信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“GoUpSec”。

GoUpSec點(diǎn)評(píng)：在2015年的BlackHat大會(huì)上，與會(huì)全球黑客一致評(píng)選人臉識(shí)別技術(shù)為最不靠譜的身份認(rèn)證技術(shù)。今天，隨著生成式人工智能和深度偽造威脅的爆炸式增長(zhǎng)，以人臉識(shí)別為首的生物特征識(shí)別認(rèn)證技術(shù)迎來(lái)了前所未有的危機(jī)。

根據(jù)Gartner分析師的最新預(yù)測(cè)，到2026年，深度偽造技術(shù)生成逼真人像的能力可能導(dǎo)致30%的企業(yè)對(duì)人臉生物識(shí)別身份驗(yàn)證解決方案失去信心。

在2月1日迪拜舉行的Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)上，Gartner副分析師Akif Khan表示，隨著人工智能深度偽造變得更加逼真且易于生成，基于人臉的身份驗(yàn)證和認(rèn)證系統(tǒng)將難以抵抗。

深度偽造欺詐暴增3000%

多年來(lái)，安全業(yè)界最為擔(dān)心的問(wèn)題之一就是不法分子將深度偽造用于欺詐和生物識(shí)別身份驗(yàn)證繞過(guò)，尤其是在金融領(lǐng)域。例如，2021年，騙子通過(guò)在線(xiàn)購(gòu)買(mǎi)高清人臉照片制作深度造假，欺騙了人臉識(shí)別技術(shù)，最終通過(guò)虛假稅務(wù)發(fā)票竊取了約7500萬(wàn)美元的資金。

最近的數(shù)據(jù)表明，人工智能生成深度偽造的安全威脅正在增長(zhǎng)，Onfido的研究顯示，2023年深度偽造欺詐企圖暴增了3000%。但與此同時(shí)，越來(lái)越多的企業(yè)開(kāi)始使用生物識(shí)別身份驗(yàn)證方法，GetApp的一項(xiàng)調(diào)查發(fā)現(xiàn)，2022年79%的企業(yè)使用了此類(lèi)方法，而2019年只有27%。

深度偽造注入攻擊快速增長(zhǎng)

目前，大多數(shù)人臉生物識(shí)別解決方案都利用“活體檢測(cè)”(Presentation Attack Detection,PAD)技術(shù)來(lái)判斷進(jìn)行人臉識(shí)別身份驗(yàn)證的用戶(hù)是否“真實(shí)”。“展示攻擊”是指攻擊者將模仿物，例如面具或用戶(hù)的視頻，放置在攝像頭或掃描儀前。PAD技術(shù)旨在區(qū)分活人臉和此類(lèi)模仿物，主要用于防御“展示攻擊”。

然而，根據(jù)Mitek Systems的說(shuō)法，攻擊者越來(lái)越多地轉(zhuǎn)向使用深度偽造信息實(shí)施“注入攻擊”，攻擊者會(huì)繞過(guò)物理攝像頭，使用諸如虛擬攝像頭等工具將圖像直接輸入系統(tǒng)的數(shù)據(jù)流。

Gartner的研究表明，盡管展示攻擊目前仍是主流，但注入攻擊在2023年增加了200%。防止注入攻擊需要結(jié)合PAD、注入攻擊檢測(cè)(IAD)和圖像檢查三種技術(shù)。

Khan在一份聲明中表示：“當(dāng)前的標(biāo)準(zhǔn)和測(cè)試流程無(wú)法定義和評(píng)估PAD機(jī)制，也無(wú)法防御利用最新生成式人工智能深度偽造的數(shù)字注入攻擊。”

CISO該怎么做？

為了保護(hù)企業(yè)免受包括人臉識(shí)別在內(nèi)的AI生物識(shí)別深度偽造攻擊，Gartner建議，使用人臉識(shí)別進(jìn)行身份驗(yàn)證的公司應(yīng)確保其解決方案能夠跟上深度偽造生成工具的進(jìn)步和可用性。企業(yè)應(yīng)開(kāi)始與通過(guò)IAD（注入攻擊）和圖像檢查技術(shù)防御最新深度偽造威脅的安全供應(yīng)商合作，定義最低限度的風(fēng)險(xiǎn)控制基線(xiàn)。

一旦定義了策略并設(shè)定了基線(xiàn)，CISO和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者還必須處理其他風(fēng)險(xiǎn)和識(shí)別信號(hào)，例如設(shè)備識(shí)別和行為分析，以增強(qiáng)對(duì)身份驗(yàn)證流程攻擊的檢測(cè)能力。

最后也是最重要的，負(fù)責(zé)身份和訪問(wèn)管理（IAM）的網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理負(fù)責(zé)人應(yīng)采取措施，選擇真正有效和魯棒的身份驗(yàn)證技術(shù)，實(shí)施額外的安全措施來(lái)防止帳戶(hù)失竊，才能緩解遭受人工智能驅(qū)動(dòng)的深度偽造攻擊的風(fēng)險(xiǎn)。