几天前，我在京城转悠，在拜访客户的间隙，本想近距离观赏近年来北京奥运会的标志性建筑，却随缘地参观了一个“全球移动互联网大会”。说来真是有幸，我看到了移动互联网产业中的大量创新，真的很为这些创业先锋们感到自豪，也为能生长在这个剧变的时代，享受着科技工业带来的文明硕果，并与技术极客们近距离接触感到无比的兴奋。

我们不可否认的是，高科技创新资源大都集中在一线城市，这里有其它地方难以比拟的人才和技术优势，移动互联网领域当然也是如此。而昆明，显然并非高科技领域内多数年轻人的理想创业场所，这里虽然有清洁的空气，但却远离一线城市，好在昆明亭长朗然科技有限公司的主营业务并非“高科技”。

当然，在展会上，我看到了不少的移动应用，也看到一些大数据和安全相关的产品。这是一个移动化的时代，也是大数据的时代，将这两者结合起来的无疑就是海量移动数据的获取、分析和利用了。我在好几家移动广告平台的展台前驻足参观，看来基于移动用户行为分析的产品是一个行业热点。不过，由于信息安全的职业敏感性，我立即想到个人信息安全与隐私保护这个问题，在看到“无埋点采集”、“全数据采集”、“永不停歇的数据马拉松”等宣传点后，我不由得担心起来。

对于商家来讲，当然移动用户的数据越详尽越好，因为这样更容易掌握用户行为、制定适当的定向营销策略并以此获得最大的回报。对于移动用户来讲，如果这些个人的使用数据交给商家用于改善产品和服务，倒也是一件好事儿。可问题是事情往往并没有表面看起来那么简单，专门靠移动用户的数据来赚钱的商家，显然不会只满足于改善产品和服务，“数据就是黄金”，他们要把这些数据的价值最大化，买卖这些数据便是毫无疑问的行为了。

如果我的移动使用数据中隐去了个人信息如：姓名、联系方式、账户卡号等，那我可以高枕无忧地使用移动应用或移动计算。相反，如果厂商手中的信息有我的姓名、联系方式、账户卡号等等，我最担心的肯定是被广告骚扰、甚至各种有针对性的诈骗。

现在您已经知道了我的担心，如何破解呢？其实我们国家早已经有了多部个人信息保护相关的法律法规，也不断有新的法规出台，它们普遍都规定：只有去掉了可识别性的信息，数据才应该被使用。“可识别性的信息”，我的理解其实就是可以区分出不同的用户身份，用来追踪到个人联系方式和的信息，以及一些个人证照信息。

法律法规的出发点都是好的，但是在巨大的利益诱惑之下，法律法规也可能不被遵守，甚至遭到践踏。数据犯罪集团可以用各种借口来采集过多的信息，并加以分析利用，而终端移动用户，可能只是两眼一抹黑。

其实话说回来，如果移动用户的个人信息安全、隐私保护和维权意识足够强烈的话，数据犯罪集团显然会有所顾虑，毕竟法律法规还是有一定的震慑力量的。

如何让移动用户有足够的个人信息安全、隐私保护和维权意识呢？只有一个方法，就是教育培训。昆明亭长朗然科技有限公司出品了多部移动安全与个人信息保护的教程，也有针对商家和企业级用户的培训课程。通过这些课程，我们能够让员工们知道为什么要保护客户的个人信息，以及保护客户个人信息的工作实践。我们也能在移动计算和大数据时代，不触碰法律红线，借助海量的用户数据，获得业务的持续增长。

欢迎联系我预览这些课程资源，当然也欢迎您联系我洽谈更多的业务合作，或只是聊一聊这个话题。

董志军

手机：18206751343

微信：18206751343

邮箱：[email protected]

QQ：1767022898

在快速变化的网络安全领域，人工智能（AI）被用于促进社交工程攻击是最令人担忧的问题之一。虽然AI有潜力改变许多行业，但当其被恶意使用时，也会带来重大风险。对此，昆明亭长朗然科技有限公司网络安全研究员董志军表示：包括深度学习、神经网络、数据科学等在内的人工智能技术可以被用来为人类谋福利，也可能被败类用来危害人类的利益。特别是WormGPT的出现，以及利用人工智能发起定向的有针对性的社会工程攻击、网络钓鱼和电信诈骗，真让人类难以逃脱。如下，我们将探讨AI在社交工程攻击中的作用，员工意识的重要性，以及可以采取的策略来减轻这些风险。

理解社交工程攻击

社交工程攻击旨在操纵个人泄露机密信息或执行危及安全的操作。这些攻击通常利用人类心理和信任，使其特别有效。随着AI的出现，这些攻击的复杂性和规模显著增加。

AI作为社交工程的助推器

AI可以通过以下几种方式自动化和增强社交工程攻击：

1. 深度伪造：AI可以创建高度逼真的深度伪造，这些合成媒体模仿真实个人的外观和声音。这些可以用来冒充可信赖的人物，如老板或同事，以获取敏感信息。
2. 自动化钓鱼：AI可以生成个性化的钓鱼邮件，这些邮件更有可能被打开和执行。工具如WormGPT可以以传统方法所需成本和时间的一小部分设计令人信服的钓鱼活动。
3. 行为分析：AI可以分析人类行为模式，以确定发动攻击的最有效时间和方法。这使得社交工程攻击更加有针对性，难以检测。

员工意识的重要性

虽然AI可以成为攻击者的强大工具，但社交工程攻击的成功最终取决于人为错误。员工通常是组织安全链条中最薄弱的环节。因此，提高员工的意识和培训员工识别和抵制社交工程尝试是至关重要的。

人为错误的作用

根据最近的Verizon报告，68%的网络攻击涉及人为因素。凭证参与了86%与基于Web的应用程序和平台相关的安全漏洞。这突显了在网络安全策略中解决人类脆弱性的重要性。

身份碎片化和AI孤岛

防止社交工程攻击的一个关键挑战是组织技术栈中身份的碎片化。这种碎片化为攻击者创建了多个入口点。如果不正确管理，AI代理可能会成为黑客利用的另一个孤岛。

减轻AI引导的社交工程攻击的策略

整合身份

为了减少攻击面，组织应将所有企业资源（包括AI代理）的身份整合到一个库中。这为身份和访问关系提供了一个单一的真实来源，使得管理和保护身份更加容易。

加密身份

组织应通过基于不可窃取的物理世界属性（如生物识别认证）来加密身份。访问应基于仅在工作需要完成的时间段内授予的临时权限来强制执行。

零信任访问

实施零信任访问模型可以帮助减轻与社交工程攻击相关的风险。该模型假设所有用户和设备都是潜在威胁，并要求不断验证身份和访问权限。

AI在防御中的作用

虽然AI可以用来发动复杂的攻击，但它也可以成为防御的强大工具。AI可以分析威胁活动并发现系统中的异常，帮助更快地检测和响应攻击。

AI用于威胁检测和响应

AI可以用于监控网络流量、用户行为和系统日志，以寻找可能表明正在进行社交工程攻击的异常模式，使安全团队能够更有效地响应。

AI用于员工培训

AI还可以用于增强员工培训计划。使用AI生成的模拟钓鱼攻击和其他社交工程场景可以为员工提供真实且引人入胜的培训体验。

结论

AI在社交工程攻击中的使用对组织构成了重大挑战。然而，通过提高员工意识，整合身份并实施强大的安全措施，组织可以减轻这些风险。AI也可以在防御中发挥关键作用，帮助更有效地检测和响应攻击。

AI在网络安全未来的作用

随着AI的不断发展，组织在进攻和防御能力方面保持领先将变得越来越重要。通过利用AI进行威胁检测和响应，并使用AI增强员工培训，组织可以构建更具弹性和安全的网络安全态势。

最后的想法

AI引导的社交工程攻击的成功最终取决于人类行为。通过专注于员工意识并实施强大的安全措施，组织可以保护自己免受这些不断演变的威胁。关键在于平衡的方法，利用AI的优势同时解决人性的脆弱性。

在与网络威胁的持续斗争中，AI是一把双刃剑。它可以用来发动复杂的攻击，但也可以成为防御的强大工具。通过理解AI在社交工程攻击中的作用并实施有效的策略来减轻这些风险，组织可以构建更加安全和有弹性的未来。

网络不法分子使用人工智能利器，对员工们发起社交工程及网络钓鱼攻击，需要我们利用人工智能工具发起反击，也需要我们教育员工们，给其一双慧眼，令其可识别基于人工智能的攻击行为。如果您对此话题有要话可讲，或者需要社交工程攻击相关的员工安全意识培训内容，欢迎不要客气地联系我们。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898