多年來，強密碼、定期備份數據和多重身份驗證一直被認為是消費者和企業網絡安全的基本實踐，有助于保護個人信息的安全。

這三大支柱是所謂網絡衛生的基礎，它們幫助人們保護個人信息的安全。但現在，我們正在進入一個新的網絡安全范式，在這個范式中，生成人工智能可以用來解決人類和技術的弱點問題。

這就提出了一個問題：這些基本的網絡衛生做法是否足以抵御新出現的與人工智能相關的網絡威脅？

IEEE高級會員Kayne McGladrey表示，隨著生成式人工智能的崛起，網絡威脅也迎來了新的挑戰，如商業電子郵件欺詐、深偽技術和生成攻擊代碼。

McGladrey說：“這些威脅不僅僅是理論上的，盡管目前它們的應用仍然相對有限。有理由預計，威脅行為者將繼續尋找生成人工智能的創新新用途，超越商業電子郵件欺詐、深偽技術和生成攻擊代碼。”

那么，讓我們來探究一下這些網絡攻擊是什么：

• 商業電子郵件泄露（BEC）：BEC攻擊涉及威脅行為者泄露高管電子郵件賬戶，操縱個人進行未經授權的交易。傳統上，這些攻擊在很大程度上依賴于模仿高管的寫作風格。然而，生成型人工智能現在不僅可以模仿寫作風格，還可以模仿高管的語氣，從而增強BEC攻擊的可擴展性和有效性。多重身份驗證被視為防止電子郵件泄露的最佳防御措施。
• 深偽技術：深偽技術使用人工智能技術制作令人信服和欺騙性的音頻和視頻內容。威脅行為者可以使用深偽技術來針對和冒充個人，這可能會導致錯誤信息、聲譽受損甚至市場操縱。
• 人工智能生成的攻擊代碼：大多數惡意行為者不具備創建新漏洞或編寫代碼的技術技能。相反，他們依靠之前確定的戰術手冊進行攻擊，從暗網中提取代碼。生成型人工智能使威脅行為者能夠創建專門用于利用其他系統漏洞的惡意代碼。

超越基本的網絡衛生

專家指出，即使是網絡衛生方面的微小改進也會產生效果，因為惡意行為者往往會走阻力最小的道路。

那么，個人和組織如何補充其基本的網絡衛生實踐并提高其安全性呢？雖然強密碼、定期備份數據和多重身份驗證仍然至關重要，但以下是一些額外的建議步驟：

• 使用安全密鑰：安全密鑰是小型物理設備，通常通過USB連接到硬件。它們本質上是第二種身份驗證形式，即使有人知道帳戶密碼，也會拒絕訪問服務。它們不容易被欺騙，也不像其他形式的多因素身份驗證那樣容易發生網絡釣魚詐騙。它們在企業環境中越來越常見，也被高凈值個人和名人用來保護對賬戶的訪問。
• 定期軟件更新：保持操作系統和軟件應用程序的更新至關重要。這有助于修補可能被惡意行為者利用的漏洞。
• 基準參照良好的框架：各組織應遵循信譽良好、值得信賴的來源不斷更新，如NIST網絡安全框架（CSF）或互聯網安全關鍵安全控制中心（CIS-CSC），并定期根據該框架對其進展進行基準測試。
• 教育和培訓：提高員工、客戶和個人的網絡安全意識。這包括如何識別釣魚電子郵件的培訓、不共享密碼的重要性以及了解公共Wi-Fi的風險。
• 使用VPN：使用虛擬專用網絡（VPN），尤其是在連接到公共Wi-Fi時，可以幫助加密互聯網流量并保護數據不被攔截。
• 訪問控制和最低特權原則：組織應將訪問權限限制在需要的人，并定期審查這些權限。實施“最低權限原則”，即用戶對執行其角色所需的關鍵網絡操作具有最低級別的訪問權限。

IEEE會員Sukanya Mandal表示：“簡而言之，雖然基本原理至關重要，但全面的網絡衛生需要多層次的安全方法。這不僅涉及技術措施，還涉及教育、政策和實踐，共同構建安全文化。”