隨著人工智慧(AI)應用趨向多元,駭客大舉利用生成式AI的能力達到攻擊目的,使得資安威脅日益複雜。所幸企業若能有效運用AI技術強化防禦策略,便有望在最短時間內偵測異常、鎖定攻擊路徑並即時處理事件。
安碁資訊透過整合自家開發的WebGuard網站保全系統、以AI技術為核心的SOC監控方法論,以及「AI驅動資安快打部隊」,協助客戶快速辨識潛伏的資安風險,並在攻擊擴散前即時阻斷,進而降低損害並強化後續防禦能力。
安碁資訊技術副總黃瓊瑩指出,近年來,攻擊者已不再侷限於單一或傳統手段,而是透過生成式AI模型產出高度擬真且本地化的攻擊內容,包括釣魚郵件、惡意連結與附加檔案,以繞過常規防護機制。此類攻擊大量且快速地產生,顯著降低攻擊成本,並大幅提升受害者分辨真偽的難度。
面對生成式AI帶來的全新威脅類型,安碁資訊發展出適用於地端、雲端、雲地混合及零信任架構的SOC監控模式。黃瓊瑩說明,此方法論以MITRE ATT&CK知識庫為基礎,深入剖析攻擊技術與戰術,再結合DeTT&CT防禦概念,使防禦策略與攻擊樣態可直接對應。此外,安碁資訊參考美國網路安全中心(CIS)基準,以精準的監控指標、日誌記錄規範與合規要求補強傳統規範的不足,提升整體監控覆蓋面與成效。
自主研發AI模型貼近在地化應用需求
為更有效率地強化監控策略,安碁資訊長期投入AI研發,建構「AI-Driven SOC」架構。自主開發的AI模型可針對本地特有的攻擊情境優化,並快速迭代調整,有效提升模型解釋度與透明度,使資安人員能清楚理解AI判斷依據,並在偵測偏差時快速微調模型參數。面對台灣特殊的地緣政治與社會文化因素,安碁資訊的AI模型可更即時回應本地化威脅,如俄羅斯駭客組織對台灣發動DDoS攻擊的案例,讓模型能迅速提煉出具有高偵測價值的特徵。
安碁資訊技術副總黃瓊瑩指出,安碁資訊自主研發AI模型,基於長期累積的大數據,以監督與非監督學習方法,訓練出具可解釋性且符合台灣本地特性的風險指標,並實作可推廣的解決方案。
黃瓊瑩認為,國際IT大廠提供的AI模型服務可用性雖高,但面對實務應用時,往往缺乏透明度與可解釋性。當模型判斷結果出現偏差,用戶難以得知該調整哪些參數或資料,亦無從理解最終決策的邏輯基礎。然而,安碁資訊自主研發的AI,每一行程式皆由團隊自行設計、優化,不僅能保障敏感資訊的安全性,更因技術掌握在自家手中,得以依照實際需求快速迭代,進而提供可解釋、可調整的模型成果。
台灣地緣政治與社會文化環境的特殊性,也為本地企業帶來與國際市場不同的安全挑戰與行為樣態。安碁資訊自主開發的AI模型,從大量日誌、資安事件樣態中提煉特徵,並因應特殊攻擊行為的出現,可在第一時間取得高價值威脅情資,有助AI模型快速學習並生成適用於台灣環境的偵測與防禦機制,藉此讓模型更加貼近本地客戶的實務需求,也能在未來面對新型態攻擊時,即時進行調整與強化。
WebGuard網站保全系統抵禦初始入侵
安碁資訊在自主研發AI技術後,並非只停留在概念層面,而是著力於具體場域的資安防護應用。黃瓊瑩表示,根據安碁資訊截至2024年11月的資安事件調查結果,2024年度的入侵事件中,有超過四成的初始入侵攻擊點來自對外提供應用服務的網站,排名第二的則是釣魚網頁,兩者相加已逾七成。由此顯示,網頁應用程式若能優先強化安全控管,將可大幅降低資安風險。
對此,安碁資訊推出WebGuard網站保全系統,以動靜態檢測兼備的方式,對網站資安進行強化。透過WebGuard,不僅能揪出網站內已潛伏許久的惡意後門程式(靜態檢測),也能及早偵測未來可能出現的新攻擊手法(動態檢測),達成即時且持續的防禦效果。
黃瓊瑩進一步說明,在過去的實務案例中,安碁資訊發現部分客戶網站早已遭受入侵,甚至存有不明程式或後門,卻長期未被發覺。WebGuard的設計理念便是透過AI技術與專家智慧,先清查既有問題,再持續偵測新威脅。安碁資訊技術團隊在長期分析與整理資安事件資料後,萃取出能真實反映威脅行為的特徵樣態,將之融入WebGuard的監控模組中。若將此服務應用在中小企業環境,由於它部署簡便、代理程式輕量化,組織無需添購大批設備或仰賴專業人力,也能快速建立網站安全的基本防線。
至於實作方式,用戶只需在網站環境中安裝輕量代理程式,註冊並啟用WebGuard服務,即可開始即時監控使用者行為及掃描網站伺服器檔案。透過AI技術對檔案型態、特徵值進行分析,系統能準確地辨識出可疑行為與惡意程式,並在攻擊成形之前即時攔截,以降低網站成為攻擊者跳板的風險。
資安快打部隊還原受駭全貌
在現今高科技產業頻繁遭受國際駭客組織鎖定攻擊的狀況下,資安事件的處理速度與精準度已成為關鍵要素。安碁資訊提供的「AI驅動資安快打部隊」正是為了在資安事故發生後,能迅速且有效地協助企業恢復運作,並同時釐清攻擊路徑、蒐集相關證據,以利後續的數位鑑識與防護優化。
黃瓊瑩從實際面觀察,受駭企業往往希望快速復原系統,以降低營運中斷造成的損失。問題是,數位鑑識工作必須盡可能維持事故現場,以利完整蒐證。然而若延遲太久,將面臨營運損失與管理單位壓力;若過早復原,可能破壞關鍵證據,導致事件源頭不明。面對這樣的兩難,安碁資訊運用自主研發的AI模型與自動化工具,在事件發生後,以專屬工具快速收集並儲存所有相關記錄(如防火牆、郵件伺服器及關鍵系統的原始檔案與日誌),並將證據集中於隔離的安全區域。透過這個程序,企業得以迅速展開系統回復作業(如重新格式化及安裝系統)而不致破壞證據,數位鑑識人員則可在後端同步進行深度分析。
數位鑑識的最終目標在於還原整個攻擊事件的全貌,並找出被利用的弱點,預防後續再度遭受同樣手法入侵,安碁資訊的AI驅動資安快打部隊正可協助落實。在確認整體攻擊流程後,安碁資訊團隊將所取得的資訊回饋至企業的資安防護體系中,以進一步優化防護策略。透過這些回饋機制,企業不僅能及時止血、快速復原,更能在未來面對類似攻擊時,有效降低風險並縮短反制時間。