OWASP发布深度伪造事件响应指南
从美国大选造谣视频到AI编写的网络钓鱼邮件,深度伪造(deepfake)诈骗和生成式人工智能攻击日益猖獗,人眼越来越难以辨识,企业迫切需要为网络安全团队制定AI安全事件响应指南。
深度伪造攻击威胁日益增加
全球范围内,越来越多的邮件和信息被AI生成,2022年底仅有7%的邮件由AI生成,如今这一比例现已上升到12%。安全公司纷纷开发检测工具,以识别AI生成的内容。
近日,全球应用安全项目组织(OWASP)发布了一系列专门应对AI威胁的指南,为企业提供深度伪造事件的响应框架,并设立AI安全卓越中心和AI安全解决方案数据库。此前,OWASP曾发布一份AI安全与治理的检查清单,而此次新推出的指南更加侧重于AI技术的用户,具体如下:
- 《深度伪造事件准备和应对指南》阐述了“超现实数字伪造”所带来的问题。作为人工智能网络威胁情报计划的产物,该资源结合了实用和务实的防御策略,帮助组织在深度伪造技术不断改进的情况下保持安全。
- “卓越中心指南”帮助企业建立最佳实践和框架,以创建AI安全实践。该指南帮助组织建立风险管理系统和跨部门协调系统,包括安全、法律、数据科学和运营团队,以及如何制定和执行安全政策以及对员工进行AI安全教育。
- “AI安全解决方案概览指南”是一份关于如何保护开源和商业LLM及GenAI应用程序的广泛参考。它对现有和新兴的安全产品进行了分类,并就如何考虑十大列表中确定的风险提供了指导。
“企业想要尽可能在安全的前提下使用AI,因为在当今竞争激烈的商业环境中,这是一种重要的竞争差异化因素。”OWASP项目联席负责人斯科特·克林顿(Scott Clinton)表示。
网络安全公司遭遇深度伪造攻击
近日,网络安全公司Exabeam就遭遇了一起深度伪造攻击事件。公司一位高级安全分析师候选人在完成初步面试后进入最终面试环节时,被Exabeam的治理、风险与合规团队负责人乔迪·马斯(Jodi Maas)察觉出异常。
马斯回忆,尽管人力资源团队最初在面试中发现该候选人的表现有些“刻意”,但在正式面试时问题更为明显:视频中的女性面试者几乎没有表情,嘴唇与音频不同步,背景还出现了数字伪影。面试结束后,马斯与Exabeam的首席信息安全官凯文·柯克伍德(Kevin Kirkwood)核实,确认这是一场深度伪造攻击。
“最令人意外的是,求职者居然通过了HR的初步筛选。”柯克伍德说道。意识到该威胁的潜在风险后,Exabeam立即改进了面试流程,并向HR团队提出了警惕深度伪造的建议。现阶段,公司建议员工对视频通话保持高度警惕,并普及了辨识深度伪造的技巧。
深度伪造技术的“军备竞赛”
深度伪造现象已引起IT专业人士的极大关注。一项由电子邮件安全公司Ironscales进行的调查显示,48%的受访者对深度伪造表示“极为担忧”,74%的人认为它将成为未来的重大威胁。Ironscales创始人兼CEO艾亚尔·贝尼西蒂(Eyal Benishti)指出,即使当前的深度伪造技术尚未足够逼真,但未来AI视频将更加真实,甚至能够实时模仿他人,成为真正的“数字替身”。
“企业已经意识到未来的沟通手段可能无法完全信任,这需要一段时间来适应。”贝尼西蒂说道。
Exabeam的柯克伍德认为,随着深度伪造技术不断提升,技术防御手段也必须跟上。“最糟糕的情况是技术呈现螺旋式升级——检测手段进步,伪造技术提升,检测再升级,伪造再提升。”他说道。“我在等待技术发展,以便将其集成到SIEM系统中,标记出与深度伪造相关的特征。”
应对深度伪造需要从技术与流程入手
OWASP的克林顿指出,相较于培训人们辨识可疑视频,企业更应构建验证视频真实性的基础架构,特别是在财务交易和员工身份验证等关键环节建立明确的流程和响应机制。
“仅依赖人类来识别深度伪造并不现实,因为这是主观的。”克林顿解释道,“需要的是更加客观的解决方案。我们提出了一些具体的步骤,通过技术和流程相结合来有效应对这些威胁。”
随着深度伪造技术的不断发展,企业必须从技术和管理两个方面同时发力,建立全面的防御体系。虽然深度伪造目前还不足以欺骗大多数人,但随着技术不断进步,它必将成为网络安全领域的一大挑战。
参考链接:
- https://genai.owasp.org/resource/guide-for-preparing-and-responding-to-deepfake-events/
- https://genai.owasp.org/resource/llm-and-generative-ai-security-center-of-excellence-guide/
- https://genai.owasp.org/ai-security-solutions-landscape/
- https://www.darkreading.com/application-security/owasp-releases-ai-security-guidance