請更新您的瀏覽器

您使用的瀏覽器版本較舊,已不再受支援。建議您更新瀏覽器版本,以獲得最佳使用體驗。

AI翻轉網路攻防戰局 倫理駭客:企業須採「假定遭入侵」思維

商傳媒

更新於 11小時前 • 發布於 6小時前 • service@sunmedia.tw (商傳媒 SUN MEDIA)

商傳媒|葉安庭/綜合外電報導

資深資安研究員暨倫理駭客Philippe Caturegli表示,人工智慧(AI)正全面重塑網路安全攻防樣貌,不僅讓資安專家能更有效率地找出潛在漏洞,也大幅降低了惡意攻擊者的技術門檻。他建議企業應重新審視資安策略,採取「假定遭入侵」的思維來應對新型威脅。

Philippe Caturegli曾與凱文·米特尼克(Kevin Mitnick)、布萊恩·克雷布斯(Brian Krebs)等資安專家合作,他指出,儘管Anthropic開發的Mythos和Fable等AI模型功能強大,但市場上對AI的許多炒作仍受行銷驅動。然而,AI工具確實賦予滲透測試(penetration testing,模擬駭客攻擊以找出系統弱點)人員更強大的能力,能以更少資源完成更多任務,快速發掘以往需耗費數週甚至數月才能找到的隱蔽漏洞。

他分享自身經驗,團隊曾對客戶系統進行四年滲透測試,即便取得原始碼,仍錯失一個關鍵漏洞。然而,藉助AI,Caturegli在應用程式碼中發現了之前被忽略的漏洞,該漏洞利用PHP語言中寬鬆的比較運算子(==而非===),導致輸入任何密碼都能繞過所有使用者的身份驗證。這項發現證明AI在分析數百萬行程式碼時,能有效進行排序與搜尋,協助人類測試人員專注於潛在威脅,而非繁雜資訊。

然而,AI並非萬能,它需要明確的指示才能有效找出漏洞,單純靠AI自行尋找的可靠性並不高。Caturegli也坦言,AI正加劇網路安全的脆弱性,使惡意行為者更容易利用未修補的漏洞,降低了駭客攻擊的進入門檻。他舉例,透過AI的協助,他僅花一小時便學會逆向工程,這通常需要數年時間。這意味著威脅行為者不再需要廣泛的經驗或學位,只需向AI尋求協助即可。

儘管AI對攻擊與防禦雙方都帶來能力加速,如資安營運中心(SOC,Security Operations Centers)可利用AI處理更多資料,但AI驅動的滲透測試仍可被辨識,因為它們會產生系統性錯誤與模式,不同於人類的直覺。Caturegli認為,人類滲透測試人員與AI工具結合,才是「最具殺傷力」的策略。他也提及,目前AI模型的Token(處理資訊的基本單位)成本與訂閱費雖受創投(VC)補貼,一旦未來需支付真實價格,AI的廣泛應用可能受限,迫使技術應用更為專業化。

面對AI時代的資安挑戰,Caturegli建議企業應採行「假定遭入侵」(assume breach)的思維,即承認防禦邊界可能已被突破。這代表資安重心應放在偵測與驅逐威脅,確保在威脅者竊取關鍵資料或造成損害前,將其逐出系統。他指出,傳統的修補管理長期而言效果不彰,而部署如蜜罐(honeypot,一個誘捕駭客的虛擬系統)這類成本低廉的解決方案,能作為有效的早期入侵指標,且幾乎沒有誤報。相較於資安營運中心(SOC)可能面臨的大量警報,蜜罐提供的高可靠性警示,能促使資安團隊迅速採取行動。Caturegli強調,企業不應抱持僥倖心態,因資安入侵幾乎是不可避免的。

查看原始文章

更多理財相關文章

01

新/14萬股民注意!禾伸堂、台燿爆鉅額違約交割

EBC 東森新聞
02

台股又要崩盤?外媒爆「1警訊」:如同2008金融海嘯

民視新聞網
03

中國張雪機車來台落地?經濟部強硬回

NOWNEWS今日新聞
04

川普投資帳戶賣出美光買入輝達,記憶體前景承壓?

科技新報
05

信驊1張股票近2千萬「能買北市1間房」!台股千金盛世,3年暴增39檔千金股,背後藏了什麼暴富秘密?

今周刊
06

政院明拍板「青安3.0」方案 婚育家庭申貸上限提高為1200萬至1500萬

Newtalk
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...