AI攻擊:對選舉、財務和基礎設施的日益威脅
攻擊者正越來越多地使用AI作為武器,干擾選舉、詐騙交易所以及襲擊關鍵基礎設施。這些威脅來自利用AI進行精密身份攻擊的國家行為者和網路犯罪團夥,並透過這些非法活動為他們的行動提供資金。
AI驅動身份攻擊的崛起
攻擊者的策略包括網絡釣魚、社會工程學及劫持密碼和特權訪問憑證,以針對金融機構、零售商和電子商務商家進行合成身份詐騙。身份盜竊成為這些國家行為者的主要收入來源,使得合成身份詐騙年增長14.2%。目前,金融機構面對著31億美元的潛在損失,這些損失來自與美國汽車貸款、銀行信用卡、零售信用卡和無擔保的個人貸款相關的可疑合成身份詐騙,為歷史最高水平。根據TransUnion的報告,去年近14%的新創建全球數位賬戶中含有可疑的數位詐騙,零售、旅遊、休閒和視頻遊戲等行業受損最為嚴重。
深偽技術:AI攻擊的尖端
深偽技術代表著AI驅動身份威脅的最前沿,其使用量去年激增了3000%。預計在2024年,這一趨勢將進一步上升50-60%,全球可能出現14萬-15萬例深偽事件。去年,幾乎20%的合成身份詐騙案件涉及深偽,使其成為增長最快的武器化AI類別。攻擊者不斷提升技能,利用先進的AI應用和多媒體編輯技術,預計今年的深偽相關身份詐騙嘗試將達到5萬例。國土安全部已發布指導,強調深偽身份的威脅正在上升,迫切需要保持警惕。
組織對AI威脅的應對準備
儘管AI驅動的身份攻擊日益上升,許多組織卻未做好準備。根據Ivanti的2024年網絡安全狀況報告,三分之一的組織沒有針對生成性AI威脅的文件化策略。74%的組織報告受到AI驅動威脅的影響,89%預期將呈增長趨勢。大多數CISO、CIO和IT領導者對其組織的準備情況感到擔憂,60%擔心面對這些不斷演變的威脅,特別是在網絡釣魚、惡意軟件、勒索軟件和API漏洞方面防禦不足。
對AI基於威脅的預算規劃
Ping Identity的報告《抵禦下一個重大數位威脅》突顯了對AI驅動身份攻擊的廣泛不備。報告聯合作者Jamie Smith指出,“AI驅動的網絡威脅和身份攻擊即將爆炸式增長”,有超過40%的企業預計明年詐騙會顯著增加。作為回應,95%的組織正在擴大預算以應對這些新興威脅。然而,儘管身份攻擊迅速上升,許多組織仍未充分利用最新的防護技術。僅49%使用一次性密碼驗證,只有45%採用雙因素或多因素驗證(MFA)。CISO指出,MFA在更廣泛的零信任框架中是一個可行的解決方案。此外,44%的安全領導者實施生物識別或行為生物識別技術。
增強用戶體驗同時強化安全性
組織面臨著在不妨礙用戶體驗的情況下,加強其身份與訪問管理(IAM)和特權訪問管理(PAM)系統的挑戰。專家們指出,有效的網絡安全措施應該對用戶無縫隱形。無密碼身份驗證技術的興起正受到關注,旨在阻止AI驅動的攻擊,並使憑證盜竊變得更加困難。Gartner預測到明年,50%的工作人員和20%的客戶身份驗證交易將不再使用密碼。API、生物識別技術和無密碼技術正逐漸成為強有力的替代方案。主要的無密碼身份驗證解決方案包括Microsoft Azure Active Directory、OneLogin、Thales SafeNet Trusted Access和Windows Hello for Business。特別是Ivanti的零登錄(ZSO)將無密碼身份驗證與零信任框架相結合,以改善用戶體驗,消除密碼並整合生物識別身份驗證。
整合API以加強安全性
利用應用程式介面(API)來簡化驗證流程至關重要。Telesign正在開發AI驅動的API,旨在將驗證渠道整合成一個統一的解決方案。其Verify API迅速演變,涵蓋七個主要用戶驗證渠道,通過實時檢測和評估,提高安全性並減少詐騙。Telesign的首席執行官Christophe Van de Weyer強調,有效驗證客戶身份的入職流程對防止詐騙至關重要。Verify API利用AI和機器學習加強身份保護,讓企業能夠無縫選擇最安全且用戶友好的驗證渠道。
了解風險:身份擁有權
控制數位身份對於組織至關重要,因為被盜的憑證和合成身份為國家行為者和網絡犯罪組織提供資金。隨著深偽技術的普及,組織必須識別身份管理流程中的脆弱性,以避免成為AI驅動威脅不斷演變戰術的受害者。
排行榜
