我們采訪了安永(EY)思略咨詢公司的合伙人小川真毅先生,探討了企業(yè)應(yīng)如何應(yīng)對 AI 帶來的安全風(fēng)險(xiǎn)等問題���。
圖片來源:Eviart / Shutterstock
隨著企業(yè)活動數(shù)字化的推進(jìn)��,利用 AI 的網(wǎng)絡(luò)攻擊威脅日益增大�,人們對安全的關(guān)注度達(dá)到了前所未有的高度���。在攻擊手段自動化和高級化不斷發(fā)展的背景下�����,作為防御方的企業(yè)應(yīng)優(yōu)先采取哪些措施呢���?
我們采訪了從業(yè)超過 25 年、現(xiàn)任 EY 思略咨詢公司網(wǎng)絡(luò)安全共同領(lǐng)導(dǎo)人小川真毅先生�����,請他談?wù)?AI 帶來的攻擊變化�、應(yīng)對的具體防御策略,以及著眼于不久將來的最重要安全課題�。
小川:我認(rèn)為 AI 在安全領(lǐng)域的應(yīng)用大致可分為三個(gè)階段。
第一階段是威脅檢測�。
AI 分析海量日志和數(shù)據(jù),早期發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的跡象��。它能捕捉到人力容易忽略的模式���,從而提高效率和精度��。
第二階段是 AI 發(fā)現(xiàn)威脅后��,自動推進(jìn)打補(bǔ)丁等防御措施���。
由于無需人為干預(yù)即可執(zhí)行對策���,更容易控制損失。
第三階段是安全運(yùn)營整體的自動化與編排(Orchestration)�。
利用 SOAR(安全編排、自動化與響應(yīng))機(jī)制���,AI 在威脅檢測�、對策研判與實(shí)施���,乃至防火墻規(guī)則變更等方面提供全面支持���。到了這個(gè)階段,AI 不僅能檢測�����,還能優(yōu)化網(wǎng)絡(luò)配置(如防火墻規(guī)則變更)����、提示各種應(yīng)對方案,全面支持整體運(yùn)營����。企業(yè)整體的安全運(yùn)營由 AI 主導(dǎo)��,人類則根據(jù)需要進(jìn)行決策��。
目前,許多企業(yè)大多處于第一或第二階段����。要進(jìn)入第三階段,面臨著成本����、基礎(chǔ)設(shè)施復(fù)雜性以及與集團(tuán)公司/供應(yīng)鏈的協(xié)作等諸多待解決的課題,這是現(xiàn)實(shí)情況����。
CIO Japan:在 AI 之間“攻擊 vs 防御”日益高級化的過程中,人類最終應(yīng)該扮演什么樣的角色�?
小川: 要想熟練運(yùn)用 AI,“對 AI 的治理”是必不可少的�����。如果企業(yè)沒有設(shè)立明確的指導(dǎo)方針和管理方法����,AI 就有可能出現(xiàn)超出預(yù)期的行為風(fēng)險(xiǎn)�。
此外�����,在網(wǎng)絡(luò)安全領(lǐng)域����,必然會伴隨著停止系統(tǒng)等業(yè)務(wù)決策。是否停止受到攻擊的系統(tǒng)���,必須綜合判斷其對銷售額等業(yè)務(wù)層面的影響�。這本身就是企業(yè)的價(jià)值觀和經(jīng)營決策�,因此我認(rèn)為最終需要人類牢牢把握方向盤。
CIO Japan:從安全行業(yè)的角度看���,未來 5 年���、10 年最重要的課題是什么?
小川: 有好幾個(gè)��,但最大的課題是“量子計(jì)算”的實(shí)用化�����。據(jù)說一旦量子計(jì)算機(jī)全面應(yīng)用,當(dāng)前主流的加密方式可能會被輕易破解��。
因此��,必須推進(jìn)后量子密碼(Post-Quantum Cryptography, PQC) 的研究和引入等�,盡早探討對策。不過�����,從 5 年���、10 年的時(shí)間跨度來看,包括 AI 在內(nèi)的各種技術(shù)進(jìn)步將持續(xù)影響網(wǎng)絡(luò)安全����。能否持續(xù)關(guān)注新風(fēng)險(xiǎn)并更新自身的安全體系,將是關(guān)鍵所在����。
CIO Japan:您認(rèn)為 AI 的興起對企業(yè)和組織的網(wǎng)絡(luò)攻擊產(chǎn)生了哪些影響?
小川:首先��,最大的影響是“降低了攻擊者的門檻”����。傳統(tǒng)的網(wǎng)絡(luò)攻擊需要攻擊者自身具備一定的知識和技能�����,并自主開發(fā)惡意軟件等��,需要一定程度的準(zhǔn)備�����。但如果利用 AI����,即使自己不學(xué)習(xí)����,也可以讓 AI 來構(gòu)思攻擊手法和攻擊代碼。我認(rèn)為�,威脅在于這使得“短時(shí)間內(nèi)、高級別的攻擊�����,變得任何人都能輕易實(shí)施”。
CIO Japan:在攻擊門檻降低的情況下��,企業(yè)首先應(yīng)該采取哪些安全強(qiáng)化措施����?
小川:與其說傳統(tǒng)的網(wǎng)絡(luò)安全框架發(fā)生了根本性的巨大變化,不如說“攻擊者用 AI�����,防御方也要用 AI”這種思維方式變得尤為重要��。關(guān)鍵在于引入 AI 來提升對策的高度化����,需要在現(xiàn)有的安全措施基礎(chǔ)上���,增加使用 AI 進(jìn)行檢測和防御的機(jī)制�����。
CIO Japan:在利用 AI 進(jìn)行網(wǎng)絡(luò)攻擊的檢測和預(yù)防方面��,您認(rèn)為目前實(shí)用化程度如何���?未來又將如何演進(jìn)����?
CIO Japan:從管理層到一線員工�����,如何才能持續(xù)地根植安全意識����?
小川: 這并非一朝一夕之功,但反復(fù)的宣貫和培訓(xùn)非常重要����。雖然經(jīng)歷一次大規(guī)模安全事件可能會讓意識瞬間改變,但等待這種事情發(fā)生就本末倒置了�。需要日常持續(xù)進(jìn)行教育和訓(xùn)練,并下功夫讓員工將其視為“自己的事”��。
此外����,CISO(首席信息安全官)等統(tǒng)管網(wǎng)絡(luò)風(fēng)險(xiǎn)的職位或組織與經(jīng)營層保持密切協(xié)作也很重要。如果驅(qū)動業(yè)務(wù)的部門(事業(yè)部門)將 IT 部門或安全部門視為“他人之事”����,就容易在發(fā)布服務(wù)或產(chǎn)品時(shí)將安全風(fēng)險(xiǎn)置后�。
理想狀態(tài)是�,滲透“安全是經(jīng)營課題之一”的認(rèn)識,讓現(xiàn)場管理人員能夠用自己的語言向團(tuán)隊(duì)解釋“為什么網(wǎng)絡(luò)安全是必要的”�。
CIO Japan:最后,對于安全部門和事業(yè)部門想法出現(xiàn)分歧的現(xiàn)狀�,應(yīng)該如何改善?
小川:IT 部門或安全部門要完全掌握所有情況已經(jīng)變得很困難�。正因?yàn)楝F(xiàn)在是事業(yè)部門可以自行簽約云服務(wù)、繞過公司 IT 推動業(yè)務(wù)的時(shí)代��,所以整備“必須遵守的最低限度規(guī)則和指導(dǎo)方針”���,并確保其得到徹底執(zhí)行�,是不可或缺的����。
明確指出“這一點(diǎn)必須遵守”的底線�,并由經(jīng)營層將其重要性作為信息傳達(dá)出去,這是將安全風(fēng)險(xiǎn)最小化的第一步����。即便無法阻止使用便捷的外部服務(wù),但明確企業(yè)應(yīng)如何進(jìn)行管控、必須堅(jiān)守什么��,就能更容易地防止現(xiàn)場的失控和意料之外的風(fēng)險(xiǎn)�。
睿觀:
EY 專家小川真毅指出,AI 降低了網(wǎng)絡(luò)攻擊門檻�����,企業(yè)應(yīng)“以 AI 對抗 AI”��,推進(jìn)檢測��、響應(yīng)自動化�����。同時(shí)��,必須建立 AI 治理體系���,由人類做出關(guān)鍵業(yè)務(wù)決策�����,并關(guān)注量子計(jì)算等未來風(fēng)險(xiǎn)�。將安全視為經(jīng)營核心,通過持續(xù)教育��、高層協(xié)作及建立最低規(guī)則��,方能有效應(yīng)對 AI 時(shí)代的威脅�。
金句:
AI 攻防戰(zhàn)中,技術(shù)是利劍�����,治理是盾牌�����,而人類的智慧決策�,永遠(yuǎn)是最終的勝負(fù)手。
