在當前的網路環境中,人工智能生成的深偽視頻和合成身份欺詐等新興威脅正日益嚴重。這些創新手段讓攻擊者能以更大規模、更低技術門檻實施個人化攻擊,為威脅環境火上加油。有鑑於此,越來越多企業採納整體零信任策略以應對不斷演進的網路威脅。
然而,零信任架構的實施之路並非一蹴而就。美國等西方國家的企業在推行零信任策略時面臨諸多挑戰,部分原因在於長期累積的老舊技術基礎設施,以及不同團隊分散管理憑證等問題,增加了整合的困難度。此外,一些高層領導或許只是在口頭上支持零信任,卻未真正將其視為當務之急,導致預算和人才荒之困境難以解決。
要有效實施零信任策略,首席信息安全官(CISO)需先審視企業的身份和設備安全性,並盤點所有密碼資產,釐清所有權歸屬。同時參考政府機構如CISA、NIST等單位的指引,有步驟地推進零信任進程。 CISO應向高層闡明零信任與企業管治的關聯,助其意識到投資零信任實為職責所在,並強調聯邦機構已加大處罰力度,要求加快數據外洩披露,追究高管責任。
企業高層有責任創造包容、多元的企業文化,為技術團隊提供持續培訓,吸引並留住頂尖人才,特別是神經多樣性人才,以鼓勵多元思維,應對人工智能驅動的新興網絡攻擊策略。
展望未來,隨著通用人工智能的發展,我們正邁入一個新時代,需要人工智能驅動的網路防禦,以應對攻擊的規模和速度。預計各類組織無一例外都將成為高價值目標,勢必重視零信任安全。此外,數字身份將成為零信任的關鍵樞紐,全球對於數字身份認證的法律法規立場存在分歧,這一發展將影響後零信任時代的網路安全走向。
總的來說,零信任策略是當前及未來應對日新月異網路威脅的必由之路。儘管推行過程艱鉅,但企業領導層和技術團隊有責任跨部門攜手合作,投入必要資源,建立完善的零信任防禦體系,以確保企業和利益相關者的數據和系統安全。
詳情請看:
How AI-powered attacks are accelerating the shift to zero trust strategies
