界面新闻记者 | 彭新
界面新闻编辑 |
随着数字化转型进程及商业活动向云上迁移加速,作为基础设施的云计算所产生的影响逐渐加大,云厂商也成为安全事件中的首要攻击对象。
在6月13日至14日举办的亚马逊re:Inforce安全大会期间,亚马逊云科技首席信息安全官CJ Moses在接受界面新闻等媒体采访时表示,目前亚马逊正积极应对人工智能、量子计算带来的新型安全风险。
以ChatGPT为代表的生成式人工智能大模型正迅速席卷全球,在提高生产力的同时,利用生成式AI技术进行攻击的苗头已有显现,包括使用ChatGPT等生成恶意攻击代码、钓鱼软件等,且已有相关损失案例产生。
“生成式AI通过提供简单但极其强大的工具来降低内容制作门槛,这些工具人人都可以使用,然而和其他工具一样,它们都有被滥用的风险。”CJ Moses称,借助生成式AI,即使一些没有专业知识的人也能轻易制作网络攻击工具,“工具没有变,但创造工具的模式改变了。”
“不法之徒可以在这些平台上向那些本来无法进行网络攻击的人提供服务。”网络安全厂商Akamai亦向界面新闻称,由于ChatGPT能够加快恶意软件的创建过程且不收取任何费用,可能使犯罪服务更加有利可图。此外,ChatGPT低门槛的特性,甚至可帮入门级网络罪犯实施犯罪,并大幅降低犯罪成本,“这比直接对受害者实施犯罪赚得更多,而且风险更小了。”
CJ Moses称,亚马逊云科技正在借助AI防御网络攻击。他表示,AWS多年来从其客户那里收集到大量安全日志等数据,可以作为公司开发更好的安全解决方案的基础,这是亚马逊云科技作为世界头号云厂商的显著优势。
但他同时认为,外界过于关注生成式人工智能,称“生成式AI、机器学习等只是人工智能技术中的一块切片。”据CJ Moses介绍,亚马逊云科技在安全工具中融合了相关能力,推出了包括CodeGuru Security静态应用程序安全测试(SAST)工具、智能感知威胁和漏洞的Amazon Detective工具。
值得一提的是,在本次亚马逊云科技向外传达的安全议题中,量子计算占据一席之地。
量子计算未来可为密码分析、人工智能、气象预报、资源勘探、药物设计等所需的大规模计算难题提供解决方案。从实用化角度来看,量子计算现阶段正处于从原型机到专用机的攻坚时期。对于ICT产业来说,若量子计算实现突破,即意味着支撑其运转的互联网通信安全的加密方式将首次发生重大变化。以往难以被破解的现行加密技术将会被量子计算机轻易破解,扰乱信息产业。
在此担忧下,“抗量子计算密码学”得以诞生,亚马逊云科技是其中较早推进者,其研究方向涉及量子密码算法、多方安全计算、使用中的同态加密和量子密钥分发等。
有亚马逊云科技安全团队成员告诉界面新闻,无论是生成式AI安全还是量子加密,均体现其对安全的前瞻理念,即在新技术、工具普及前分析其潜在安全风险,制定方案,最大程度降低预期损失。
实际上,亚马逊云科技这一想法与主流安全厂商思路一致。网络安全厂商派拓网络大中华区总裁陈文俊此前告诉界面新闻,针对新型潜在安全威胁,安全厂商积极引入DevSecOps或“安全左移”(Shift left)概念,即确保软件或服务在公开推出前就测试所有可能出现的安全问题,让IT团队为应对任何潜在的安全事故做好准备,防患于未然。
“零信任”是此次亚马逊云科技向外传达的重点技术理念,这一技术过去数年来已经在安全行业有一定关注。前述亚马逊云科技安全团队成员告诉界面新闻,“零信任”作为一套技术体系,覆盖网络认证、授权等各个环节,彼此联系形成整体。在此基础上,对所有的用户、应用和数据及时认证,以最小的权限、持续的认证和安全检查去覆盖所有安全环节,由被动转主动去提供安全防护。