【2023年09月20日訊】(記者薛明珠聖塔克拉拉採訪報導)第二屆北美臺灣科技年會,16日(上週六)在硅谷聖塔克拉拉國際會議中心,舉辦了一系列論壇,其中包括網絡資訊安全論壇。該論壇討論了人工智能,在信息安全領域的應用和挑戰,以及未來信息安全所面臨的威脅。
論壇邀請了Cloudflare的副首席信息安全官蔣蘇珊(Susan Chiang)、KLC諮詢公司總裁賴凱爾(Kyle Lai)、微軟資深總監曹貝蒂(Betty Tsao)三人,作為主講嘉賓,並請資安解壓縮創辦人洪傑夫(Jeff Hung),作為論壇的主持人。
人工智能在信息安全領域的應用與挑戰
微軟資深總監曹貝蒂表示,有了人工智能之後,過去一兩天才能完成的工作,現在可能只需要一兩分鐘就完成了。
所以,在一定程度上,人工智能提高了人們防禦和應對網絡威脅的能力。具體表現有以下兩方面:
一、完成重複性基礎工作
人工智能能夠持續監測並分析使用者活動、系統安全狀況、網絡流量,以及對應用程式和資料的存取情況。
它能夠檢測並標記異常情況,有效減少了人工勞動量,同時能夠讓分析師在分析方面節省時間。
二、識別攻擊
針對惡意軟體和惡意行為,傳統的安全解決方案,通常依靠特徵比對(Signature-Based)檢測來識別。
然而,目前的攻擊方式多避開特徵檢測,如果利用人工智能檢測,可分析大量日誌、事件類型和相應結果,能夠更快地發現新型、變形或其它威脅。
不過,曹貝蒂說,人工智能也被廣泛應用於網絡犯罪,大大地提高了網絡攻擊的自動化程度。
如利用人工智能蒐集客戶資料,自動發動針對性攻擊,並且已經有研究發現,生成式AI可創建網絡流量,作為一種欺騙手段,以掩蓋實際的攻擊。
曹貝蒂表示,早在幾年前,公司安全部門就發現,人工智能合成的語音,可以通過公司安全系統認證。
作為專業安全人員,她已經看到多種攻擊方式,因商業化水平提高,深受網絡犯罪分子的青睞。
Cloudflare副首席信息安全官蔣蘇珊表示,人工智能使用簡單,不需編碼,甚至不需要完整的句子,降低了網絡犯罪的門檻;也幫助黑客更有針對性地發動網絡攻擊。
如何保護網絡信息的安全?
在個人信息方面,蔣蘇珊表示,公司或者黑客蒐集大量個人信息並不難。
一些安全行業的朋友曾對她說:「你喜歡『天馬』,是吧?我看到了你8年前的密碼,知道你可能喜歡這支足球隊。」
為了確保個人信息的安全,蔣蘇珊建議,對於帳戶,如銀行帳戶等,要經常檢查信用評分,不要重複使用密碼,可使用歌曲名字等組合作為密碼,或密碼管理器,或安全密鑰;另外,在社交媒體或互聯網上,發布任何信息都要很謹慎,有心人蒐集了這些資訊,就可以分析出很多個人資料,「發布多少信息取決於你自己,你要考慮,長期把這些信息公諸於眾是否值得。」 蔣蘇珊說。
在政府網絡安全方面,微軟的資深總監曹貝蒂表示,有三個關鍵要點:首先,政府需持續投資於網絡安全研發,探索人工智能與網絡安全技術的融合;其次,提高對潛在威脅、黑客和公私合作夥伴關係的認識和培訓;最後,建立整個行業的整體信息共享夥伴關係,至關重要。
KLC諮詢公司總裁賴凱爾表示,他的公司是美國國防網絡安全領域的承包商之一。
他指出,美國國防部的擔憂在於,黑客組織不會直接攻擊國防部,而是會攻擊供應鏈中最薄弱的環節。
這些攻擊者會先攻擊分包商,再進攻主承包商,最後再針對美國國防部展開攻擊。
美國國防部有數十萬家承包商,因此對這個問題非常憂慮。
為此,美國政府和國防部正在採取行動,將於明年開始強制執行第三方獨立評估,評估承包商的敏感信息,包括非機密信息。
「我的意思是,即便是非機密信息,美國國防部也會加強防範措施」。而臺灣正在模仿美國的這套防範機制。
不過,在公司方面,蔣蘇珊看到,人工智能的迅速發展,使許多公司都彷彿得了「錯失恐懼症」,為快速推出新的人工智能模型,徹底調整了公司在安全、隱私等方面的風險容忍度;蔣蘇珊強調,現在企業看重的是速度,放慢速度,也許會更安全,但公司可能無法在人工智能領域,保持競爭力。
「什麼是安全?或者幾年後,它(這種人工智能模型)就不存在了?」
展望未來,蔣蘇珊認為,十年或更長時間,許多入門級的安全工作,將逐步被人工智能完全代替;如何讓人們善用人工智能,是一個社會問題。
賴凱爾補充道,人工智能是一個全新的領域,有很多未知數,從風險的角度來看,可能會有許多漏洞,「可能每隔一天,就發現一些重大的漏洞」,公司甚至可以訓練生成式人工智能:一加一等於三。
如果出現這個情況,就會造成很多社會問題,這需要政府制訂適當的政策,規範監管人工智能的應用及發展。◇
