EC-Council 2024 威脅報告：AI時代的網路威脅與CEH13

 

根據EC-Council 2024威脅報告，不斷提升的網路安全威脅與資安專業人員缺乏是現今許多企業的主要擔憂，AI的發展更加劇了大家的恐懼。這份報告訪問了各產業的資安專業人士，分享他們對於AI在網路攻擊中的看法。83%的參與者表示在這波AI革命中，攻擊方法已產生實質性的變化。報告也強調AI能協助組織防禦內外部威脅、協助IT與資安人員進行威脅偵測。82%的參與者則認為，應針對事件回應進行定期訓練。

攻擊者如何利用AI?

• AI能自動創建複雜的攻擊：77%的受訪者認為這是最重要的風險，因為AI沒有道德考量，創建攻擊沒有直接的責任歸屬。
• 創建自主學習的惡意軟體：現有工具難以應對AI創建的惡意軟體，對資安人員構成高度威脅，也加重資安人員負擔。
• 自動化網路釣魚和社交工程：詐騙團體利用AI能建立逼真的語音和影片。
• 自動化漏洞利用：68%的受訪者認為AI自動化漏洞偵測的能力對組織構成高度風險。

防禦者如何使用AI?

從積極面來看，AI也可以提供好處。Smith（2018）指出，使用AI和自動化可以減輕IT和資安人員的壓力。AI可以幫助提升防禦能力，如處理大量的數據，篩選評估正常和異常行為。自動化冗長且耗時的任務能夠發揮倍增效應，尤其在掃描數據、利用模式識別或識別網路入侵指標（IoCs）時，AI能輔助人類忽略的部分。除了自動化任務外，機器學習同樣至關重要。AI能夠從以往網路攻擊中學習，快速熟練識別新的攻擊模式。AI還能協助資安人員開發新的反制措施。

• 67%的受訪者認為AI應用有助於威脅檢測和鑑識。
• 66%的受訪者預測AI將有助於異常檢測。
• 51%的受訪者認為AI/ML可以改善惡意軟體檢測。

AI準備情況：66%的人承認對AI網路攻擊毫無準備

在組織內如果沒有專職資安人員時，企業常不得已用缺乏資安培訓的IT人員替代資安人員的工作，增加保護關鍵基礎設施的風險。其他風險因素包括AI可能對民主、選舉、醫療系統以及公共安全帶來威脅。AI能透過心理操控社會來影響社交媒體，並且通過創建和操控深度偽造影片來加劇資料外洩和身份盜竊。

聚焦零日漏洞：68%的人表示這是最嚴峻的挑戰

零日漏洞是指硬體或軟體中未知的漏洞，讓駭客在供應商修復漏洞之前發動攻擊。

AI 如何被用來避開傳統的安全系統偵測？

• 動態修改攻擊模式避開偵測演算法
• 模擬合法用戶行為繞過異常偵測系統
• 生成多態性惡意軟體避開基於簽名的防病毒解決方案
• 加密惡意有效負載避開網路入侵偵測系統

AI的社交詭計：60%的人預測AI增強的社交工程將構成重大挑戰

犯罪分子可以從各種來源收集大量訊息，並操縱這些數據來針對特定的個人或組織，這被稱為「定向釣魚」。AI增強的社交工程將使攻擊者能夠創造出更為精密、自動化的詐騙手段。深度偽造攻擊將變得更加普遍且更難防禦。最難防禦的三大攻擊面向：

1. AI零日漏洞利用（AI Zero-Day Exploits）
2. AI增強的社交工程（AI Enhanced Social Engineering）
3. 深度偽造攻擊（Deepfake Attacks）

網路釣魚盛行：86%的人表示曾受害

許多組織在過去12個月經歷了各種攻擊。包括86%的網路釣魚、56%的惡意軟體和勒索軟體、69%的社交工程、23%的內部惡意行為以及61%的安全配置錯誤。網路釣魚仍然是公司最常遇到的攻擊。

配置安全性：超過50%的人發生過錯誤配置問題

三大應用安全漏洞：56%的受訪者將錯誤的安全配置列為最嚴重的安全漏洞。45%的人認為是易受攻擊且過時的元件，42%的人則認為是身分驗證及Session管理上的缺失。

【如何利用威脅與漏洞報告結果幫助資安專業人士】

惡意內部人員是組織常見的威脅。根據網路安全和基礎設施安全局（CISA）的定義，內部威脅是"會利用其存取權限，有意或無意地損害部門的使命、資源、員工、設施、訊息、設備、網路或系統的人。"內部威脅有多種表現方式：如暴力、間諜行為、破壞、盜竊和網路攻擊。部分組織可能會對員工管理過於鬆懈，但擁有存取權限的員工，無論意圖如何，都可能成為公司最大的威脅。須保持警覺、與員工積極互動，並提供定期的公司政策和危險攻擊的訓練，對於防範內部威脅至關重要。

人為因素：67%的人表示組織缺乏高階資安人員

建議聘用具有最新認證的員工如：Certified Ethical Hacker (C|EH) 和 Certified Penetration Testing Professional (C|PENT)。這兩項認證提供了具有駭客思維的技能，並使專業人員熟悉最新的工具、攻擊方法。處理事件報告的專業人員可以考慮考取 Certified Incident Handler (E|CIH)、Certified Threat Intelligence (C|TIA) 和 Certified SOC Analyst (C|SA) 認證。

流量監控：73%的人強調監控異常網路模式的重要性

以下是可以幫助組織偵測網路威脅的前5大指標(IoC)

1. 異常網路流量模式 (Unusual Network Traffic Patterns)
2. 與惡意 IP 位址的出站連接 (Outbound Connections to Malicious IP Addresses)
3. 異常使用者行為 (Anomalous User Behavior)
4. 未經授權的存取 (Unauthorized Access Attempts)
5. 可疑檔案或程序 (Suspicious Files or Processes)

67%的參與者表示，注意惡意IP位址或網域的出站連線相當重要，在發生高使用率時針對關鍵網路資源發出警報，也有助偵測異常模式。限制網路資源存取的風險並監控入站和出站流量可以幫助偵測和減少潛在的內部威脅。每位員工都應設置特定的角色與對應資料存取權限。關鍵職能部門員工必須有資深人員的監督。

回應時間：62%的人表示需要超過2小時才能回應問題

一旦偵測到威脅，反應時間至關重要。被入侵的時間越長，駭客就有越多機會破壞網路或目標、竊取敏感資訊，24%的人表示，只有0-10%的攻擊能在60分鐘內由企業自己成功解決。

雲端攻擊動態：67%的人認為利用弱密碼或盜取憑證是雲端攻擊的主要手段

許多公司購買軟體時未能正確配置或在沙盒環境中進行充分測試，導致網路和資源暴露於風險中。軟體配置錯誤可能帶來虛假的安全感，使企業付出高額代價。過去五年企業為雲端投入大量資金，卻未能完全了解其安全影響。

雲端攻擊中最常見的策略、技術與程序（TTPs），依次為：

• 弱或竊取憑證的被利用（67%）
• 雲端儲存設定錯誤導致的資料外洩（65%）
• 帳戶劫持與未經授權的存取（59%）
• 雲端中不安全的應用程式部署（56%）

受訪者最常採取的防禦措施為

• 80%認為「多因素驗證（MFA）」是有效的方法
• 60%認為「存取控制與權限管理」
• 56%選擇「資料加密」作為核心防護手段
• 55%則強調「強密碼政策」及「定期更換帳號」

AI的防禦潛力：超過60%的人認為，AI培訓是緩解風險的關鍵

AI防禦系統雖然具有優勢，但開發過程往往耗時且成本高昂。由於資安人才短缺加上工作負擔沉重，投入時間和精力建立AI防禦系統可能相當具挑戰性，可以考慮委託具備自動化AI系統開發的公司來做。根據IBM的研究，AI系統能協助生命週期管理和機器學習的導入，這些解決方案能透過整合工具、流程和人力，提升效能並建立值得信賴的AI防護機制。

企業在導入AI和機器學習（ML）時，應事先了解其能力、制定明確的應用策略，並審慎評估其使用所帶來的影響。在導入AI之前，應確保所有用戶透過多元課程獲得必要的知識與技能。資安專家與AI研究人員的跨領域合作也至關重要。協作有助於深化AI安全知識，並為AI驅動的威脅偵測與防禦策略奠定堅實基礎。

繞過障礙：超過70%的人認為社交工程和零日漏洞是首要威脅手法

在AI領域的研究與合作中，需特別注意網路威脅常繞過現有安全防護的手法，包括以下幾種：

• 進階社交工程攻擊（Advanced Social Engineering） – 71%
• 零日漏洞攻擊（Zero-Day Exploits） – 70%
• 供應鏈攻擊（Supply Chain Attacks） – 45%

教育的優勢：82%的人支持定期進行事件回應培訓

處理資安事件的過程需要組織內部的規劃與評估。

• 82%的人認為定期訓練和網路演練非常有效。許多資安事件的發生，通常與員工行為有關。有些是刻意的惡意行為，但更多是因為缺乏資安意識。
• 74%的人指出即時監控是降低攻擊影響的第二大關鍵。透過持續監控，組織能迅速偵測異常行為，進而即時反應，防止事態擴大。
• 72%的人強調建立事件回應團隊與計劃至關重要。透過明確的角色分工和定期測試事件回應計劃，每位成員都能清楚了解自己的職責與應對措施。

資安防護的核心策略是「預防勝於應對」。當攻擊發生時，應立即執行預先制定的事件回應計劃，並詳細記錄整個過程，以累積組織的經驗和知識資產。持續改進事件處理流程，有助於強化偵察、應對和恢復的能力，降低未來類似攻擊的風險。

不斷演變的對手：42%的人預測AI的適應性會出現在攻擊模式中，以規避檢測演算法

攻擊手法正隨AI技術進步而日益精細，企業必須持續提升資安防護機制，避免成為下一個目標。

AI可以通過以下方式避開傳統安全系統的檢測：

1. 動態修改攻擊模式：利用AI自動改變攻擊模式，避開檢測識別。
2. 模仿合法用戶行為：AI可模擬正常用戶的行為，繞過異常檢測系統。
3. 生成多態性惡意軟體：使用AI創建變種的惡意軟體，逃避防毒軟體。
4. 加密惡意有效載荷：將惡意載荷加密，逃避網路入侵檢測系統。

道德駭客的訓練

定期網路演練、實時監控、建立事件應對小組和計劃以及提升威脅情報是防止攻擊的關鍵措施。超過60%的參與者認為定期審查和更新事件應對計劃至關重要，54%認為事後分析有助於行為分析並能提升對未來攻擊的理解。45%的人認為與外部合作夥伴的協作有助於減少攻擊的影響，42%認為開放的溝通管道也有同樣效果。

限制資源存取、工作角色訪問控制、實施"需要知道"的原則、使用防火牆、DMZ、蜜罐和負載均衡器等措施能夠提供幫助。執行訪問控制安全政策、設置人員登錄網路資源的時間限制、強制休假訪問政策和定期的職位輪換都是有效的策略。

此外，實施數據管理中的雙人完整性政策、更改密碼政策、網路監控工具和主機監控也能幫助分析網路中的異常活動。持續的安全培訓、更新公司政策、用戶網路許可協議和對人員使用虛擬私人網路（VPN）限制遠程存取等保護措施也非常有幫助。

道德駭客認證CEHv13

EC-Council的CEH是全球領先的道德駭客認證，早已被全球前500強企業與政府部門所採納。透過嚴格的五階段訓練：偵察、掃描、獲取訪問權限、維持訪問、掩蓋痕跡，合法滲透進入組織，識別最薄弱的環節、漏洞和配置錯誤的過程。學員可於EC-Council的iLab環境中磨練技能，也可以透過一系列的全球道德駭客競賽來證明自己的實力。全新的CEHv13更加入了AI相關內容，讓您學習到最新的工具與手法。

看詳細課程介紹：

EC-Council CEH駭客技術專家認證課程