生成式人工智能將對網(wǎng)絡安全行業(yè)所有企業(yè)的運作方式產(chǎn)生重大深遠影響。2023年將是網(wǎng)絡安全技術進化最快的一年，為未來幾十年指明方向。

ChatGPT引發(fā)的網(wǎng)絡安全“軍備競賽”正在持續(xù)發(fā)酵，無數(shù)真實用例表明網(wǎng)絡安全正以不可逆的姿態(tài)進入生成式人工智能時代。

生成式人工智能對網(wǎng)絡安全團隊來說是福是禍？網(wǎng)絡安全業(yè)界的觀點可大致分為“降臨派”、“拯救派”和“幸存派”三大類。

降臨派認為人工智能是攻擊技術的大殺器，將大大加快黑客攻擊和網(wǎng)絡犯罪的技術迭代，使大規(guī)模針對性網(wǎng)絡攻擊成為可能，網(wǎng)絡安全將進入“亂紀元”；拯救派則認為生成式人工智能可極大增強威脅預防、檢測和響應能力，是防御者“用魔法打敗魔法”的有力武器；幸存派則同時支持前兩者的觀點，并祈禱自己不會淪為新一輪AI軍備競賽的炮灰。

ChatGPT推動11大網(wǎng)絡安全創(chuàng)新

無論是降臨派、拯救派還是幸存派，都面臨一個共同問題，難以跟蹤光速進化、百花齊放的ChatGPT網(wǎng)絡安全用例。近日，普華永道高級分析師（拯救派）分享了2023年ChatGPT推動的，即將改變網(wǎng)絡安全市場和威脅格局的11大創(chuàng)新，具體如下：

1.人工智能的進攻性技術（惡意）應用

2.AI訓練和輸出數(shù)據(jù)的安全防護

3.制訂生成式AI使用政策

4.推動安全審計現(xiàn)代化

5.更加關注數(shù)據(jù)衛(wèi)生和評估偏見

6.應對快速增長的人工智能風險，練好安全基本功

7.創(chuàng)造新的工作和責任

8.利用人工智能優(yōu)化網(wǎng)絡投資

9.增強威脅情報

10.威脅預防和管理合規(guī)風險

11.實施數(shù)字信任戰(zhàn)略

一、人工智能進攻性技術（惡意）應用

我們正處于一個轉折點，今天的人工智能范式巨變影響著每一個人和每一件事。當人工智能掌握在公民和消費者手中時，是人類社會的福祉。但與此同時，ChatGPT這樣的生成式人工智能技術也可以被不法分子用于惡意目的，例如開發(fā)快速迭代和變異的惡意軟件以及高度復雜和定制化的網(wǎng)絡釣魚電子郵件。

——Sean Joyce，普華永道全球網(wǎng)絡安全和隱私負責人

二、AI訓練和輸出數(shù)據(jù)的安全防護

生成式人工智能已經(jīng)發(fā)展到能幫助公司轉變業(yè)務的地步，對于領導者來說，重要的是與懂得如何駕馭日益增長的AI安全和隱私問題的企業(yè)合作。

原因是雙重的。首先，企業(yè)必須保護其訓練人工智能的方式，因為他們從微調模型中獲得的獨特知識對于如何經(jīng)營業(yè)務、提供更好的產(chǎn)品和服務以及與員工、客戶和生態(tài)系統(tǒng)的互動至關重要。

其次，公司還必須保護他們生成式人工智能解決方案的輸入和輸出信息，因為這些信息會透露企業(yè)客戶和員工使用該技術所做的事情。

——Mohamed Kande，普華永道美國副主席、美國咨詢解決方案聯(lián)席主管兼全球咨詢主管

三、制定生成式人工智能技術的使用政策

企業(yè)可以用獨特的知識產(chǎn)權和知識內容來不斷訓練模型，提升生成式人工智能的場景化能力。在此過程中，安全和隱私保護格外重要。對于企業(yè)而言，提示（提問）生成式AI生成內容的方式應該是私有的。幸運的是，大多數(shù)生成式人工智能平臺從一開始就考慮到了這一點，并承諾確保提示、輸出和微調內容的安全性和隱私性。

但是，現(xiàn)在所有用戶都明白這一點。因此，對于任何企業(yè)來說，制定使用生成人工智能的政策，避免機密和個人數(shù)據(jù)通過人機交互進入公共系統(tǒng)，并在其業(yè)務中為生成人工智能建立安全可靠的環(huán)境都極為重要。

——Bret Greenstein，普華永道美國合伙人（數(shù)據(jù)、分析和人工智能）

四、推動安全審計的現(xiàn)代化

安全審計是生成式人工智能最熱門的潛在應用領域之一。高級生成式人工智能技術基于復雜條件編寫條理清晰、簡潔易懂的報告，快速且高效。

生成式人工智能提供了一個信息訪問的單點界面，同時還支持文檔自動化和分析數(shù)據(jù)以響應特定查詢，而且它非常高效，這對于安全審計人員和客戶來說是雙贏的。不但能為審計人員提供更好的體驗，同時也為客戶提供了更好的體驗。

——Kathryn Kaminsky，普華永道美國信托解決方案聯(lián)合負責人

五、更加關注數(shù)據(jù)安全（衛(wèi)生）并評估偏見

任何輸入人工智能系統(tǒng)的數(shù)據(jù)都有可能被盜或被濫用。因此，企業(yè)首先應該審核輸入數(shù)據(jù)是否安全或者脫敏，這將有助于降低因攻擊而丟失機密信息的風險。

此外，重要的是進行適當?shù)臄?shù)據(jù)收集，以制定詳細且有針對性的提示并將其輸入系統(tǒng)，這樣企業(yè)可以獲得更有價值（且安全）的輸出。

企業(yè)同樣需要詳細檢視人工智能系統(tǒng)的輸出信息，評估系統(tǒng)是否存在任何固有偏差。在此過程中，企業(yè)可能需要聘請多元化的專業(yè)團隊來幫助評估任何偏見。

與編碼或腳本解決方案不同，生成式人工智能基于經(jīng)過訓練的模型，因此它們提供的響應不是100%可預測的。生成式人工智能的可靠輸出需要幕后技術人員與用戶之間的協(xié)作。

——Jacky Wagner，普華永道美國網(wǎng)絡安全、風險和監(jiān)管負責人

六、應對快速增長的人工智能風險，練好安全基本功

生成式人工智能正在被廣泛采用，實施強大的安全措施是防止威脅行為者的必要條件。網(wǎng)絡犯罪分子有可能更容易地制造深度偽造內容并執(zhí)行惡意軟件和勒索軟件攻擊，公司需要為這些挑戰(zhàn)做好準備。

最有效的網(wǎng)絡安全措施往往是不起眼的基礎工作，例如：通過保持基本的網(wǎng)絡衛(wèi)生和壓縮龐大的遺留系統(tǒng)，企業(yè)可以大大減少網(wǎng)絡犯罪分子的攻擊面。

整合運營環(huán)境可以降低成本，使企業(yè)能夠最大限度地提高效率并專注于改進其網(wǎng)絡安全措施。

——Joe Nocera，普華永道合伙人負責人（網(wǎng)絡、風險和監(jiān)管營銷）

七、創(chuàng)造新的崗位和責任

總的來說，我建議企業(yè)考慮采用生成式人工智能，而不是豎起防火墻來抵制，但要有適當?shù)谋Ｕ洗胧┖惋L險緩解措施。生成式人工智能在完成工作方面展現(xiàn)了巨大的潛力，可幫助安全人員騰出更多時間和精力從事人類擅長的分析和創(chuàng)造力。

生成式人工智能技術的出現(xiàn)可能會帶來與技術本身相關的新工作和責任，并產(chǎn)生確保人工智能以合乎道德和負責任的方式使用的責任。

員工還迫切需要接受人工智能技能培訓，從而能夠評估和識別創(chuàng)建的內容是否準確。

就像如何使用計算器來完成簡單的數(shù)學相關任務一樣，在生成人工智能的日常使用中仍然需要應用許多人類技能，例如批判性思維和有目的的定制。

從表面上看，人工智能自動化技術似乎對手動任務的能力構成威脅，但它也可以釋放創(chuàng)造力并提供幫助、提高技能，幫助人們在工作中脫穎而出。

——Julia Lamm，普華永道美國勞動力戰(zhàn)略合伙人

八、利用人工智能優(yōu)化網(wǎng)絡安全投資

即使在經(jīng)濟高度不確定的情況下，2023年大多數(shù)企業(yè)也沒有打算減少網(wǎng)絡安全支出。但是，CISO正面臨提高安全投資有效性和決策質量的壓力，也就是用更少的錢做更多的，這導致CISO熱衷于投資于用自動化替代方案取代過度依賴手動風險預防和緩解流程的技術。

雖然生成式AI并不完美，但它非?？焖?、高效且一致，并且技能會迅速提高。通過實施正確的風險技術，例如為更大的風險覆蓋和檢測而設計的機器學習機制，企業(yè)可以節(jié)省大量資金、時間和人員，并且能夠更好地應對和抵御未來的任何不確定性。

——Elizabeth McNichol，普華永道美國企業(yè)技術解決方案負責人（網(wǎng)絡、風險和監(jiān)管）

九、增強威脅情報

雖然開發(fā)生成式AI技術的公司一再聲稱將確保產(chǎn)品不被濫用于開發(fā)和傳播惡意軟件、錯誤信息或虛假信息，但已經(jīng)發(fā)生的案例和經(jīng)驗告訴我們，安全問題永遠不是硅谷科技公司的第一優(yōu)先級，用戶自己需要未雨綢繆，為即將到來的威脅做好準備。

好消息是，到2023年，我們有望看到生成式人工智能有助于進一步增強威脅情報和其他防御能力。生成式人工智能還將顯著提高效率和實時信任決策，例如，以比當前部署的訪問和身份模型更高的置信度，給出訪問系統(tǒng)和信息的實時判斷。

可以肯定的是，生成式人工智能將對網(wǎng)絡安全行業(yè)的每家公司的運作方式產(chǎn)生重大深遠影響。普華永道認為，該行業(yè)的集體進步將繼續(xù)以人為主導，技術為動力，2023年將是網(wǎng)絡安全技術進化最快的一年，為未來幾十年指明方向。

——Matt Hobbs，普華永道美國微軟業(yè)務負責人

十、威脅防范與合規(guī)風險管理

隨著威脅形勢的不斷發(fā)展，富含大量個人信息的醫(yī)療行業(yè)成了黑客的熱門目標。

醫(yī)療行業(yè)的高管們正在增加他們的網(wǎng)絡預算并投資于自動化技術，這些技術不僅可以幫助防止網(wǎng)絡攻擊，還可以管理合規(guī)風險、更好地保護患者和員工數(shù)據(jù)、降低醫(yī)療成本、消除流程效率低下等等。

隨著生成式人工智能的不斷發(fā)展，醫(yī)療系統(tǒng)安全面臨的風險和機遇都在快速發(fā)展變化，這凸顯了醫(yī)療行業(yè)在采用生成式人工智能新技術的同時建立網(wǎng)絡防御和彈性的重要性。

——Tiffany Gallagher，普華永道美國醫(yī)療行業(yè)風險和監(jiān)管負責人

十一、實施數(shù)字信任戰(zhàn)略

對于ChatGPT這種突然加速的技術創(chuàng)新，監(jiān)管的滯后和企業(yè)信任的流失在所難免，業(yè)界迫切需要一種更具戰(zhàn)略性的方法來應對。

通過實施數(shù)字信任戰(zhàn)略，企業(yè)可以更好地協(xié)調傳統(tǒng)上孤立的功能，例如網(wǎng)絡安全、隱私和數(shù)據(jù)治理，從而使他們能夠預測風險，同時為業(yè)務釋放價值。

數(shù)字信任框架核心價值不是滿足合規(guī)需求，而是優(yōu)先考慮企業(yè)與客戶之間的信任和價值交換。

——Toby Spry，普華永道美國數(shù)據(jù)風險和隱私負責人

聲明：本文來自GoUpSec，版權歸作者所有。