原标题：外媒：人工智能加剧企业遭网攻风险

参考消息网2月21日报道法国《费加罗报》网站近日刊登题为《网络攻击：人工智能如何加剧企业风险》的文章，内容编译如下：

随着新技术出现，在需要保护的范围和攻击强度方面，网络威胁的程度都在加剧。

通过信使运送USB秘钥，以便在纽约各交易室之间传送指令。去年11月为紧急结算美国债务，这是一家银行业巨头找到的唯一解决方案。

当时，对其信息系统的攻击，使庞大的美国国债市场动荡了几天。去年12月中旬，乌克兰主要的电信运营商基辅之星电信公司遭到黑客攻击，造成2400万用户无法通话，也无法接入互联网，这导致其竞争对手的商店前排起长队……

无论受金钱还是受地缘政治利益的驱动，网络攻击已经广泛证明其有能力破坏企业及其供应商、客户或合作伙伴的网络稳定。

不幸的是，虽然网络风险屡见不鲜，但由于经济参与者日益数字化、信息系统日益复杂化，以及他们之间越来越普遍的相互依存，这一风险正加速蔓延并不断扩大。

美国派拓网络公司法国和南欧安全总监拉斐尔·马里谢总结道：“企业的经济活动越来越依赖网络安全，因此，网络攻击对业务的影响随即可见，而以前并非如此。”电子邮件、个人电脑、智能手机、服务器、网络、云……

恶意行为者会寻找错误的云配置和身份特权存在的各种漏洞，以潜入信息系统。世界经济论坛将网络攻击(勒索软件、数据盗取、关键系统中断等)列为全球第五大风险。

对保险公司安盛或安联以及一些国际机构来说，这是当今企业和机构面临的头号风险。誓联信息技术公司在其最新的安全研究报告中指出：“打击我们行业(网络攻击)事件的频率、严重性、复杂性和后果，已达到前所未有的水平。”

伤害扩展

美国银行摩根大通公司每天面临数百亿起企图潜入其信息系统的事件。该银行每年的技术投资约为150亿美元，其中很大一部分用于防范网络犯罪。

“犯罪分子变得更聪明、更狡猾、更敏捷、更阴险也更恶毒，”摩根大通资产管理总监玛丽·卡拉汉·埃尔多斯近日在达沃斯表示，“这种情况非常难应对，而且会越来越困难。”

根据索福斯公司的数据，去年金融行业的网络攻击数量增加64%，而这一数字是2021年的两倍。

目前，情况很矛盾。随着网络攻击事件激增以及对其灾难性后果的认知，企业对网络风险的理解从未如此深入。这个问题现在已在综合管理层甚至董事会层面讨论。

与此同时，这些机构的“受攻击面”从没像现在这样难以控制。需要保护的范围更加复杂，应用程序、用途和对象越来越多地联网，这些都是通往信息系统的门窗，必须不断检查。

危险可能来自任何地方，没人能幸免。1月10日，美国金融市场监管机构——美国证券交易委员会(SEC)在社交平台X(前身为推特)的官方账户遭黑客攻击。

就在同一天，加密货币市场也做出决定，备受期待。“假的”官宣许可对比特币价格产生短暂的影响。尽管该监管机构刚刚收紧针对上市公司的网络安全规定，但还没有激活双因子认证以确保其企业通信账户的安全。没人进行过检查，因此黑客有机可乘。

对于地区运输商居亚米耶公司来说，其2023年12月遭受网络攻击的切入口是安装在一家子公司的打印机，该打印机的供应商并未检查扫描仪是否受保护。

拉斐尔·马里谢强调说：“这提出一个问题，即需要出色的工具以拥有尽可能有效的感知能力，又要能够评估所有风险。”趋势科技公司的销售工程师尼古拉·维尔泰勒对此表示同意：“我们正在采取一种安全手段，这种手段必须尽可能全面。”

攻击加速

人工智能（AI）快速发展使网络攻击这个问题更加尖锐。

安联商业公司网络保险全球总监斯科特·塞斯指出：“网络犯罪分子正利用生成式人工智能等新技术，来自动化和加速他们的攻击，创造出更强大的恶意软件和网络钓鱼工具。”

AI提高了攻击者查探系统漏洞、生成恶意代码的能力，用不着开发更高级的技能，就能更精密地用网络钓鱼的办法诱骗受害者。

例如，除了更加拟人化的电子邮件和短信，还可能完美地克隆声音。“雪鸮”实验室AI主管康斯坦·布里东表示：“生成式人工智能技术还为那些技术水平不高的人降低了进入门槛。”“雪鸮”实验室网络研究员伊万·克维亚特科夫斯基说：“对经验丰富的攻击者来说，开发精密的攻击工具从来都不是问题。相反，大型生成式人工智能模型还帮他们解决了另一个非常复杂的问题——能更好地分析要骗取数千兆字节的数据。”

然而，情况也不是完全令人沮丧，因为AI也使防御者受益。

特纳布尔网络安全公司欧洲、中东与非洲地区技术总监和网络安全策略师贝尔纳·蒙特尔表示：“利用AI的力量，安全团队可以更快地研究和分析，最终更快地做出决策。”

伊万·克维亚特科夫斯基则认为：“即便不是更多，防御者从AI最新进展中的获益也与攻击者一样多。使用自动化工具评估网络攻击的危险性，也让处理更多案例的行为成为可能。这还让那些没法拥有必要专家的公司，拥有一层安全保障。”

强化监管

AI的快速发展给企业和机构带来另一个挑战：对一些外部AI服务提供商产生新依赖。

2020年底太阳风公司的软件平台遭网络攻击，2021年卡西亚公司的软件平台遭受攻击，这都间接影响了全球数万家政府机构和大企业的计算机网络。拉斐尔·马里谢提醒：“准确绘制供应链地图，是企业网络安全的必由之路。”

为提高网络安全的总体水平，许多国家的监管机构近年来都不断推出监管项目。在欧盟，将于今年生效的《网络弹性法案》重点关注在数字产品、软件和硬件开发中更高的安全要求。

该法案补充了《网络与信息系统安全指令》，而该指令正在等待变为法国法律，以加强更多公司和机构的网络义务。

在美国，自去年12月13日起，SEC要求透明、公开地发布遭网络攻击的情况，要求上市公司在年度报告中详细说明管理网络风险的手段，必须解释如何评估威胁、保护措施、一次成功的网络攻击造成的潜在物质影响，以及董事会对这些问题的监督程度。

进行测试

另一个表明该主题现已成优先事项的信号是：欧洲央行将于今年年初首次对欧盟109家最大的金融机构进行网络安全压力测试，以确定其漏洞。

该机构在1月初解释说，与旨在测试其在严重经济冲击期间的韧性“压力测试”一样，这一首个“网络压力测试”将主要评估银行如何应对网络攻击并从中修复，而不是评估它们预防网络攻击的能力。

主要结果预计将在夏季公布。派拓网络公司和IDC研究公司的调查显示，在银行、金融和保险行业，只有21%的信息系统安全员定期测试修复计划。

派拓网络公司负责欧洲、中东、非洲和拉美地区的安全主管分析：“这些相关人员正在艰难的环境中工作。一方面，地缘政治事件和供应链中断增加了威胁；另一方面，人才和专业知识的短缺，使实施解决方案和应对未来攻击的准备工作进一步复杂化。”

伊万·克维亚特科夫斯基提醒道：“2024年将是非常暴力的一年，会发生许多重大的地缘政治事件。世界上的紧张局势越多，网络风险就越大。”

国际货币基金组织第一副总裁姬塔·戈皮纳特近日在达沃斯警告：“在我们真正找到解决办法之前，存在‘重大事件’发生的风险。”

即使是被认为处于网络安全前沿的最强大科技公司，也不能幸免。1月19日微软表示，截至11月底，攻击者已成功进入少数几位最高级别管理人员的电子邮箱。这些管理人员包括微软总裁布拉德·史密斯和首席财务官埃米·胡德。他们与微软首席执行官萨蒂亚·纳德拉就战略主题交换意见。黑客窃取了电子邮件及其附件。

这种非常尖端的潜入直到近日才被发现。它由“锘元素”组织(也被称为apt29、“安逸熊”组织或“午夜暴风雪”组织)发起，这是一个由俄罗斯情报部门支持的组织，主要针对政府、大型机构、非政府组织和信息服务提供商。它就是2020年12月太阳风公司遭到网络攻击的幕后黑手。

微软正与美国网络安全与基础设施安全局、联邦调查局密切合作，以准确了解发生的情况并评估后果，以从中吸取教训保护其他实体。

该公司和当局表示：“目前，我们还不知道对微软客户的环境或产品造成何种影响。”（编译/舒梦）