本文來自微信公眾號“GoUpSec”。
GoUpSec點(diǎn)評:在2015年的BlackHat大會上,與會全球黑客一致評選人臉識別技術(shù)為最不靠譜的身份認(rèn)證技術(shù)。今天,隨著生成式人工智能和深度偽造威脅的爆炸式增長,以人臉識別為首的生物特征識別認(rèn)證技術(shù)迎來了前所未有的危機(jī)。
根據(jù)Gartner分析師的最新預(yù)測,到2026年,深度偽造技術(shù)生成逼真人像的能力可能導(dǎo)致30%的企業(yè)對人臉生物識別身份驗(yàn)證解決方案失去信心。
在2月1日迪拜舉行的Gartner安全與風(fēng)險管理峰會上,Gartner副分析師Akif Khan表示,隨著人工智能深度偽造變得更加逼真且易于生成,基于人臉的身份驗(yàn)證和認(rèn)證系統(tǒng)將難以抵抗。
深度偽造欺詐暴增3000%
多年來,安全業(yè)界最為擔(dān)心的問題之一就是不法分子將深度偽造用于欺詐和生物識別身份驗(yàn)證繞過,尤其是在金融領(lǐng)域。例如,2021年,騙子通過在線購買高清人臉照片制作深度造假,欺騙了人臉識別技術(shù),最終通過虛假稅務(wù)發(fā)票竊取了約7500萬美元的資金。
最近的數(shù)據(jù)表明,人工智能生成深度偽造的安全威脅正在增長,Onfido的研究顯示,2023年深度偽造欺詐企圖暴增了3000%。但與此同時,越來越多的企業(yè)開始使用生物識別身份驗(yàn)證方法,GetApp的一項(xiàng)調(diào)查發(fā)現(xiàn),2022年79%的企業(yè)使用了此類方法,而2019年只有27%。
深度偽造注入攻擊快速增長
目前,大多數(shù)人臉生物識別解決方案都利用“活體檢測”(Presentation Attack Detection,PAD)技術(shù)來判斷進(jìn)行人臉識別身份驗(yàn)證的用戶是否“真實(shí)”。“展示攻擊”是指攻擊者將模仿物,例如面具或用戶的視頻,放置在攝像頭或掃描儀前。PAD技術(shù)旨在區(qū)分活人臉和此類模仿物,主要用于防御“展示攻擊”。
然而,根據(jù)Mitek Systems的說法,攻擊者越來越多地轉(zhuǎn)向使用深度偽造信息實(shí)施“注入攻擊”,攻擊者會繞過物理攝像頭,使用諸如虛擬攝像頭等工具將圖像直接輸入系統(tǒng)的數(shù)據(jù)流。
Gartner的研究表明,盡管展示攻擊目前仍是主流,但注入攻擊在2023年增加了200%。防止注入攻擊需要結(jié)合PAD、注入攻擊檢測(IAD)和圖像檢查三種技術(shù)。
Khan在一份聲明中表示:“當(dāng)前的標(biāo)準(zhǔn)和測試流程無法定義和評估PAD機(jī)制,也無法防御利用最新生成式人工智能深度偽造的數(shù)字注入攻擊。”
CISO該怎么做?
為了保護(hù)企業(yè)免受包括人臉識別在內(nèi)的AI生物識別深度偽造攻擊,Gartner建議,使用人臉識別進(jìn)行身份驗(yàn)證的公司應(yīng)確保其解決方案能夠跟上深度偽造生成工具的進(jìn)步和可用性。企業(yè)應(yīng)開始與通過IAD(注入攻擊)和圖像檢查技術(shù)防御最新深度偽造威脅的安全供應(yīng)商合作,定義最低限度的風(fēng)險控制基線。
一旦定義了策略并設(shè)定了基線,CISO和風(fēng)險管理領(lǐng)導(dǎo)者還必須處理其他風(fēng)險和識別信號,例如設(shè)備識別和行為分析,以增強(qiáng)對身份驗(yàn)證流程攻擊的檢測能力。
最后也是最重要的,負(fù)責(zé)身份和訪問管理(IAM)的網(wǎng)絡(luò)安全和風(fēng)險管理負(fù)責(zé)人應(yīng)采取措施,選擇真正有效和魯棒的身份驗(yàn)證技術(shù),實(shí)施額外的安全措施來防止帳戶失竊,才能緩解遭受人工智能驅(qū)動的深度偽造攻擊的風(fēng)險。