「基本上,所有資安風險都可以類推,我們從2023年看到很多攻擊現象,在2024年一樣會發生。」網路資安廠商——趨勢科技核心技術部資深協理張裕敏預測,展望最新一年,有5大資安風險趨勢值得密切關注:
趨勢一:雲端安全風險加劇
首先,預計會有大規模、雲端原生的蠕蟲(cloud-native worms)跑出來進行自動化攻擊。「所謂的『蠕蟲』會自我繁殖,不需要人為介入,而且繁殖速度非常快,具備自動化大量攻擊漏洞的能力。」張裕敏說明,這些蠕蟲會成為駭客集團的新型攻擊武器,只需要成功攻破一個漏洞,就能在雲端環境內迅速蔓延,並且利用已經感染的雲端原生工具再攻擊更多受害者。
所造成的危害,包含自動化收集企業機敏資料、建立龐大的幕後操縱(C&C)伺服器通訊,甚至發動大規模分散式阻斷服務(DDoS)攻擊。張裕敏補充說道,今年十月發生Google、亞馬遜慘遭有史以來最大DDoS攻擊,就是這個原理。
對此,趨勢科技建議企業須加速漏洞修補速度,除了即時掃描惡意程式與漏洞外,還必須嚴格檢視自己的資安政策與雲端環境,避免組態設定錯誤問題。
趨勢二:大型語言模型(LLM)遭「下毒」
隨著生成式AI應用增加,駭客集團會通過餵養錯誤資料來操弄機器學習的表現,以及惡意入侵模型的資料儲存或流程架構,導致自然語言處理模型洩露機密資料,系統受汙染無法正常偵測非法活動,這就是「資料下毒」(data poisoning)。
張裕敏指出,資料下毒會引發2種危害:「第一是機器學習模型不準確,導致企業決策錯誤;第二是你本身訓練好的資料,可能會被人家偷走。」
趨勢三:駭客學會順藤摸瓜,從單一軟體攻進企業內網
「軟體供應鏈攻擊」(Software Supply Chain Attack)會越來越嚴重。張裕敏解釋,國家級駭客會針對IT基礎架構的底層程式碼,或瞄準第三方元件(例如函式庫、流程與容器)發動攻擊。
「駭客最希望找到全世界都在使用的軟體,這樣攻擊下來得到的效益就能極大化。」張裕敏表示,任何第三方元件與開發工具都可能成為駭客攻擊的目標,讓駭客有機會進入更多其他系統,並存取機敏資料。
舉例來說,「你(員工)的手機裡面有很多App,然後你的手機是不是在企業內部也有使用?萬一駭客攻破你的手機App,就有機會從手機再溜進企業網路,引發整個供應鏈受害。」
趨勢四:駭客冒用身分的能力提升
運用生成式AI提升「社交工程詐騙」的水準,包含變臉詐騙、魚叉式網路釣魚,以及網路補鯨(指針對性更強的網路釣魚)等。
趨勢科技預期,到了2024年,駭客將透過結合不同的AI工具,像是聊天機器人與偽造語音,以製造出「虛擬綁架」的情境,這種犯罪手法的特點不在於以量取勝,而是以更逼真的手法進行勒索。
「使用者會變得無所適從,對眼前的文字、語音、視訊產生懷疑,因此害怕使用這些工具。但是,一旦害怕使用這些技術,就會造成人與人之間越來越大的數位落差。」張裕敏說道。
趨勢五:「區塊鏈」成為敲詐者的新獵場
最後,隨著全世界越來越多企業使用區塊鏈來降低成本,區塊鏈上的珍貴資料也引來駭客覬覦。
「國外已經有STO(利用區塊鏈技術發行證券)了,國泰證券也開了第一槍,相信明年會出現更多市場參與者,」張裕敏表示,駭客集團除了瞄準公有區塊鏈之外,也將攻擊私有區塊鏈網路,試圖搜刮金鑰竄改區塊鏈資料、寫入惡意資料再勒索贖金等。
如果駭客掌控了足夠的關鍵節點,就能將整個區塊鏈加密,讓區塊鏈完全無法動彈,進而勒索鉅額贖金。
趨勢科技建議,企業如果推出一些仰賴許可制區塊鏈網路來運作的相關服務,務必確保其網路節點要足夠分散,以抵禦潛在的網路攻擊與中斷。
新科技湧動,同時也是駭客攻擊的最佳時機
「新興科技發展的同時,也誘惑駭客加入這個戰場,駭客將趁大家對新科技還不熟悉的階段,發動各式攻擊與詐騙,獲取巨大的利益。」張裕敏總結表示,建議企業導入零信任(永不信任、一律驗證)策略在每個風險生命週期內,並採用整合式資安平台來管理日建增多的工作負載與防禦措施。
趨勢科技台灣區總經理洪偉淦也說道:「2023年ChatGPT等生成式AI技術的出現,讓人們對於AI應用有更多想像,這些能帶來轉型動能的突破性技術,不僅成為企業競爭的基本籌碼,也成為駭客攻擊的新型武器。然而,傳統攻擊並未因此消失,駭客集團反而借力新技術來優化自身營運模式,提升攻擊速度與力道,擴大資安事件衝擊。」
他預期,2024年全球整體資安環境的風險與壓力都將增強,個人或企業都需要具備並強化資安意識,以及審慎評估對應方式。
責任編輯:蘇祐萱