新研究显示,AI 网络攻击的威胁是新西兰企业最关心的问题
快速阅读: 《舀》消息,科迪亚的新研究显示,28%的新西兰大型企业视人工智能生成的网络攻击为主要威胁。近60%的企业在2024年遭遇网络攻击,43%由电子邮件钓鱼引起。阿莱斯特·米勒指出,金钱是主要动机,企业需加强基本网络安全措施和风险应对计划。尽管86%的企业有响应计划,但仅一半进行过演练。
人工智能网络攻击威胁成为新西兰企业关注的首要问题,最新研究显示
2025年3月11日,上午9:13 新闻稿:科迪亚 2025年3月11日 – 科迪亚的新独立研究显示,超过四分之一(28%)的新西兰大型组织认为人工智能生成的网络攻击是对他们业务的主要威胁,尽管只有6%的网络漏洞被归因于人工智能生成的攻击。
在作为科迪亚年度新西兰商业网络安全报告一部分调查的295家员工人数超过50人的企业中:
* 近三分之二(59%)的新西兰企业在2024年遭受了网络攻击或事件。
* 所有网络攻击和事件中有43%是由电子邮件钓鱼攻击引起的。
* 几乎十分之一的企业因网络事件而支付了赎金或勒索要求。
* 16%的网络事件导致个人身份信息(PII)被泄露或被盗。
* 22%的网络事件导致运营中断。
* 19%的网络事件与第三方的漏洞或攻击有关。
阿莱斯特·米勒 – 欧拉信息安全。照片/提供。阿莱斯特·米勒,科迪亚拥有的欧拉信息安全公司的首席安全顾问表示,这些发现反映了人工智能技术的普及,导致了针对企业的社会工程和网络钓鱼攻击增加。“人工智能降低了网络犯罪分子进行社会工程活动所需的成本和时间投资。因此,我们看到越来越多的企业报告涉及复杂的电子邮件钓鱼攻击,这种情况预计将继续增加。”
米勒表示,该报告揭示了金钱收益是针对新西兰企业攻击的主要动机。“金钱是动机所在。这就是为什么看到被盗的个人信息、知识产权、商业敏感数据和业务中断等后果并不令人意外。这些都是网络犯罪分子可以用来对企业施加压力以支付勒索或勒索要求的内容。”
米勒继续说道:“尽管如此,许多接受调查的企业仍未实施基本的网络安全措施,或将网络安全提升为公司董事会面临的主要风险。‘令人遗憾的是,新西兰企业在这方面落后了——约三分之一的企业表示他们不对董事会汇报任何网络安全风险,约一半的企业没有演练过他们的网络安全响应计划,’ 米勒说。‘考虑到我们调查的企业是全国最大的一些企业和最大的雇主之一,我们希望看到更多关于网络安全的关注。’”
这份报告揭示,尽管对网络犯罪和其可能给新西兰企业带来的毁灭性影响有所担忧,但仍然不够重视。建立和维护强大的网络安全态势归根结底是要做好基本工作,采取基于风险的方法,并始终保持对新出现和不断演变的威胁保持警惕。
人工智能的兴起:对新西兰企业的双刃剑
尼尔·利文斯顿 – 科迪亚。照片/提供。该报告揭示了人工智能如何重塑新西兰企业对网络安全的行为和态度,以及网络犯罪性质的变化。“人工智能生成的网络攻击是网络犯罪的新前沿,”米勒解释道。“越来越先进的AI技术的民主化已经将网络犯罪的效果和速度推到了前所未有的高度。”
米勒指出,最近大语言模型在人工智能生成的网络钓鱼攻击中的应用就是一个例子。它不仅使攻击者能够通过模仿写作风格或及时上下文化信息来实现更高的个性化和适应性,还实现了更高水平的自动化,从而成为网络犯罪分子一种高度可扩展且极其高效的方法。
在2024年声称其企业遭受网络攻击或事件的59%的受访者中,有43%的人因电子邮件钓鱼攻击而受到影响。“这些数字很高,我们知道它们在很大程度上可以归因于人工智能生成的网络犯罪策略的增加。”
但是,当谈到人工智能时,网络犯罪分子并不是新西兰企业唯一需要担心的问题。超过四分之一(28%)的受访者将人工智能生成的网络攻击视为其企业安全态势的威胁。米勒表示,影子人工智能——员工未经授权在工作中使用人工智能工具——加剧了人们对员工将企业置于风险中的担忧。
四分之一(25%)的受访者将员工意识和行为视为改善其网络安全态势的主要挑战,六分之一(16%)的受访者则将不当使用人工智能列为另一个主要挑战。“员工要么未经公司知情就访问像ChatGPT这样的AI工具,要么不遵循任何关于数据管理的指南以防止公司数据暴露给AI训练模型,例如通过向AI提供商业敏感或私人信息。因此,即使AI的实施相对较新,我们已经看到了一些由于不良AI使用所导致的后果。”
我们知道网络犯罪分子通常使用被盗的凭证登录,而不是通过黑客手段侵入您的企业。因此,拥有单一的身份管理系统,例如,将大大减少攻击者未被察觉地进入系统的机会。米勒表示,关于网络安全的讨论应该从董事会开始。“好消息是,新西兰的企业越来越认识到网络安全不仅仅是‘IT问题’,而是业务的战略性推动力,也是企业范围内的风险管理问题。”
网络攻击是“何时而非是否”的问题,米勒说,鉴于董事会在事件发生前、期间和之后的响应管理中扮演着关键角色,正确处理这个问题是企业及其董事会加强安全态势的一个很好的起点。“我们知道近三分之二的新西兰企业在过去一年中遭受了网络攻击,因此制定网络事件响应计划应该是至关重要的。但工作并没有就此结束;您还必须定期练习您的计划以验证其是否适用。”
不幸的是,新西兰的企业在这方面也陷入了自满。我们的调查显示,尽管86%的企业制定了网络安全事件响应计划,但只有大约一半的企业进行了演练。
(以上内容均由Ai生成)
