文章來源 / Okta Official Blog
生成式人工智慧(GenAI)幫助各個產業的創新推動。不幸的是,這項技術最初積極的使用者是網路黑客。GenAI能力的指數增長已被證明是不可抗拒的,即使是犯罪新手也能比以往更快且有效地進行帳戶接管。根據 Deep Instinct 的 SecOps 報告,75% 的資安專家在過去 12個月內目睹了攻擊增加,其中 85%歸因於惡意行為者使用生成式AI。
在這瞬息萬變的資安環境中,中小型企業(SMBs)尤其容易受到威脅。在我們的2023年安全身份狀況(State of Secure Identity)白皮書中,發現中小型企業對企業級組織的詐欺性註冊和撞庫攻擊的發生率很高(且缺乏專門解決該問題的人力資源)。尤其小型企業與其他規模的組織相比,面臨的多因子驗證(MFA)繞過攻擊率明顯更高—所有MFA事件中有20%就是繞過攻擊,而中型企業在這一比例約為9%。
這篇部落格文章旨在揭示中小企業面臨的GenAI增強帳戶接管威脅,同時提供實用的見解,以增強網路安全措施。
為什麼中小企業是帳戶接管攻擊的最佳地點
中小企業一直是網路威脅的主要目標。根據2023年Verizon數據洩露調查報告,儘管在可用技術和基礎設施方面公司規模越來越不重要,但擁有不到1,000名員工的公司仍然比其他公司更經常受到攻擊。事實上,69.9%的中小型企業會報導資安事件,而大型企業比例為49.6%。中小型企業在攻擊中的資料外洩率也略高,有38%的事件導致資料外露,而大型企業的比例為22%,只有大約三分之一的中小型企業有專職的網路資安專家。
對中小企業的主帳戶接管威脅
相對初學者可以使用公開可用的大型語言模型(LLM),比在沒有GenAI的情況下,更快速有效地創建和擴展惡意工具和惡意軟體腳本。
地下論壇中有多討論如何使用ChatGPT進行詐欺活動。圖片來源:Chris Fernando,Security Review,“Chat GPT被用於網路攻擊”2023 。
中小型企業面對快速創新威脅時所要面臨的嚴重效應,例如有針對性的個人化網路釣魚攻擊(魚叉式網路釣魚Spear phishing)或使社交工程變得更加複雜的聲音克隆(Voice cloning)。當機器人用於自動化或大規模攻擊時,可能以多種方式成為災害,包括虛假註冊、阻斷服務(DDoS)攻擊、自動化暴力攻擊以及用詐騙和垃圾郵件淹沒用戶。由AI驅動的機器人聽起來像是IT 惡夢,但也有好消息,機器學習 (Machine Learning ML) 支援的機器人偵測技術在減少機器人攻擊方面明顯更有效。
即使在資源有限的情況下也可以提高安全性。透過識別最常見的威脅,您可以決定在加強針對 Gen AI 威脅的資安態勢時應專注於哪些方面。
網路釣魚攻擊(Phishing attacks)
Gen AI 工具可被濫用,並在幾秒鐘內製作出令人信服、專業的網路釣魚郵件—不僅是網路釣魚,還有令人毛骨悚然的魚叉式網路釣魚,專門針對個別目標進行定制。攻擊者可以使用 Gen AI 創建看似可信的配置文件,製作逼真的頭像或模仿人類自然的說話速度。犯罪份子也能利用Gen AI工具複製某個人的聲音,使他們能夠在進行語音網路釣魚(Vishing)和社交工程攻擊(Social Engineering Attack)時,冒充高級領導者或行政助理等關鍵可信的員工角色。
試錯登錄已經遠遠超出了攻擊者隨機猜測使用者名稱和密碼的範疇。沒有任何使用者名稱/密碼組合是100%無法破解的:只要有足夠的時間,壞人最終可以破解任何組合。先前,聰明的網路攻擊者需要使用加速攻擊的工具。但有了AI後,這類型的攻擊就變得更加複雜。
憑證填充是一種流行的暴力攻擊類型,涉及自動注入被盜用使用者名稱和密碼組合,用詐騙的方式獲得使用者帳戶的訪問權限。憑證泄露和弱密碼政策使攻擊者能夠使用先前被盜用的密碼來存取帳戶。
中小企業資安必備品
了解不斷變化的技術格局可以幫助企業應對新興威脅,當您了解犯罪份子如何使用AI時,您可以做出更明智的投資,在最需要的地方加強資安態勢,在我們深入探討AI特定資安工具之前,先介紹面對任何威脅時,如何保持資安至上。
保持軟體更新
未打補丁的軟體是最常見的不健康資安實踐之一,也是許多資料外洩的根源。不要讓攻擊者利用未修補的漏洞攻擊您。
實施MFA和防網釣魚身份驗證
如果您閱讀了我們關於MFA的SMB部落格文章,您可能預料到了這個方式,獲得可靠、防網路釣魚的 MFA,並且不要害怕收緊您的身份驗證策略:阻止登錄異常位置、Tor 出口節點(暗網)、公共VPN和網路匿名器以及沒有驗證的裝置。
如果您閱讀了我們關於MFA的SMB博客文章,您可能預料到了這個提示。獲取可靠的、防網路釣魚的 MFA,不要害怕收緊您的身份驗證策略:阻止登錄異常位置、Tor 出口節點(暗網)、公共 VPN和網路匿名器以及沒有保證的設備。
教育
考慮識別AI增強威脅的適當教育,可以使每個使用者成為潛在的資安第一回應者。為員工和終端用者提供知識和示例,瞭解攻擊如何日益個人化和複雜化,引入有關威脅類型、發現常見危威脅和報告可疑活動的培訓,誤報比未報告的違規行為更好。
監控您的資安營運和態勢
如果不追蹤狀況,如何監控您的資安態勢?評估和監控系統配置與策略,以追蹤風險等級及治理條件,像是Okta Insights功能,利用數據不斷檢查風險等級並協助保護免受身分攻擊,為終端用戶提供可疑活動的報告,並推薦增強資安態勢的方法。Okta身分威脅防護將持續風險評估、監控和修復擴展到您的所有關鍵系統。
防禦攻擊
一些防禦AI的技術可以增強您的資安態勢,以應對更傳統威脅。無論如何,您都可以使用簡單的工具為企業增加價值並保護資料。
機器人檢測(Bot Detection)
針對客戶身份,機器人檢測可幫助您區分人類和機器人。根據企業的風險承受能力和業務需求輕鬆配置機器人偵測級別,以在登入驗證中觸發驗證碼(CAPTCHA)步驟,從而消除機器人和腳本流量。
暴力攻擊檢測(Brute Force Detection)
透過Workforce Identity,Gen AI減輕試錯登錄的繁重流程,使用基於ML的模型預防密碼噴灑(Password spraying)、憑證填充(Credential stuffing)和暴力攻擊(Brute force),該模型可以最佳地檢測受到攻擊的企業並使用ThreatInsight標記惡意IP。
自動化可確保一致性和減少錯誤發生率
人為失誤是不可避免的。透過取代手動流程,降低手動身份管理相關的錯誤風險,保證Workforce的自動撤銷權限或跨系統的自動化威脅警報以及Customer Identity的孤立數據只是其中的幾種可能性。
抗網釣MFA
雖然採用MFA對於降低風險至關重要,但並非所有形式的MFA都同樣安全。當MFA能夠抵禦通常(但不限於)透過網路釣魚繞過身份驗證過程的嘗試時,MFA 就正式具有網路釣魚防禦功能。在 Okta,我們支援 Fastpass,支援跨裝置、瀏覽器和應用程式的加密安全訪問,同時簡化最終用戶的登入。對於客戶身份,我們還有基於人工智慧的自適應 MFA。
雖然採用 MFA 是降低風險的關鍵,但並非所有形式的 MFA 都同樣安全。當MFA可以預防一般(但不限於)網路釣魚來規避身份驗證過程時,MFA就正式具有網路釣魚防禦功能。在Okta,我們支援 Fastpass,支援跨設備、瀏覽器和應用程式的加密安全訪問,同時簡化的登錄。對於客戶身份,我們還有基於AI的自適應多重驗證(Adaptive MFA)。
檢查網路、存取模式、位置和裝置的安全策略
如果擁有技術是第一步,那麼第二步就是在設定安全政策時不要猶豫,封鎖特定地理位置、暗網(Tor出口節點)以及沒有保證的裝置進行登錄。
利用Okta讓AI為您服務
我們在Okta的技術中使用AI已經有一段時間了。事實證明,身份管理非常適合 Gen AI 的應用。例如,我們利用機器學習降低了79%惡意機器人的攻擊,同時對最終用戶的負面影響最小。Gen AI 浪潮可能看似令人生畏,但只要使用正確的工具,您就可以像專業人士一樣應對。
希望您能夠更了解如何讓您的企業在應對日益複雜的網路攻擊時取得成功。想了解更多或立即做出改變嗎?查看我們的其他資源或與專員聯繫。
Comments