2024資安威脅報告-大AI時代的網路安全

截至2023年，企業內的網路安全人員仍然相當匱乏，威脅者也意識到這弱點，所以想盡辦法滲透網路以獲取國防與經濟上的利益。雖然外部威脅是一個重大問題，但許多攻擊其實來自內部。有些攻擊是故意為之而有些是由於缺乏安全培訓和安全意識所造成的。

2022年美國總統拜登簽署《加強美國網路安全法案》(Strengthening American Cybersecurity Act)以實現網路安全防禦的現代化，重點在於加強聯邦政府與各級政府之間的合作。

(1)組織跨部門委員會，對網路安全威脅的報告進行標準化

(2)組成勒索軟體攻擊的小組

(3)執行一個以識別資訊系統弱點與此類攻擊的試驗方案。

EC-Council 2023年的威脅報告

調查報告的主要結果：

83%的人注意到AI革命中，攻擊方法發生了明顯變化

80%的人採用多重要素驗證來對抗前5大雲端威脅策略和程序(TTPs)

82%的人支持事件回應所需的定期培訓

68%的人將零時差攻擊視為最重要的挑戰

70%以上的人認為社交工程和零時差漏洞為最嚴重的威脅面向

66%的人承認對AI時代的網路攻擊尚未做好準備

Top 3應用程式安全漏洞

安全性配置錯誤、易受攻擊與過時的元件、身份驗證管理問題

2024的威脅態勢

AI正在改變人們的生活方式、組織和系統的運作，AI仍處於起步階段，然而企業需要更加了解AI的能力、局限性和未來方向。

攻擊者如何利用AI

前4大風險包括：

☆自動創建的精密攻擊 (Automated creation of sophisticated attacks)

☆自主創建和自主學習的惡意軟體(Creation of autonomous and self-learning malware)

☆自動漏洞利用(Automated vulnerability exploitation)

☆自動網路釣魚和社交工程(Automated phishing and social engineering) 

使用AI自動創建精密攻擊是最主要的風險之一，截至目前為止，對於AI創建精密攻擊沒有直接的責任歸屬，也沒有真正的法律後果。AI不但沒有牽涉倫理問題，還消除了運作和執行攻擊的人為因素。

同樣的概念也適用於自主性和自學的惡意軟體，AI學習自行創建惡意軟體且沒有辦法監督，對於資安人員來說是相當擔憂的問題。

目前監控和阻擋惡意軟體攻擊的工具對於由AI自主創建的攻擊已經不足夠，資料中包含各種方法、演算法和大量數據的精密攻擊，變得非常難以對抗。

自動化釣魚和社交工程的使用也是AI應用的另一種擔憂。釣魚和社交工程是全球組織的日常威脅，已有越來越多的電子郵件、電話推銷和社交媒體攻擊。根據Baker(2023)在IdentityIQ的調查，AI可以使詐騙者透過仿冒創造出高度逼真的語音和語音合成，自動化進行釣魚活動，製作假影片並操縱社交媒體平台，這些策略使得區分真偽更加困難。

防禦者如何使用AI

網路攻擊正在不斷發展，如今企業無法應付這麼多的攻擊。在網路安全方面，IT行業普遍缺乏安全技術人員的部分原因是專業人員需要長時間工作，也需要耐心、資源、知識和經驗。

但樂觀來看，AI可以解決人才短缺的需求。Smith(2018)指出，使用AI和自動化可以緩解IT和網路安全專業人員面臨的一些壓力。包括自動化IT團隊工作流程的冗長和重複性任務，例如測試、基礎威脅分析。

在最近的一項調查中，受訪者被問及人工智慧/機器學習如何幫助企業組織維持網路安全。以下是調查結果：

★67%的AI應用有助於威脅檢測和取證

★66%的人預測AI將有助於異常檢測

★51%的人相信利用人工智能/機器學習可以提高惡意軟體的檢測能力

資料來源：EC-Council C|EH Threat Report 2024