董事会的差距：首席信息安全官为何难以谈论 Deepfakes——以及如何构建它

在企业、政府和个人广泛采用人工智能的推动下，网络安全正进入关键时刻。随着 82% 美国企业正在其业务中使用或探索使用人工智能，这些企业正在释放新的效率，但攻击者也同样如此。推动创新的工具也使威胁行为者能够以惊人的轻松和逼真度生成合成内容。这一新现实带来了重大挑战，包括能够以前所未有的速度和复杂性创建合成内容（图像、音频和视频）和恶意深度伪造（用于冒充真人的经过操纵的音频、视频或图像）。只需几次点击，任何能够访问计算机和互联网的人都可以操纵图像、音频和视频，从而给信息伦理带来不信任和怀疑。 

在企业、政府和媒体机构依赖数字通信维持生计的时代，低估深度伪造、合成身份欺诈和冒充攻击带来的风险不容有失。这些威胁已不再是假设——深度伪造企业欺诈造成的财务损失已超过 仅 200 年第一季度就达 1 亿美元，凸显了该问题的规模和紧迫性。新的威胁形势需要新的网络安全方法，首席信息安全官 (CISO) 需要迅速采取行动，确保公司安全。然而，向对深度伪造威胁严重程度了解程度不一的执行董事会申请新的资金并清晰地告知组织面临的威胁，可能并非易事。随着深度伪造攻击不断演变和成型，每位 CISO 都需要站在最前线，将这一对话带到董事会。 

以下是 CISO 和高管在董事会、组织和社区层面促进利益相关者对话的框架。 

使用熟悉的框架：Deepfakes 作为高级社会工程学

董事会已经习惯用熟悉的术语来思考网络安全：钓鱼邮件、勒索软件攻击，以及公司是否会被入侵的迫在眉睫的问题。这种思维模式决定了他们如何优先考虑威胁以及如何分配安全预算。但对于人工智能生成的内容，尤其是深度伪造，却没有内置的参考点。将深度伪造视为一种独立的、新颖的威胁往往会导致困惑、怀疑或不作为。

为了应对这种情况，首席信息安全官们应该将讨论的重点放在董事会早已了解的一点上：社会工程学。从本质上讲，深度伪造威胁并非全新事物；它是一种经过演变、更加危险的网络钓鱼形式，多年来一直存在于行业中，并且仍然是头号威胁。 攻击向量 社会工程学。董事会已经认识到网络钓鱼是一种可信的风险，并且他们乐于批准资源来防御它。在许多方面，Deepfakes 代表了一种更具说服力、更具可扩展性、更强大的社会工程学形式，能够以毁灭性的精准度瞄准组织和个人。 

取景 deepfakes 这样，CISO 就能利用现有的教育资源、预算线和机构经验。与其申请新的资源，不如将申请内容重新定义为已获批准的安全投资的演变。CISO 越能理解这种说法，就越有可能获得资源来解决这个更大、更紧迫的问题。 

以现实主义而非耸人听闻的方式应对风险

列举现实世界的例子，是帮助董事会深入了解深度伪造威胁可能对组织造成的影响的有效方法。然而，CISO 必须考虑哪些例子会被提交给董事会，因为它们可能会产生相反的效果。一些臭名昭著的故事，例如 香港25万美元电信诈骗案 这些极端的例子很容易成为头条新闻，但在董事会会议上却可能适得其反。这些极端的例子往往让人感觉遥不可及或不切实际，让人觉得“这种灾难性的事情永远不会发生在我们身上”。这种偏见会立即显现，消除人们投资保护的紧迫感。 

相反，CISO 应该使用更具相关性的场景来展示这种风险在内部如何发挥作用，例如冒充高管或面试欺诈。

在一种情况下， 朝鲜威胁行为者 创建了一个虚假的Zoom会议，其中AI生成的高管形象诱骗一名加密货币员工下载恶意软件，以访问公司敏感信息，意图窃取加密货币。最终，黑客未能成功获取访问权限，但这些攻击对品牌诚信构成的威胁应该给企业董事会敲响警钟。 

另一个日益增长的策略是 虚假求职者 使用人工智能生成的身份和深度伪造凭证渗透企业组织。这些人通常代表俄罗斯、朝鲜或中国等美国对手行事，试图获取敏感系统和数据。这种趋势会耗尽内部资源，使组织面临国家安全风险和金融剥削。 

这些威胁往往被忽视。新闻中报道的每一个例子背后，都有数十个未被报道，这让我们难以全面了解这种威胁的严重程度。 袭击越平凡，就越让人不安，也越容易让人产生共鸣。 通过分享这些现实的、相关的、更贴近生活的例子，CISO 可以将深度伪造对话建立在日常业务运营中，并强调为什么这种不断演变的威胁需要董事会层面的认真关注。

将 Deepfake 防御与现有的弹性指标结合起来

董事会不断向首席信息安全官们提出同样的问题：我们遭受攻击的可能性有多大？我们最脆弱的地方在哪里？我们如何降低风险？虽然网络钓鱼、勒索软件和数据泄露仍然存在，但重要的是要展示这些漏洞内部发生的根本性变化，以及它们现在如何远远超出传统的攻击面。 

人力资源、财务和采购团队——这些传统上不被视为一线防御者的角色——现在经常成为合成冒充攻击的目标，而普通人检测这些威胁的能力极低。事实上， 每 1 人中只有 1,000 人 能够准确检测人工智能生成的内容。首席信息安全官 (CISO) 目前的重任是满足整个组织对高级社会工程学教育和更高网络弹性的需求，因为组织中的每个人都需要接受培训、测试和认知，以帮助缓解风险。 

深度伪造防御需要成为企业整体韧性的延伸，并需要持续的培训，就像团队通过网络钓鱼模拟、意识培训和红队演习进行培训一样。首席信息安全官 (CISO) 应利用培训和模拟中的指标，帮助董事会以易于理解的指标来定义问题。如果董事会已经将韧性作为组织的战略重点，那么深度伪造自然会成为下一个研究方向。

人工智能带来的威胁并非即将来临，而是早已存在。现在，我们该确保董事会做好倾听和引领的准备了。由于人工智能的普及，深度伪造和基于身份的攻击的规模和频率已将威胁格局转变为一个难以预测且不断演变的局面。 

但董事会不需要了解深度伪造或语音克隆的入门知识。他们需要清晰的业务背景，并更深入地了解这些技术对组织构成的威胁。首席信息安全官 (CISO) 应该将他们的对话建立在风险、成本和运营连续性的基础上。那些将深度伪造的叙事与熟悉的范式（网络钓鱼、社会工程学、韧性）相结合的人，为董事会提供了一个可以采取行动而非仅仅被动应对的框架和背景。