Gartner 最新報告顯示,AI 驅動的網絡攻擊已成為企業面臨的最大風險,持續三個季度蟬聯榜首。報告基於對286位高級風險與審計執行官的調查,80%的受訪者對AI 增強的惡意攻擊表示擔憂。攻擊者利用AI 編寫惡意軟件、製作逼真的網絡釣魚郵件,甚至進行大規模的分佈式拒絕服務攻擊。 AI 的應用降低了網絡犯罪的門檻,使技術水平較低的攻擊者也能輕易實施複雜的網絡攻擊,這給企業安全防護帶來了嚴峻挑戰。
根據Gartner 最新發布的報告,人工智能(AI)在網絡攻擊中的應用已連續三個季度成為企業面臨的最大風險。
該諮詢公司在7月至9月期間對286位高級風險與審計執行官進行了調查,結果顯示,80% 的受訪者對AI 增強的惡意攻擊表示了深切的擔憂。這一趨勢並不令人意外,因為有證據表明,利用AI 進行的網絡攻擊正在上升。
圖源備註:圖片由AI生成,圖片授權服務商Midjourney
報告中還列出了其他一些新興風險,包括AI 輔助的信息誤導、日益加劇的政治極化以及不匹配的組織人才配置等。攻擊者正在利用AI 撰寫惡意軟件、製作網絡釣魚郵件等。以HP 為例,研究人員在6月份攔截了一場傳播惡意軟件的郵件活動,懷疑其腳本是藉助生成式AI 撰寫的。該腳本結構清晰,每個命令都有註釋,這在人工編寫中並不常見。
根據安全公司Vipre 的數據顯示,2023年第二季度,商務郵件欺詐攻擊數量比去年同期增加了20%,其中近五成是由AI 生成的。 CEO、HR 和IT 人員成為了主要目標。 Vipre 的首席產品和技術官Usman Choudhary 表示,罪犯們正在利用複雜的AI 算法來製作引人信服的釣魚郵件,模仿合法通訊的語氣和風格。
此外,根據Imperva Threat Research 的報告,從4月到9月,零售網站每天平均遭受569,884次AI 驅動的攻擊。研究人員指出,像ChatGPT、Claude 和Gemini 等工具,以及專門抓取網站數據以訓練大型語言模型的機器人,正被用於進行分佈式拒絕服務攻擊和業務邏輯濫用等活動。
越來越多的道德黑客也承認使用生成式AI,比例從去年的64% 上升至77%。這些研究人員表示,AI 可以幫助進行多渠道攻擊、故障注入攻擊和自動攻擊,從而同時攻擊多個設備。正如此,如果“好人” 覺得AI 有用,“壞人” 同樣會利用這一技術。
AI 的崛起並不令人驚訝,因為它降低了網絡犯罪的門檻,讓技術水平較低的犯罪者也能藉助AI 生成深度偽造、掃描網絡入口、進行偵察等。瑞士聯邦理工大學的研究者最近開發出一種模型,能夠100% 解決Google reCAPTCHA v2的問題。安全公司Radware 的分析師在年初就預測,私有GPT 模型的出現將被用於惡意目的,零日漏洞和深度偽造詐騙的數量也將隨之增加。
Gartner 還指出,IT 供應商的關鍵性問題首次進入了高管的關註名單。 Gartner 風險與審計實踐高級總監Zachary Ginsburg 表示,集中依賴單一供應商的客戶可能面臨更高的風險。就像dStrike 在7月份發生的事件,導致全球850萬台Windows 設備癱瘓,給應急服務、機場和執法機構等帶來了巨大影響。
總而言之,AI 技術的雙刃劍效應日益凸顯,企業需積極應對AI帶來的網絡安全挑戰,加強安全防護措施,提升自身安全意識,才能在數字化時代有效抵禦AI驅動的網絡攻擊,保障自身安全。