現在,我們的身份比以往任何時候都更加受到攻擊,這在很大程度上是由於人工智能快速採用(AI)。在過去的一年中,一種飆升的身份欺詐形式是深擊,或者是通過數字化操縱以模仿一個人的合成媒體。這些欺詐性的模仿可以採用多種形式,包括文本,視頻,音頻和基於社交媒體的深層效果,並且隨著它們繼續成功,我們可以期望將其他渠道添加到令人震驚的組合中。
自從互聯網周圍漂浮著,深層蛋糕並不一定是新的2017,但是最近,他們不僅超越了名人和公眾人物,現在已經變得更加個性化,將幾乎每個行業的C套件(從零售業到醫療保健及其他行業)。例如,最近,一名財務員工被欺騙去支付高達2500萬美元的欺詐者,這些欺詐者使用了模仿他的首席財務官的視頻深擊。
使事情變得更糟,皮尤研究最近發現,只有不到一半的美國人知道深層捕撈率是什麼,為尋求抓住下一個受害者的網絡犯罪分子創造了更高的成功率。也許同樣令人擔憂的是,根據畢馬威(KPMG)的說法80%的領導人相信Deepfakes對他們的業務構成風險,但只有29%的人說他們已經採取了措施來對抗他們。
解決深層困境的第一步是提高意識並積極反對威脅。但是,組織應該如何從哪裡開始?讓我們探索。
一對:被動和主動身份身份驗證的作用
為了正確地對抗深擊,組織必須採用多方面的身份認證方法。例如,儘管生物識別技術是一個很強的登錄選項,但一種唯一的身份驗證方式(例如指紋或面部識別方式)根本不足以防止當今有動機的,複雜的欺詐者。您需要多個身份驗證的因素來贏得戰鬥,而不會中斷用戶體驗。
這是被動身份驗證,特別是被動身份威脅檢測的地方,方法起著主要作用。被動身份威脅檢測是與主動身份驗證相協作的,這是在後台起作用的關鍵層,其主要重點是識別潛在風險。當檢測到可疑的登錄或行為時,該技術能夠轉向替代驗證選項(例如確認位置或設備使用情況)。被動身份威脅檢測沒有進行更多的身份驗證,而是向最終用戶(以及組織(如果適用))提醒正在發生的事情,從而阻止了任何潛在的欺詐活動。
一個“信任”時代:明確和隱性信任對身份的作用
隨著深層攻擊損害身份身份驗證過程,隱性信任或信任正在逐漸消失。即使似乎非常現實和準確,我們也無法再信任我們聽到或看到的任何東西。
由於深層蛋糕被用於社會工程受害者,因此語音,圖像和視頻之類的頻道被用於未經身心的頻道上。例如,員工可能會從組織的首席執行官那裡獲得縮放電話,要求重置密碼或向他們發送錢以進行緊急付款。通常,該員工會隱含地信任他們的老闆,但是由於深層效果,我們現在需要一種輔助認證方法來驗證您所看到和聽到的內容是真實和值得信賴的。
明確的信任是發送短信,推送通知或網絡頻段中的其他憑據檢查以驗證消息的收件人的行為。當然,這並不一定要一直執行,但是當提出請求時(例如寄錢或單擊欺詐性鏈接)時,明確的信任必須上升到最前沿,以獲得足夠的深層保護。我們喜歡將其稱為“一無所有,驗證一切”時代,在經過身份驗證之前,沒有什麼可以被認為是真實的。
AI好:用新興技術與深擊作鬥爭
當然,AI的出現也有其好處,可以用來幫助打擊深擊 - 可以這麼說,用良好的AI與壞AI作戰。為了減少深層效果,我們需要更好地硬度,以幫助檢測深層效果的額外的新興技術。這些技術包括圖像插入檢測等技術,您可以在其中查看圖像是手動還是錯誤地添加到通信模式或音頻檢測中,從而使用戶能夠查看是否未創建音頻文件。隨著時間的流逝,我們將看到其他基於AI的生成性深層預防方法,但就目前而言,敦促組織利用新興的技術能力來發揮其優勢 - 就像網絡犯罪分子在AI戰鬥中所做的一樣。
我們正處於AI的批判性社會十字路口,可用於好與壞 - 人類身份正是這項技術拔河技術的中心。它被不信任灌輸,並帶來重大風險。
與任何網絡安全威脅一樣,領導者需要嘗試領先攻擊者一步。引用普遍的說法,最好的進攻是一個很好的防守。這也適用於深擊 - 為最糟糕的情況做準備的組織越多,他們就會越好,可以防止明天的新興攻擊。我們必須保持警惕並意識到所使用的策略,並通過多方面的身份驗證方法與他們作戰。
關於作者
帕特里克·哈丁是ping身份首席產品架構師。
