在 Enterprise Connect 大会上,IT 领导者们探讨了为什么企业必须采取新的安全措施来识别和阻止语音和视频通话中的深度伪造技术。
AI 在协作工作流程中的应用日益广泛,为企业带来了生产力提升,但也带来了新的安全威胁,需要制定新的安全策略。
在 AI 虚拟形象可以参加视频会议、AI 助手可以打电话的时代,你如何才能相信与你交谈的人是真人?
深度伪造技术扰乱协作工作流程并非纸上谈兵,它正在发生。
深度伪造诈骗最典型的案例发生在2024年,当时英国工程顾问公司奥雅纳(Arup)的一名财务员工参加了一次与高层管理人员的视频会议。该公司的首席财务官要求该员工向多个外部账户转账数百万美元。
该员工当时并未察觉,视频会议中的首席财务官及其他与会者全都是 AI 虚拟形象,最终他向网络犯罪分子转账了 2500 万美元。
“整场视频会议竟能骗过一位拥有如此高权限的人,这可非同小可,”咨询公司 Communications Advantage, Inc. 的总裁 Robert Lee Harris 表示。
Harris 表示,深度伪造骗局在融入现有工作流程时最为有效。深度伪造技术的逼真程度远不如交互情境重要,如果骗局符合用户对协作工作流程的认知和文化背景,用户就更容易上当受骗。
Harris 和其他 IT 领导者在 Enterprise Connect 上发表了讲话,阐述了深度伪造技术如何成为影响通信和联络中心平台的新兴安全挑战。
重新定义通信安全策略
洛杉矶县儿童和家庭服务部信息安全官 Allen Ohanian 表示,随着 AI 驱动的深度伪造技术变得越来越复杂,要发现视频通话中的人不是真人的细微线索将变得越来越困难,例如虚拟形象眨眼。
随着深度伪造技术的兴起,其他用户验证方法,如语音和视频生物识别技术,正逐渐被淘汰。
Vonage 产品和应用负责人 Rodney Hassard 表示:“深度伪造技术发展如此迅速,像面部识别和语音生物识别这样的技术现在很难实现,因为模仿人脸的技术已经非常先进了。”
各组织需要重新思考其安全策略,以发现和减轻深度伪造诈骗,并考虑以下做法:
- 条件访问策略,可根据用户、位置或设备持续执行安全控制。
- 建立行为基线,以确定正常的互动模式并标记异常模式。
- 多渠道身份验证,使用短信、电子邮件和身份验证器应用程序等独立渠道来验证用户身份。
- AI 增强型安全系统,能够实时分析访问请求。
持续监控至关重要,它能确保在初始身份验证之后,用户始终处于监控之下,以防任何情况发生变化。例如,如果用户在拉斯维加斯进行身份验证,一小时后又在纽约再次进行身份验证,则该用户的凭据已被泄露。万事达卡身份与访问管理总监 Jean Chavez 表示,必须建立相应的系统来检测并阻止此类访问。
“这就是为什么我们需要基本措施、控制措施和制衡机制,”Amicus Therapeutics 的 IT 安全高级经理 Ariel Golubitsky 说。
统一通信和呼叫中心供应商也在采取各自的安全措施应对深度伪造威胁。例如,Zoom 最近宣布推出一项深度伪造检测功能,该功能可在检测到会议中的合成语音或视频时发出实时警报。
Hassard 表示,Vonage 通过多种因素来保障安全,以防止欺诈行为在到达应用层之前发生,因为大多数欺诈行为都发生在应用层。
“这不会是一个单一的解决方案,”他说。“这需要多重身份验证,需要查看不同的数据源、设备、网络或其他领域来获取信号。”
应对“人”这一变量
但在防范深度伪造技术时,企业不应忽视“人”这一变量。哈里斯表示,他认为改变企业文化是防范深度伪造技术的解决方案中80%的关键。
Harris 指出,脆弱的企业文化之所以容易受到攻击,是因为它将速度置于验证之上,权威不容置疑,而质疑则被视为不专业。但他表示,具有韧性的企业文化则能获得更好的保护,因为验证机制贯穿各个层级,且领导层也不例外,同样必须遵守安全规程。
“当屏幕上出现合成语音或视频时,你看到的只是像素和声波。如果是真人,你看到的仍然是像素,”他说。“但人们会评估‘它是否符合我的预期,如果不符合,我会不会质疑?’”
作者:Katherine Finnell
原文:https://www.techtarget.com/searchunifiedcommunications/feature/Rethinking-UC-security-amid-the-rise-of-deepfake-technology
本文来自作者投稿,版权归原作者所有。如需转载,请注明出处:https://www.nxrte.com/zixun/65856.html
