全球視角和觀點：網絡安全第一部分人工智能不斷發展帶來的網絡威脅

人工智能技術在過去一年中呈現了井噴式的發展勢頭，各行業組織對線上信息和交易模式的依賴程度也越來越高，網絡攻擊者也在加深對人工智能工具的應用程度，不斷提升突破組織網絡防御的能力。面對這一情況，各行業組織需要盡快了解技術發展的最新情況，以便更好地應對隨之而來的機遇和挑戰。作為網絡安全主題報告的第一部分內容，國際內部審計師協會（IIA）邀請了旗下資產管理公司負責人安東尼奧·卡恰普蒂（AntonioCacciapuoti）和、的負責人布拉德利·尼澤爾斯基（BradleyNiedzielski）共同探討在人工智能技術和工具的驅動下網絡風險的變化情況，以及內部審計如何幫助組織開發新的網絡安全方法以應對這些風險和威脅。

網絡犯罪的發展進程

一直以來，各行業組織都十分重視提升網絡防御能力，但隨著人工智能技術的發展，網絡攻擊者們正不斷試圖利用人工智能來增強其突破組織網絡防御的能力。人工智能技術本身并不會構成網絡威脅，但其在運行速度、規模、復雜程度和適應能力方面比傳統的網絡風險相關技術更加強大，還會像病毒一樣，隨時間的推移不斷提升技術韌性，使組織更加難以防范。

網絡攻擊者們正在利用人工智能技術不斷擴大攻擊范圍和方式，不僅存在針對某個組織或某些業務的網絡攻擊，也出現了造成廣泛性破壞的攻擊。舉例來說，很多組織會經常使用人工智能技術生成文件，協助撰寫電子郵件和各類報告性文件，網絡攻擊者會從這個角度入手，利用人工智能惡意篡改或生成虛假文件，進行網絡犯罪活動。

傳統的釣魚式攻擊手段旨在突破安全屏障并獲取有價值的數據。在人工智能技術的驅動下，釣魚式攻擊將會針對特定收件人撰寫更有說服力的信息，同時在語法和拼寫方面進行改進和完善，增加了欺騙性和盜取數據的可能性。例如，自動化的魚叉式釣魚攻擊是針對一個人或一個群體的個性化攻擊，目的在于竊取敏感信息或獲取系統訪問權限。而人工智能工具可以用于分析社交媒體、通信模式和目標的可用數據，進而生成更有針對性的信息，誤導欺騙收件人泄露敏感信息或點擊惡意鏈接，抑或通過深度偽造（如模擬視頻）和語音黑客技術手段來欺騙和操縱特定目標。

人工智能還可以通過驅動惡意軟件來實現網絡攻擊。這些軟件可以根據特定的目標環境調整和改變軟件行為，從而逃脫傳統安全系統的檢測和識別，并利用多態技術（polymorphictechniques）改寫代碼，分析和規避系統防御措施，將有毒數據注人用于舞弊檢測系統的人工智能機器學習模型中，誤導人工智能做出錯誤預判，忽略舞弊行為關鍵指標。

此外，人工智能技術還可以通過智能數據外泄（smartdataexfiltration）手段，實時分析被盜數據和知識產權，對數據信息按照價值高低進行優先排序和加密，從而向其“客戶”索要外泄贖金，這種手段被稱為勒索軟件攻擊。為了實現在系統中的隱蔽移動，躲避系統防御關卡，攻擊者還會利用人工智能技術破壞正常用戶的合法登錄憑證，也就是憑證竊取式攻擊。

人工智能技術驅動的網絡攻擊種類復雜多樣，造成的后果也十分嚴重。敏感信息的泄露或濫用可能會使組織在行業競爭中處于不利地位，或者因未能遵守數據隱私法規而受到處罰。任何數據泄露都可能導致客戶和業務合作伙伴對組織失去信任。勒索軟件和惡意軟件攻擊還可能會造成組織運營中斷或關鍵系統關閉。

最佳防御措施

阻止人工智能的最好方法是使用更加復雜的人工智能。

如上文所述，人工智能本身并不是威脅，關鍵在于如何使用。組織想要挫敗網絡攻擊者的威脅，就必須及時更新對網絡攻擊者使用工具和策略的了解，并采用水平更高的人工智能技術驅動的網絡安全措施，從而增強網絡安全防御能力。

國際信息系統審計協會（ISACA）在其發布的《使用人工智能驅動的網絡安全應對人工智能驅動的攻擊的必要性》報告中指出了利用先進技術抵御攻擊的多種方式。

1.對海量數據庫進行分析，以確定組織資源的使用方式，發現暴露的區域，創建資產清單，并識別網絡流量趨勢和用戶活動／行為。

2.檢測異常，如異常登錄、來自新地理位置或IP地址的訪問請求、新用戶訪問、文件和資源權限的更改、大量文件的提取或刪除以及流量的指數級增長。

3.主動鎖定、注銷或以其他方式阻止可疑的惡意行為者，并向系統管理員發出警報。

4.建立持續監控系統，實現快速響應。

5.使用預測性分析方法來預判潛在的安全威脅并采取針對性的防御措施。

6.檢測和防止零日威脅（即新的和尚未顯現的漏洞）。

7.降低誤報潛在風險的數量。

8.采用自動化安全評估，以加快響應速度并減少人為錯誤。

9.適應新的發展和環境，提供持續的保護。

除上述方式以外，組織還可以利用人工智能技術來整合、分析和關聯多方數據，如使用自然語言處理（NLP）技術對大量文本數據進行分析，從而得出更加深刻和準確的洞見。

但在現實情況下，組織永遠都無法徹底消除和解決所有的風險因素，因此首先需要從戰略上對不同領域業務面臨的風險和威脅進行評估，對潛在的人工智能輔助的舞弊指標進行確認，并對其潛在的規模和影響進行評估，從而制定有針對性的控制措施。

為此，組織可以利用生成式人工智能的高級推理和識別能力，提高對風險的識別能力和效率，以應對人工智能技術支持的釣魚攻擊和深度偽造等威脅。但在某些情況下，我們也需要依賴員工的直覺判斷和理性分析來應對，例如，當員工接到組織高管的電話并提出資金轉賬要求時，最直接有效的應對方法是回撥組織預留號碼，或是直接找到高管本人當面核實情況。

為了提升組織整體應對風險的能力，內部審計、風險管理、IT、網絡安全以及其他有關職能部門的專業人員可以共同組成一個多學科的風險應對團隊，協同監控人工智能技術的發展，不斷更新組織風險管理、安全協議以及舞弊檢測系統，提升風險識別和響應效率。各職能部門之間還可以定期組織經驗分享，建立知識共享和培訓平臺，提高員工對潛在風險的認識，利用人工智能技術對員工行為進行分析，并制定相應的培訓計劃和項目，不斷提升員工在網絡安全方面的素養和應對能力。

內部審計發揮的作用

內部審計不僅是組織治理中關鍵的防御條線，更應該轉變姿態，以攻為守，采取主動的姿態來協助組織進行風險管理。在應對人工智能技術帶來的機遇和挑戰方面，內部審計一方面可以利用人工智能技術提升工作能力和水平，增加自身和組織價值；另一方面還可以憑借其在組織內的獨特地位，通過全面風險評估，從安全、職業道德和合規角度開展審計工作，協助建立強大的網絡安全戰略，支持技術創新和網絡風險防御。

首先，我們要堅定地相信，人工智能永遠不會取代內部審計人員，但這并不妨礙它成為內部審計工作的強大助手。內部審計人員應用人工智能技術提升工作水平的具體表現包括以下方面。

1.分析海量數據并擴展測試樣本，使樣本量不斷接近完整的數據規模。2.執行自動化測試程序并對關鍵控制進行監控，承擔重復性工作，使內部審計人員能夠專注于更高級別的任務。3.使用人工智能算法而不是依賴定期審計，對數據進行持續監控，提高發現和解決異常情況的效率。4.對未來發展趨勢和結果進行分析預測，支持更明智的決策和建議。5.快速匯總工作底稿，為撰寫最終報告提供支持。6.綜合各職能部門的數據來源，提高數據分析和整理的效率，避免重復。

從另一個角度出發，面對人工智能技術助力下網絡安全威脅的不斷發展，內部審計不能停留在被動的風險應對層面，而是要專注于識別和預判潛在風險。為此，內部審計需要從以下幾個方面入手。

1.提高換位思考的能力，基于對組織內外部情況的了解，從定量和定性兩個角度考慮風險來源，提高風險預判能力。2.關注組織治理和外部監管環境的變化，提高審計工作敏銳度和針對性。

3.拒絕單打獨斗。內部審計要與所有確認服務提供方和利益相關方保持密切聯系，及時了解內部控制、合規、風險管理乃至于外部審計和監管機構的動態，積極促進多方協作，從整體層面提高組織治理框架的韌性，做好迎接新興風險的準備。

（翻譯：徐天然，單位：中國內部審計協會）