2024資安威脅報告-AI時代的威脅態勢

截至2023年，企業內的網路安全人員仍然相當匱乏，威脅者也意識到這弱點，所以想盡辦法滲透網路以獲取國防與經濟上的利益。雖然外部威脅是一個重大問題，但許多攻擊其實來自內部。有些攻擊是故意為之而有些是由於缺乏安全培訓和安全意識所造成的。以下為部分EC-Council 2023年的威脅報告：

風向的轉變：83%的受訪者指出，在AI革命中，攻擊方法發生了明顯的變化。 

83%的受訪者認為AI攻擊將迅速發展。企業必須對當今的AI威脅和趨勢保持警惕，確保安全人員取得最新認證並繼續進修技能，建立起員工的教育和網路。協作和培訓的機會越多，就越能替資安人員做好準備，應對AI和駭客的複雜威脅。 

AI對網路安全專業人員有何幫助?

威脅報告指出，AI可以幫助企業抵禦內部與外部威脅，協助資安人員進行自動化、監控和分析網路中的異常行為模式。在自動化進行冗長而耗時的任務如掃描數據、使用模式識別或分析較龐大的數據時，AI便可發揮作用。

除了使用AI自動執行任務外，機器學習也很重要。AI可以從過去的網路攻擊中學習，有利於快速熟練地識別新模式，AI也可以協助資安人員開發新的攻擊對策。AI只會越來越強，但一體兩面的是，沒有人知道它將如何影響公司，以及我們的對手將來將如何利用它來對付我們。

AI的威脅與弱點

儘管AI可能有許多好處，但人們對使用AI仍然感到擔憂。快速進步的AI技術也使安全人員難以跟上腳步，同時增加了資安專業人員的需求。

在實務上，缺乏培訓和教育的員工，會給公司帶來潛在威脅，當企業中沒有足夠的人員來學習資安專業時，通常只能讓IT人員在知識能力不夠的情況下擔任安全專業人員的角色，這種狀況是難以保護關鍵基礎設施的。

除了專業人力缺乏以外，企業還必須面更多風險，包括AI可能對選舉、醫療保健系統和公共安全問題構成的威脅。AI可以透過利用社會心理來影響社交媒體，同時透過創建深度偽造影片造成數據洩露和身份盜用。

AI的社交詭計：60%的人預測AI增強的社交工程將構成重大挑戰

如今，駭客和網路犯罪分子可以從各種來源收集大量資訊，並操縱這些數據來針對特定的個人或組織，稱為魚叉式網路釣魚(Spear Phishing)。AI增強的社交工程將使攻擊者能夠創建更複雜的自動化騙局。受訪者表示，56%的深偽攻擊變得更加普遍和難以防禦。

最難防禦的3大攻擊媒介：

網路釣魚流行： 86%的人是受害者

受訪者透露，許多企業在過去12個月中經歷了各種攻擊媒介。其中包括86%的網路釣魚、56%的惡意軟體和勒索軟體、69%的社交工程、23%的惡意內部人員以及61%的安全配置錯誤。網路釣魚仍然是公司遇到的最常見的攻擊媒介。

配置安全性：超過50%的受訪者認為存在配置錯誤問題

除了前五大攻擊媒介外，56%的受訪人員將安全配置錯誤列為最嚴重的安全漏洞。45%的受訪者則認為是易受攻擊和過時的元件。

Top 3應用程式安全漏洞

攻擊者將繼續想方設法操縱系統和網路，隨著攻擊工具變得更容易獲得與AI的快速發展，攻擊媒介將會持續增加，產生更多的安全問題。

惡意內部人員是組織中常見威脅

根據Cybersecurity and Infrastructure Security Agency (CISA)的說法，內部威脅是『有意或無意地使用其權限許可權來損害部門的使命、資源、人員、設施、資訊、設備、網路或系統的人』。

內部威脅的各種形式包括：暴力、間諜活動、破壞活動、盜竊等。有些企業可能會對自家員工過度信任，但必須記住，如果員工能夠觸及到任何東西或任何人，就可能是公司最大的威脅。隨時保持警惕、與員工互動以及定期提供有關公司政策和破壞性攻擊的培訓對於阻止內部威脅至關重要。

資料來源：EC-Council C|EH Threat Report 2024