謝至恩2023 年是 AI 大軍壓境的一年,所有產業無不受到人工智慧技術的影響,包括資訊安全。在趨勢科技發表 2024 資安年度預測報告中,特別強調了新興科技如生成式 AI 和區塊鏈對人類生活的滲透,以及企業日益依賴雲端和供應鏈整合所帶來的安全挑戰。報告中警告,駭客正利用傳統和新型態的攻擊手段進化其操作模式,並呼籲企業和個人需隨時保持警覺,依賴可靠的威脅情報並制訂前瞻性的防禦策略。
趨勢科技台灣區總經理洪偉淦指出:「2023 年生成式 AI 技術的出現為人們提供了對 AI 應用的新想像。這些技術的突破不僅成為企業競爭的基石,也成為駭客的新型武器。傳統攻擊並未因此消失,反而駭客集團利用這些新技術來加強自身的攻擊能力和效率,進而放大資安事件的影響力。」
在 2024 資安年度預測報告中,趨勢科技核心技術部資深協理張裕敏指出有五大威脅需要企業特別關注:
一、雲端環境將出現自動化蠕蟲:使用雲端服務已成常態,但許多企業仍誤以為雲端安全全權由服務提供商負責。事實上,資安責任是共享的。 2023 年,我們見證了數宗重大事件,包括 GitHub 帳戶被駭用於挖礦,以及針對 AWS 、 Cloudflare 、微軟和 Google 等的大規模 DDoS 攻擊。基於這些事件,我們預測 2024 年可能會出現大規模的雲端原生蠕蟲攻擊,這些蠕蟲能自我繁殖並快速擴散,進而攻擊更多的目標。
二、以社交工程與資料下毒手法對付生成式 AI 與大型語言模型:資料外洩的問題日益嚴重,其中不乏雲端和機器學習模型的安全漏洞。 2024 年,我們可能會看到駭客利用機器學習模型的漏洞,通過特定提問方式盜取訓練資料。另一方面,駭客可能會透過竄改或污染 AI 學習資料,試著操縱大型語言模型,使其成為駭客入侵或散播惡意軟體的幫兇。
三、軟體供應鏈成為駭客攻擊的重點:隨著企業越來越依賴雲端開發工具和第三方應用程式,駭客將集中力量攻擊軟體供應鏈,實施「攻擊單一軟體,全供應鏈受害」的策略。
四、 AI 在犯罪活動中的使用:駭客將利用 AI 技術如自然語言處理與語音合成技術,強化傳統的社交工程攻擊。透過生成式 AI,可以撰寫更逼真的釣魚訊息,或利用 AI 合成的語音與影像來模仿特定人士達到詐騙的目的,這種技術在商業詐騙如 CEO 詐騙法中特別有效,預計 2024 年將更為猖獗。
五、私有區塊鏈攻擊的增加:越來越多企業將區塊鏈技術用於降低營運成本,但其儲存的珍貴資料也成為駭客的目標。駭客不僅攻擊公有區塊鏈,還將瞄準私有區塊鏈,並試圖搜刮金鑰篡改區塊鏈資料、寫入惡意資料再勒索贖金等。如果駭客掌控了足夠的關鍵節點,就能將整個區塊鏈加密,讓區塊鏈完全無法動彈,進而勒索鉅額贖金。因此,企業在推出一些仰賴許可制區塊鏈網路來運作的服務時,務必確保其網路節點要足夠分散,以抵禦潛在的網路攻擊和中斷。
張裕敏表示:「不論是個人或企業皆需審慎評估科技躍進所帶來的利與弊,方能『安全地』享受創新所帶來的益處。除此之外,我們建議企業應導入零信任策略於每個風險生命週期內,採用整合式資安平台來管理日漸增多的工作負載與防禦措施,並持續強化供應鏈安全,有效的資安風險管理及防禦策略方能提升營運韌性。」