在當前數位轉型與資訊科技快速發展的時代,生成式AI(Generative AI,GAI)的興起,不僅促進了各行各業的創新與營運效率,也使資安威脅變得更加多元且複雜。尤其是常見利用社交工程發動的釣魚攻擊,更是難以僅憑肉眼辨別真偽。作為資安防禦核心的監控服務(Security Operation Center,SOC),亦須擴展AI應用範疇,才足以達到即時辨識、保障資安服務品質。
生成式AI已成為攻擊者的重要工具,它能以極高效率生成高度擬真的釣魚郵件與社交工程攻擊內容,並能準確模擬不同地區的語言與文化習慣,讓受害者難以辨識。安碁資訊技術副總黃瓊瑩舉例,攻擊者利用生成式AI創建了一封以機構內部名義發出的郵件,成功誘使多名員工點擊內含惡意軟體的連結,導致公司核心伺服器遭到入侵。不僅提高成功率,還有效繞過傳統防禦機制,對資安防禦帶來巨大挑戰。
除了技術層面的進步,生成式AI還助長了地下經濟的興起,特別是在初始入侵代理(Initial Access Broker,IAB)模式中表現得尤為顯著。數聯資安技術副總游承儒說明,IAB是一種地下經濟模式,攻擊者把透過釣魚郵件或社交工程獲得的帳號密碼等資源,轉售給其他犯罪組織或勒索集團。這種模式使得攻擊者的分工更加明確,大幅提高了活動效率與規模。就2024年來看,游承儒指出,協助客戶處理的資安事件中,有超過七成的攻擊涉及到攻擊者取得受駭者的合法存取憑證,而非傳統的漏洞利用。這一趨勢揭示出生成式AI對整個攻擊生態的深遠影響。
BEC應對策略與防範措施
生成式AI技術快速演進,亦恐使得近年來商業電子郵件詐騙(BEC)更加猖獗。中華資安國際SOC服務部協理邱永興指出,詐騙者通常利用社交工程手法,假借公司變更匯款帳戶等理由,誘使企業進行錯誤的資金轉移,造成財務損失和內部糾紛。因此,在面對這類威脅時,企業需要建立全面的防禦機制,並從事前、事中到事後的各階段進行應對。
他進一步說明,在事前防範方面,須著重於提高員工安全意識。企業應積極推動教育訓練,提升員工對電子郵件詐騙的警覺性與認知。例如,透過專業的資安演練與職業工程訓練,協助員工辨識可疑信件與行為。同時,企業也必須理解,即便防禦機制完善,攻擊者仍可能利用「人性弱點」突破防線。生成式AI等新興技術更是讓詐騙信件變得更加逼真,對企業員工的判斷力造成極大挑戰。
針對事中監控,則藉由部署資安防禦工具實施控管措施。若員工不慎點擊詐騙郵件中的惡意連結或附件,企業需立即進行端點行為偵測與回應。透過端點檢測與回應(MDR)系統,偵測異常行為並發出警示;進一步交由SOC服務團隊進行分析處理。
SOC可運用使用者行為分析(UEBA)模型,來提高辨識異常行為的準確度,並於早期階段阻斷潛在威脅。
至於事後應對,邱永興認為可強化聯防機制與事件回報。除了個人識別詐騙信件外,企業應建立聯防機制,確保資訊單位或資安團隊能迅速分析與處理潛在威脅。例如,若員工收到可疑郵件,應立即上報資安部門,讓團隊確認是否有其他人亦收到相同信件,並進行全面的威脅偵測與防範。同時,資安團隊也可協助企業進一步分析詐騙信件來源與手法,降低風險擴散。
MITRE ATT&CK矩陣辨識惡意活動
面對嚴峻的資安挑戰,SOC的角色與功能正經歷顯著的轉變。傳統SOC的主要任務是收集與分析企業內外的資安日誌,提供異常行為的告警與回應。但隨著威脅日益多元化,SOC逐漸整合更多先進技術,例如機器學習(Machine Learning)與深度學習(Deep Learning),以提升其監控效能。在此過程中,MITRE ATT&CK矩陣可說是資安領域公認的準則,其提供的攻擊行為知識庫,幫助SOC建立更為全面的監控規則,藉此有效應對不同類型的攻擊行為。
MITRE ATT&CK矩陣的核心是對駭客攻擊過程進行系統化的分解,涵蓋從初始存取到最終目標實現的每一步驟。黃瓊瑩舉例,當駭客利用生成式AI設計高度針對性的釣魚郵件並成功侵入企業系統後,SOC可以透過行為分析技術,快速識別駭客的後續動作,如內部橫向移動、權限提升或資料外洩等。
實際上,SOC團隊本就擅長藉由演算法來解析龐大日誌,如今亦可借助生成式AI技術,模擬多種攻擊腳本,用於教育訓練與攻擊模擬演練(BAS)。這種方法有助於提高員工的資安意識,並驗證企業現有防禦措施的有效性。
同時,新型態的SOC也逐漸朝向採用演算模型運行風險基礎分析(Risk-Based Analysis)來取代傳統的模式匹配方式。透過計算每個告警的風險值,SOC能更有效地篩選出高優先級的威脅,減少誤報對企業運營的干擾。
除了技術層面的革新,生成式AI的出現還促使SOC服務供應商重新思考其服務模式與方法論。例如,許多SOC服務商開始將零信任架構(Zero Trust Architecture)納入其防禦策略。零信任架構強調「永不信任,持續驗證」,這需要SOC提供更細緻的監控與動態授權機制。透過結合靜態指標(例如角色存取控制)與動態指標(例如地點、時間、設備合規性),零信任架構為企業提供了多層次的防禦能力。
此外,SOC還需幫助企業建立一套完善的事件應對機制,例如透過定期演練模擬生成式AI攻擊場景,提高員工的應變能力與資安意識;並在事後通過事件回溯與根因分析工具,快速定位問題並加強系統防禦能力。
自主研發AI對抗AI
生成式AI帶來的攻擊威脅不容小覷,資安防禦必須從「設備導向」轉向「AI驅動」的監控與分析。透過MITRE ATT&CK矩陣、風險基礎分析,以及自主研發AI模型,企業能有效提升SOC的監控覆蓋率與威脅應對能力。
黃瓊瑩說明,之所以要自主研發AI應用,首先,自主研發AI能掌握完整的技術邏輯與數據來源,確保系統的可解釋性。他指出,儘管國際市場上商用AI模型表現相當亮眼,但其判斷邏輯無法被完全掌握,自主研發則能根據本地樣態進行最佳化。
其次,基於地緣政治因素,台灣企業面臨獨特的資安威脅,自主研發的AI更能適應本地攻擊特性。例如,日前俄羅斯駭客組織曾對台灣發動大規模DDoS攻擊,而安碁資訊透過AI模型第一時間掌握攻擊情資,提供有效防禦。第三個自主研發AI模型的因素是持續改良能力,能隨時根據企業或組織需求進行調整與優化。如此一來,完善「以AI來對抗AI攻擊」,才能確保資安防線穩固。