
想想当今可用的强大监控技术。生物特征识别、个人细微差别(行走方式、面部表情、声音变化等)、体温、社交习惯、沟通趋势以及其他一切让你与众不同的东西都可以被捕捉到,其中大部分是秘密捕捉的。现在,叠加不断增加的计算能力、数据传输速度和内存容量。
最后,添加一个人工智能驱动的世界,在这个世界中,恶意行为者可以访问大型数据库并执行复杂的数据挖掘。创建令人信服的数字复制品的增量缩小了。矛盾的是,当我们为安全措施创建更多关于自己的数据时,我们的数字风险状况也在增加。
通过限制数据量减少攻击面
将我们的安全想象为水坝,将数据想象为水。迄今为止,我们利用数据大多是好的手段(例如,利用水进行水力发电)。存在一些维护问题(例如,攻击者、数据泄漏、维护不善),到目前为止,如果令人筋疲力尽,这些问题大多是可以管理的。
但是,如果大坝的蓄水速度快于基础设施设计管理和蓄水的速度怎么办?大坝溃决。使用这个类比,接下来的任务就是转移多余的水并加固大坝或限制数据并重建信任。
有哪些方法可以实现这一目标?
- 自上而下的方法创建护栏(策略)。仅生成和保存您需要的数据,甚至可以抑制过多的数据保存,尤其是与个人相关的数据。抵制为了微观目标而抓取和数据挖掘一切的诱惑。除非有更安全的水库,否则会有更多的水进入水库(提示:分段)。
- 自下而上的方法限制访问(操作)。白名单是你的朋友。限制权限并开始重建身份信任。默认情况下不再“选择加入”;默认情况下移至“选择退出”。这使您可以更好地管理流经大坝的水流(例如,减少攻击面和数据暴露)。
- 专注于重要的事情(策略)。实施证明我们无法保证一切。这不是批评;而是现实。关注风险,尤其是身份和访问管理。再加上通道有限,基于风险的方法优先考虑对大坝裂缝进行修复。
最后,必须承担风险才能实现未来的回报。“无风险”适用于奇幻书籍。因此,在数据过剩的时代,最大的“风险”可能是生成和持有的数据较少。奖励?最大限度地减少数据丢失的影响,让您在其他人折断的时候屈服。
