資安攻擊隨著技術快速演變,許多資安機構示警,AI 正在驅動新的資安威脅──深偽技術更被視為 AI 最大潛在挑戰之一。駭客正在將 AI 武器化、使用最新對抗性 AI 技術(adversarial AI)技術竊取身分,並進行合成詐欺,誰是他們眼中的肥羊?
由於業務性質,金融服務最可能是面臨最先進、最長期網路威脅的產業。根據 TransUnion 調查,金融機構面臨超過 31 億美元的合成身分詐欺風險,此一風險在 2024 年成長了 14.2%;VPNRanks 則觀察到,深度偽造技術在美國已猛增 3,000%,2024 年增加 50~60%。
企業雖然逐漸明瞭能用 AI 提升防禦力,但可以從哪幾些面向做起?美國第二大零售貸款機構 Rate ,因為每天經手數十億筆敏感交易,自然成為網路犯罪份子的主要目標。而他們在一場專訪中分享如何以 AI 對抗 AI,進一步保護客戶、員工和合作夥伴身分資料的方法。
要監控每一筆交易,有什麼困難的?
「如果攻擊者只是竊取用戶憑證,那麼,即使是最好的端點保護也無濟於事。」Rate 資安資深副總裁 Katherine Mowen 表示,這項認知讓他們開始強化基於身分的異常偵測,並整合即時威脅回應機制。
Rate 最大的挑戰在於員工數量可能根據需求從 6,000 人飆升至 15,000 人,因此需要一個能輕鬆擴展權限規模並統一多個安全層的方法。此外,Rate 也需要確保每個地區、辦公室的最低存取權限、設定資源存取時間,同時監控每筆交易。
他們採用零信任框架並運用 AI 威脅模型,讓每個決策都圍繞著身分和持續驗證。如今,Rate 透過 AI 威脅建模,已經可以定義最低特權存取,並即時監控每筆交易和工作流程。這對於想提升防禦力的企業,可以帶來哪些啟發?
1. 身分是諸多技術堆疊的弱點
《VentureBeat》觀察,使用者的身分正在被駭客圍攻,還沒意識到這項威脅的企業,可能在 2025 年就會明白──因為身分往往被視為許多技術堆疊中的弱點,攻擊者會不斷調整技術來加以利用。
由於相關的攻擊增加,Rate 開始追蹤針對遠端工作員工身分的攻擊,並尋找平台工具來識別這些攻擊。根據 Rate 的經驗,他們打造 AI 威脅建模,用來持續透過身分驗證和異常檢測來保護憑證,並強調平台可視性、控制力帶來的幫助。
2. 用 AI 對抗 AI
Rate 的經驗顯示,使用 AI 驅動的資安防禦措施,可望有效抵抗對抗性 AI 技術,如網路釣魚、深度偽造和合成詐欺。其中,自動偵測和回應,可以減少識別和擊敗攻擊所需的時間。
3. 永遠優先考慮即時回應
速度是重要關鍵,因為攻擊者根據目標企業網路、安裝勒索軟體、搜尋身分識別管理系統和重新定向交易的速度已創下新記錄。根據 CrowdStrike 2024 年全球威脅報告,網路犯罪的平均爆發時間只有 62 分鐘。
為了應對這樣的威脅,Rate 公司採用「1-10-60」的 SOC (Securiry Operations Center)模型:1 分鐘偵測、10 分鐘分類、60 分鐘遏制威脅,來解決越來越短的檢測和回應時間。
為了讓人工智慧威脅建模能夠成功識別攻擊,Rate 指出其端點偵測和回應(EDR)、身分保護、雲端安全和其他模組都必須位於一個控制台下。Mowen 表示,「我的想法是,你的攻擊面不僅僅是你的基礎設施,也包含時間」,企業需要思考自身需要多長的時間做出回應。
4. 將「零信任」作為身分安全核心
每個組織都需要定義自己獨特的零信任方法,這對於金融服務、製造業等具有明確目標的產業尤其重要。零信任的核心是假設違規的情況已經發生,因此「監測」成了任何一個零信任框架的必備條件。
《VentureBeat》根據 Rate 經驗進一步建議,將零信任作為身分安全的核心,實施最小的特權存取、持續驗證身分,並監控每項活動,包含已經發生的違規事項。
5. 減少警報疲勞,用 AI 降低雜訊是優先事項
Mowen 表示,Rate 過去系統產生的噪音,多過於真正需要執行操作的警報。他們開始整合新平台和 SIEM (安全資訊和事件管理),即時地集中和分析日誌資料,用 AI 降低 SOC 和端點中的雜訊訊號,「現在,如果我們在凌晨 3 點接到通報,那幾乎是一個合理的威脅。」
《VentureBeat》指出,如果條件允許,企業可以自動化 SOC 工作流程,藉此減少警報轟炸的疲勞,並且讓分析師能進行二級、三級入侵分析。報導指出,Rate 的經驗關鍵在於,當整個 SOC 流程跟著改進、結合,AI 威脅監控將達到更好的效果,提高 AI 的準確性。
【推薦閱讀】
◆ AI 該自己建還是直接買?2025 年企業擴展 AI 的四大思考
*本文開放合作夥伴轉載,資料來源:《VentureBeat》、《TechOrange》1、《TechOrange》2,首圖來源:Pexel。