為了應對全球不斷推陳出新的勒索軟體、進階持續性威脅(APT)等攻擊手法,主要的網路安全防禦技術供應商皆有設立研究團隊,基於機器學習、深度演算模型等技術,輔助從每日蒐集的大數據中,解析惡意程式、攻擊策略與手法等威脅情資,以提高辨識的準確度。
隨著生成式人工智慧(GenAI)持續運用到各產業,網路安全技術供應商亦藉此開發出AI助手,可減少企業IT或資安人員的無效率工作,並藉由採用自然語言方式,執行威脅獵捕、調查與鑑識、回應風險等專業操作,縮短平均偵測時間(Mean Time to Detect,MTTD)及平均回應時間(Mean Time to Respond,MTTR)。
應用在資安領域的GenAI,正逐漸改變專業人員對於風險預測、偵測與回應的方式。例如,深偽技術(Deepfake)可生成逼真的虛假影像、音訊、影片,用來進行詐騙和攻擊。在Deepfake應用中,生成對抗網路(GAN)模型扮演著關鍵角色,GAN生成器負責生成偽造內容,GAN判別器則負責判斷真偽,兩者相互對抗,可不斷提升生成內容的逼真程度。對此,資安技術供應商開發的GenAI技術,則利用機器學習模型,特別是基於GAN的模型,來模擬網路攻擊和防禦策略。
對於技術供應商而言,運用GenAI可使資安防護機制快速進化,適應各種新變種的威脅。隨著持續訓練,AI模型將愈來愈能辨識資安數據的細微差別,揪出可能逃避偵測方法的惡意活動,提高整體防護能力。
漏洞利用嚴峻 GenAI輔助快速回應
根據Fortinet旗下威脅情資中心FortiGuard Labs發布的《2023下半年全球資安威脅報告》統計,在亞太區偵測到的9,703億次威脅中,台灣獨占四成,多達近4,000億次,這相當於台灣每秒約有1.3萬次威脅發生,儼然成為亞太地區網路安全攻防的主戰場。此外,在台灣偵測到的漏洞利用事件,較去年增加超過六成,達到61億次。FortiGuard Labs的調查顯示,漏洞從初始揭露到被利用的時間正在縮短,2023年下半年,攻擊者利用新發現漏洞的速度較上半年快了43%。這凸顯出軟硬體供應商須加強內部查找漏洞及開發補丁的速度,以及必須主動向客戶公開漏洞資訊,確保客戶在攻擊者利用漏洞進行滲透入侵之前就已增添保護數位資產的機制。
年初Check Point Research發布的《2024年網路安全報告》指出,過去一年來,遭勒索軟體感染公開的受害者總計增加90%,但屬於勒索軟體的攻擊,在所有Check Point偵測到的惡意軟體中只占一成。Check Point事件回應小組(CPIRT)發現,將近一半的攻擊事件涉及勒索軟體,遭公開勒索的受害機構飆升至約5,000家,較去年增加一倍。由此可發現,現代化攻擊活動相當擅長於繞過偵測機制,達到滲透入侵的目的。
面對2024年所帶來的網路安全挑戰,Check Point強調須密切關注勒索軟體的攻擊手法正在演變。駭客不僅改變了策略,還利用零時差漏洞來增強勒索軟體即服務(RaaS),並且開始鎖定更高價值的攻擊標的。對於IT或資安人員來說,運用GenAI技術輔助執行日常工作,可說是必然的趨勢,不僅是為了提高工作效率,當駭客開始利用AI技術作為攻擊武器,企業也要藉由AI才有能力抵禦。
為了更深入了解資安專業人士如何採用GenAI,Check Point與市場研究機構Vanson Bourne合作進行了一項研究。研究中發現,儘管超過70%的受訪者對自家的組織防禦能力有自信,但有89%的人承認,招聘合格的資安專業人員非常具有挑戰性,主因是網路安全技能落差阻礙了企業有效地防範利用AI技術發動的攻擊活動。
對此,多數企業正在轉向使用AI驅動的工具來增強網路安全,這包括事件偵測與回應、辨識已知與未知型惡意程式、資料外洩防護。
AI生成程式碼 風險控管亦須跟進
Palo Alto Networks日前公布最新《2024年雲端原生安全現狀報告》,揭示了企業對於AI發動的攻擊活動感到憂心,調查發現,近四成的雲端資安人員(38%)把運用AI策劃執行的攻擊視為首要關注課題。尤其是問及AI攻擊破壞機敏資料的可能性時,認同者比例高達89%,顯示出企業對於AI應用場域的資料保護需求。
這份2024年雲端原生安全現狀報告中亦提到,43%的受訪者認為,AI生成的程式碼比駭客用AI輔助發動攻擊活動更令人擔憂。由於演算法能夠自動生成程式碼,在缺乏人工監督的情形下,可能會產生未被發現的安全漏洞。
儘管如此,所有受訪者都表示目前正在採用AI輔助的應用程式開發。目前全球企業各自處於AI之旅的不同階段,大約有一半的受訪者(50%)廣泛使用AI來產生和最佳化程式碼,其中新加坡(60%)、印度(58%)和巴西(57%)居於領先地位。從這些調查數據可發現,AI對於全球企業IT帶來深遠的影響,無論在應對資安威脅手法還是開發應用程式方面,都須積極調整風險管控策略以適應這波AI應用趨勢。
威脅獵捕高風險 實現主動防護
隨著GenAI快速發展,既有網路安全技術供應商紛紛在自主研發的解決方案中整合OpenAI等大型語言模型(LLM)技術,增添了AI助手功能,例如Check Point推出Infinity AI Copilot功能,Fortinet推出FortiAI功能,Palo Alto Networks則稱為Precision AI等。首要的應用場景即是擁有龐大資料的資安維運中心(SOC)與資安事件管理平台(SIEM)。
SOC團隊可借助AI模型快速識別網路威脅模式,例如惡意程式、勒索軟體、異常網路流量等,以免駭客繞過傳統偵測機制而成功滲透入侵。SIEM平台加上GenAI,則有助於更精細的大數據分析與異常偵測。透過學習歷史資料,AI可建立正常網路存取行為的基準線,發生偏差值時予以標記並依照風險評分,讓IT或資安人員掌握資安態勢。並且亦可適應不斷演變的威脅手法,從行為風險分數偏高者開始追蹤調查,主動應對以降低可能演變成資安事件的機率。
傳統上,網路安全策略多半是被動的,也就是告警觸發或事件發生後,IT或資安人員才會採取行動。相較之下,AI驅動的工具則能在未知的惡意軟體造成實際損害前,預先判別並阻止其行動。這種前瞻性的主動措施,有助於企業在資安威脅造成實際損害前,準確地採取預防措施。
值得留意的是,過往仰賴資安領域專家執行的威脅獵捕(Threat Hunting),如今亦可交給AI助手來執行,採用自然語言方式揭示安全漏洞、弱點或新出現的高風險行為。IT或資安人員可根據威脅的發展態勢,調整優先處理的工作項目和風險管理策略,縮短應對潛在威脅的速度。
百工百業納入AI應用已是大勢所趨,且目前仍在快速發展中。藉由整合了機器學習、深度學習、GenAI技術的資安解決方案,可在各種應用場景中提高識別可疑活動的準確度。這種持續的學習機制,賦予企業有能力應對不斷演變的威脅手法,為未來可能出現的攻擊做好準備。