《神隱任務》電影中,主角湯姆克魯斯正躲避警察追緝,下一秒,他的臉竟被換成其他人,卻看不出絲毫破綻。「這就是AI的能力,甚至連聲音都能換。」全球前三大網路安全公司Palo Alto Networks台灣區總經理尤惠生接受《今周刊》專訪時說道。除了提升工作效率,AI也已成為網路犯罪者常用的工具,隨著應用層面擴大,AI究竟對資安帶來哪些威脅?企業該如何防範?
「自ChatGPT問世後,新型態的詐騙、未知惡意程式越來越多。」Palo Alto Networks台灣區技術總監蕭松瀛指出,在ChatGPT出現後,與它功能類似或模仿的網站大幅增加,人們可能不清楚真實網站的樣貌,或是想搜尋可替代的方案,就會進到這類網站註冊,網路犯罪者便趁機植入惡意程式,或進行詐騙。
根據Palo Alto Networks威脅情報小組調查,從2022 年 11 月至 2023 年 4 月間,與 ChatGPT 相關的良性和惡意網域,每月註冊量增加了910%,且幾乎都在試圖模仿ChatGPT;另外,從URL(網址)過濾系統中,每天還檢測到多達118個與ChatGPT相關的惡意網址,「隨著數百萬人使用 ChatGPT,我們看到相關騙局不足為奇,這些騙局在過去一年中呈爆炸式增長,因為網路犯罪者正利用 AI 話題炒作。」
再來,隨著AI應用越來越廣,BEC(商務電子郵件入侵)詐騙數量同樣在成長。BEC詐騙又稱為「變臉詐騙」,指的是犯罪者偽裝成主管、供應商,透過偽造的電子郵件帳號及資訊,與被害者互動並詐騙。
蕭松瀛說,現在越來越多犯罪者利用生成式AI,模擬出老闆的語氣,自動化撰寫電子郵件,不但速度快、規模大,詐騙成功率也提高。「以前可能不小心打成中國用語,一下就被識破,但現在AI透過學習,偽造出來的東西是非常難分辨的。」
第三項趨勢,則是用AI生成,且能夠閃躲掉防毒軟體的惡意程式,數量正在上升。據調查,在使用營運技術(OT)的產業中,惡意軟體正在增加,其中製造業、公用事業和能源業,從2021年到2022年,每個組織遭受惡意軟體攻擊的平均數量增加超過2.3倍。蕭松瀛指出,AI模型先學習如何躲掉資安產品的偵測,駭客再利用AI,生成具備這種特性的惡意程式,導致就算裝了防毒軟體,也查不到惡意程式入侵,且這類程式很常被夾帶在釣魚郵件中,誘導被害人點擊。
面對AI被駭客利用為犯罪工具,企業還能怎麼做?
「現在駭客都會用AI、機器學習來攻擊你,作為阻擋方,資安產品也必須具備這些能力。」尤惠生說,首先,企業資安防護產品需導入AI偵測惡意程式,並能自動化處理攻擊事件。舉例來說,傳統的資安防護,遇到攻擊時只會發出警告,且會以單一事件處理,無法判斷整體風險。但有自動化功能的資安產品,可以控制不同的裝置,在遇到攻擊或偵測到風險時,自動採取應對措施。
除此之外,企業也應採取「零信任」架構,零信任分為三階段:身份辨識、設備辨識、信任推斷。身份辨識即用雙重以上方式,確認使用者身份;設備辨識則是確定設備是否為公司合法設備、健康狀態、防毒軟體有沒有正常啟動等;最後信任推斷會有一組模型,替使用者帳號計算分數,分數越高表示該帳號越危險,很可能已經被攻擊,需要隔離。
尤惠生指出,目前台灣企業都仍停留在前兩階段,只少還要1到2年,才能建立完整的零信任架構。
根據該公司調查顯示,台灣勒索軟體攻擊數量為全球第12名;在日本及亞太地區排第3,排名都較2022年提升,且攻擊數量也比前一年成長121%,受攻擊對象同樣聚集在製造、法律服務及高科技產業。不過,正是因為被「打怕了」,尤惠生認為,台灣企業資安防護進步的速度,相較於其他國家已經算快,而近年來政府法規的訂定與執行,也已讓業者的資安意識快速提升。
