Gartner 最新報告指出,AI 已連續三個季度成為企業面臨的最大網路安全風險,80% 的受訪高階主管對此深感擔憂。 Downcodes小編將為您解讀報告內容,分析AI如何被用於網路攻擊,以及企業該如何應對這一日益嚴峻的挑戰。本文將深入探討AI在惡意軟體編寫、網路釣魚郵件製作以及分散式阻斷服務攻擊等方面的應用,並分析安全公司和研究機構的最新發現。
根據Gartner 最新發布的報告,人工智慧(AI)在網路攻擊中的應用已連續三個季度成為企業面臨的最大風險。
該顧問公司在7月至9月期間對286位高階風險與審計執行官進行了調查,結果顯示,80% 的受訪者對AI 增強的惡意攻擊表示了深切的擔憂。這一趨勢並不令人意外,因為有證據表明,利用AI 進行的網路攻擊正在上升。
圖源備註:圖片由AI生成,圖片授權服務商Midjourney
報告中還列出了其他一些新興風險,包括AI 輔助的資訊誤導、日益加劇的政治極化以及不匹配的組織人才配置等。攻擊者正在利用AI 撰寫惡意軟體、製作網路釣魚郵件等。以HP 為例,研究人員在6月攔截了一場傳播惡意軟體的郵件活動,懷疑其腳本是藉助生成式AI 撰寫的。該腳本結構清晰,每個命令都有註釋,這在人工編寫中並不常見。
根據安全公司Vipre 的數據顯示,2023年第二季度,商務郵件詐欺攻擊數量比去年同期增加了20%,其中近五成是由AI 產生的。 CEO、HR 和IT 人員成為了主要目標。 Vipre 的首席產品和技術長Usman Choudhary 表示,罪犯們正在利用複雜的AI 演算法來製作引人信服的釣魚郵件,模仿合法通訊的語氣和風格。
此外,根據Imperva Threat Research 的報告,從4月到9月,零售網站每天平均遭受569,884次AI 驅動的攻擊。研究人員指出,像是ChatGPT、Claude 和Gemini 等工具,以及專門抓取網站資料以訓練大型語言模型的機器人,正被用於進行分散式阻斷服務攻擊和業務邏輯濫用等活動。
越來越多的道德駭客也承認使用生成式AI,比例從去年的64% 上升至77%。這些研究人員表示,AI 可以幫助進行多通路攻擊、故障注入攻擊和自動攻擊,同時攻擊多個裝置。正如此,如果「好人」 覺得AI 有用,「壞人」 同樣會利用這項技術。
AI 的崛起並不令人驚訝,因為它降低了網路犯罪的門檻,讓技術水平較低的犯罪者也能藉助AI 產生深度偽造、掃描網路入口、進行偵察等。瑞士聯邦理工大學的研究者最近開發出一個模型,能夠100% 解決Google reCAPTCHA v2的問題。安全公司Radware 的分析師在年初就預測,私有GPT 模型的出現將被用於惡意目的,零時差漏洞和深度偽造詐騙的數量也將隨之增加。
Gartner 也指出,IT 供應商的關鍵性議題首次進入了高階主管的關註名單。 Gartner 風險與審計實務資深總監Zachary Ginsburg 表示,集中依賴單一供應商的客戶可能面臨更高的風險。就像dStrike 在7月發生的事件,導致全球850萬台Windows 設備癱瘓,為緊急服務、機場和執法機構等帶來了巨大影響。
總而言之,AI 技術的雙刃劍效應在網路安全領域體現得淋漓盡致。企業需要積極採取防禦措施,例如加強安全培訓、實施多因素身份驗證以及採用先進的威脅偵測技術,才能有效應對AI 驅動的網路攻擊。 未來,持續關注AI 安全發展趨勢,並積極探索應對策略至關重要。