Connect with us

思想领袖

板房间差距:为什么CISO们难以讨论Deepfakes —— 以及如何框定它

mm
Published
Updated

网络安全正进入一个关键时刻,推动这一趋势的是企业、政府和个人对人工智能的广泛采用。随着82%的美国公司正在使用或探索在其业务中使用人工智能,组织正在解锁新的效率,但攻击者也在这样做。同样推动创新的人工智能工具也使威胁行为者能够轻松地生成合成内容,具有令人惊讶的真实性。这一新现实带来了重大的挑战,包括创建合成内容(图像、音频和视频)和恶意的Deepfakes(用于冒充真实个人的操纵音频、视频或图像)的能力,以前所未有的速度和复杂性。在仅仅几次点击中,任何拥有计算机和互联网访问权限的人都可以操纵图像、音频和视频,引入信息伦理中的不信任和怀疑。

在一个公司、政府和媒体组织依赖数字通信来维持其生存的时代,低估Deepfakes、合成身份欺诈和冒充攻击所带来的风险是没有空间的。这些威胁不再是假设的——仅2025年第一季度,Deepfakes使得企业欺诈造成的财务损失就超过了2亿美元,突出了问题的规模和紧迫性。新的威胁格局需要新的网络安全方法,CISO们需要迅速行动,以确保其公司保持安全。然而,请求新的资金并清晰地向具有不同知识水平的董事会传达组织面临的Deepfakes威胁可能是一项令人生畏的任务。随着Deepfakes攻击的不断演变和发展,每个CISO都需要站在将这一话题带入董事会的前沿。

以下是CISO和高管们为促进董事会、组织和社区层面的利益相关者对话而制定的框架。

使用熟悉的框架:Deepfakes作为高级社会工程

董事会已经被训练成用熟悉的术语思考网络安全:钓鱼电子邮件、勒索软件攻击,以及他们的公司是否会被泄密的疑问。这种思维方式塑造了他们如何优先考虑威胁以及在哪里分配安全预算。但是,当涉及到人工智能生成的内容,特别是Deepfakes时,没有内置的参考点。将Deepfakes框定为一个独立的、全新的威胁通常会导致混淆、怀疑或无所作为。

为了应对这一点,CISO们应该将对话锚定在董事会已经理解的东西上:社会工程。在其核心,Deepfakes威胁并不是完全新鲜的;它是社会工程的演化,更加危险的形式,已经在行业中存在多年,并继续成为社会工程的主要攻击向量。董事会已经认识到钓鱼作为一个可信的风险,并且他们已经准备好批准资源来防御它。在很多方面,Deepfakes代表了一种更令人信服、更可扩展、更有能力的社会工程形式,针对组织和个人,具有毁灭性的精度。

以这种方式框定Deepfakes使得CISO们能够利用现有的教育、预算和机构记忆。他们不需要请求新的资源,而是可以将请求重新框定为已经批准的安全投资的演化。CISO们越能依赖这种叙述,他们就越有可能被授予解决这一更大、更紧迫问题的资源。

将风险锚定在现实中,而不是耸人听闻

指出现实世界中的例子是让董事会了解Deepfakes威胁可能对组织产生的影响的好方法。然而,CISO们需要考虑他们向董事会展示哪些例子,因为这些例子可能会产生相反的效果。像香港的2500万美元电汇欺诈事件这样的臭名昭著的故事可以成为很好的头条新闻,但它们可能会在董事会中产生反作用。这些极端的例子通常感觉遥远或不切实际,产生一种“这种灾难性的事情永远不会发生在我们身上的”感觉。偏见会立即产生,并去除紧迫感的必要性。

相反,CISO们应该使用更容易让人产生共鸣的场景来展示这种风险如何在内部发挥作用,例如高管冒充或面试欺诈。

在一个案例中,朝鲜威胁行为者创建了一个包含人工智能生成的高管的虚假Zoom通话,以欺骗一名加密货币员工下载恶意软件以访问敏感的公司信息,并意图窃取加密货币。最终,黑客无法获得访问权限,但这种攻击对一个品牌的完整性构成的威胁应该是企业董事会的警钟。

另一个日益增长的策略涉及伪造的求职者使用人工智能生成的身份和Deepfakes证件来渗透企业组织。这些人经常代表美国的对手,如俄罗斯、朝鲜或中国,寻求访问敏感的系统和数据。这种趋势耗尽内部资源,并将组织暴露在国家安全风险和财务剥削之下。

这些威胁通常在雷达下飞行。对于每一个新闻中的例子,还有数十个未被报道的例子,使得全面理解这一威胁的规模变得困难。这些攻击越平凡,就越令人不安和容易让人产生共鸣。通过分享这些例子——现实的、容易让人产生共鸣的、更贴近实际业务运营的例子——CISO们可以将Deepfakes对话锚定在日常业务运营中,并强调为什么这一不断演变的威胁需要在董事会层面上得到认真关注。

将Deepfakes防御与现有的恢复力指标联系起来

CISO们不断被他们的董事会问到的问题是:我们被泄密的可能性是多少?我们最脆弱的环节在哪里?我们如何降低风险?虽然钓鱼、勒索软件和数据泄密仍然存在,展示传统攻击面之外的漏洞的根本性转变以及这些漏洞现在如何延伸至传统攻击面以外至关重要。

人力资源、财务和采购团队——这些角色不被视为传统的前线防御者——现在经常成为合成冒充的目标,而普通人的能力来检测这些威胁是非常低的。事实上,每1000人中只有1人能够准确地检测人工智能生成的内容。CISO们现在被要求解决高级社会工程教育和整个组织的网络恢复力需求,因为每个人都需要接受培训、测试和意识到帮助缓解这些威胁的必要性。

Deepfakes防御需要成为企业范围内恢复力的一个扩展,并需要与网络钓鱼模拟、意识培训和红队演练相同的持续教育。如果董事会已经将恢复力作为组织的战略优先事项,Deepfakes就会成为一个自然的下一个前沿领域。CISO们应该利用来自培训和模拟的指标来帮助以董事会理解的指标来框定这个问题。

人工智能生成的威胁不会来临;它们已经来了。是时候确保董事会准备好倾听和领导了。由于人工智能的采用,Deepfakes和基于身份的攻击的规模和频率已经将威胁格局转变为不可预测和不断演变的状态。

但是,董事会不需要关于Deepfakes或语音克隆的入门教程。他们需要一个清晰的商业背景和对这些威胁可能对其组织造成的影响的更深入的理解。CISO们应该将他们的对话建立在风险、成本和运营连续性之上。那些将Deepfakes叙述与熟悉的范式(钓鱼、社会工程、恢复力)对齐的人,为董事会提供了一个框架和背景,使他们能够采取行动,而不是仅仅做出反应。

mm

吉姆是GetReal的首席产品和技术官,他领导产品策略、开发和交付的所有方面。他拥有二十多年的网络安全产品和服务的开发、管理和营销经验,曾在BetterCloud、IBM、Dell Secureworks和RedHat等公司任职。他拥有佐治亚理工学院的机械工程学士学位和埃默里大学戈伊泽塔商学院的工商管理硕士学位。