Orange Business 将 AI 集成到企业语音中,引发安全问题
Orange Business 正在将其企业语音平台嵌入生成性 AI,这一举措扩大了攻击面,并引入了新的数据安全和隐私风险。
MITRE ATT&CK® TTPs (2)
Click any technique to view details on attack.mitre.org
执行摘要
法国电信巨头Orange的企业分支Orange Business正在将其核心语音通信平台直接集成生成性人工智能(GenAI)能力。这一战略转变包括AI驱动的会议助手和会话分析等功能,从根本上改变了企业电话的安全模型。主要风险是通过在关键业务服务中引入新的AI处理流程和数据聚合点来扩大攻击面。虽然实施的安全具体技术细节没有公开披露,但集成创建了数据泄露、隐私侵犯和针对AI组件本身的供应链攻击的新潜在向量。
技术分析
根据供应商公告,技术架构涉及将GenAI模型嵌入到企业语音通信流程中,可能是通过API调用到基于云的大型语言模型(LLMs)。该平台被市场推广为“Business Voice Unlimited”,建议实时或通话后分析呼叫内容以提供摘要、行动项和情感分析。这需要对敏感语音数据及其相关的元数据进行持续或批量处理。安全影响取决于几个不透明因素:处理音频的数据居住和主权,AI模型API和训练数据的安全性,以及Orange电话基础设施与AI服务之间的数据管道的完整性。一个关键的未知数是音频是否在本地转录和分析,还是在Orange的安全云内,或者由第三方AI提供商处理,每种都有不同的威胁模型。电信和AI系统的融合创造了一个新的复合目标,其中一层的妥协可能会危及另一层。
入侵指标
目前没有识别出任何入侵指标。
战术、技术与程序
在没有观察到恶意活动的情况下,可以根据系统描述的功能理论化潜在的TTP。针对这一集成环境的威胁行为者可能采用的技术包括:
- T1190: 利用面向公众的应用程序 - 针对用于访问AI生成的呼叫摘要和分析的Web界面或API中的漏洞。
- T1552.001: 未加密的凭证 - 窃取用于在电话系统和AI处理后端之间进行身份验证的API密钥或服务凭证。
- T1574: 劫持执行流程 - 破坏负责处理音频数据的软件库或容器,然后将其发送进行AI分析。
- TA0010: 数据泄露 - 拦截或转移包含知识产权、财务数据或个人信息的转录呼叫文本的数据流,从AI处理管道中。
威胁行为者背景
目前没有特定的威胁行为者与针对Orange Business的AI语音集成有关。然而,该平台的配置使其成为多种行为者的有吸引力的目标。以间谍活动为重点的高级持续性威胁(APT)小组可能寻求访问以从高管通信中收集敏感的商业情报。以财务为动机的行为者可能会针对聚合的呼叫数据进行敲诈、内幕交易或公司欺诈。数据经纪人和雇佣监视公司也可能对系统旨在产生的丰富的行为和会话分析感兴趣。服务的供应链性质意味着对Orange Business或其AI提供商的攻击可能会影响所有下游企业客户。
缓解措施与建议
评估或部署AI集成电信服务的企业应采取严格的安全姿态:
- **要求技术和合同透明度:**要求供应商提供有关数据流图、AI模型来源、API安全性以及AI管道中数据传输和静态加密的具体详细信息。
- **执行数据治理:**通过合同和配置明确定义允许AI处理的呼叫类型(如果有)。建立严格的数据居住要求,并确保供应商能够遵守相关法规(GDPR等)。
- **分段和监控:**网络分段应隔离语音基础设施,监控应扩展以覆盖到任何新的AI服务端点的流量。
- **进行第三方风险评估:**将AI语音提供商视为供应链中的高风险供应商。评估应评估提供商自身的安全实践和事件响应能力。
- **用户意识和同意:**制定关于在业务呼叫中使用AI功能的明确内部政策,特别是关于敏感主题。在法律要求的地方获得明确的同意,并培训员工了解新的数据处理影响。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。