人工智能（AI）不僅徹底改變了創新的方式，亦使黑客的攻擊手法變得更複雜和難以預測。

參加由 Check Point CEO Nadav Zafrir 帶領的專題活動，了解結合 Lakera 技術的 Hybrid Mesh Network Architecture 及 AI 安全架構，如何應對當前的主要網絡安全挑戰。

活動將介紹混合網絡安全如何協助企業：

• 安全採用 AI 工具，保障大型語言模型（LLM）開發，建立全面 AI 安全堆疊
• 鞏固本地、雲端及邊緣環境之間的連接安全
• 採取主動預防策略，加強網絡防護
• 打破資訊孤島，運用開放平台打造理想安全架構

近年生成式人工智能（Generative AI）發展蓬勃，已成為企業營運不可或缺的工具。在這股浪潮中，應用程式介面（API）扮演著不可或缺的橋樑角色，它負責連接各種應用、雲端服務以至大型語言模型（LLM）。正因為企業最有價值的數據和資產都可透過 API 存取，使其成為網絡攻擊的重點目標。全球網絡安全領域的領先企業 Thales 之旗下 Imperva 指出，針對 API 的攻擊在過去四、五年呈直線上升趨勢，而要攔截這種被黑客視為高回報率的攻擊手法，僅依靠傳統方法已難以應付。

API攻擊直線上升　BOLA漏洞成頭號威脅

Thales API 安全產品副總裁 Lebin Cheng 指出，API 安全漏洞並非新鮮事，但其嚴重性隨著應用模式的改變而急劇升溫。「以往很多應用程式和 API 只在企業內部網絡使用，環境相對受信任，但當企業將應用遷移上雲，或因業務需要將內部 API 開放給外部合作夥伴甚至公眾使用時，潛在的漏洞便會浮現。」他補充說，近年生成式 AI 的興起更是火上加油，因為絕大多數 AI 服務都是透過 API 來調用 LLM 模型，每一次調用都可能成為潛在的攻擊路徑。

在眾多 API 威脅中，OWASP（開放式 Web 應用程式安全專案）將「BOLA」（Broken Object Level Authorization，失效的物件級別授權）列為 API 安全十大威脅之首。Lebin 解釋，BOLA 漏洞的原理在於應用程式雖然驗證了用戶的登入身份，卻沒有在後續操作中持續驗證其權限，因此攻擊者只需以合法用戶身份登入，然後在 API 請求中竄改物件 ID，便能輕易繞過存取控制，竊取、修改甚至刪除其他用戶的敏感資料。

AI成業務關鍵　API安全由「選項」變「必修」

儘管 API 安全風險日益增高，但在企業內部推動安全改革卻非一帆風順。Thales 應用與數據安全業務技術總監 Richard Chiu 觀察到，本地企業的資訊安全長（CISO）普遍意識到 API 安全的嚴重性，然而在實際推動改革時卻往往面臨組織架構的挑戰。Richard 認為生成式 AI 的崛起正徹底改變這個局面，「現在 AI 應用已成為業務增長的關鍵，這些服務必須連接互聯網才能發揮價值，這盤生意是『非做不可』的。」這種業務上的必然性，使得管理層無法再對 API 安全掉以輕心，他預期市場對 API 安全的重視程度在來年將會提升至一個新層次。

傳統防禦失效　黑客藉AI發動精準打擊

傳統的網絡安全防禦法是因應漏洞或威脅編寫特徵碼（Signature），進行針對性堵塞及攔截，但 Lebin 強調：「既然現在的應用程式設計五花八門，漏洞模式千變萬化，我們就應該將焦點從『攻擊特徵』轉移到『用戶行為』上。」其概念是先觀察並學習一個用戶正常的 API 調用行為模式，為其建立獨特的「行為寫照」，例如網上銀行的普通用戶正常只會查詢自己名下的一、兩張信用卡，一旦系統偵測到該用戶突然開始查詢數個不同的信用卡號碼，即使每次都是一個合法的 API 請求，這種偏離正常行為的舉動也會被立即標記為高度可疑，並觸發應對措施。

為將此新理念落地，Imperva 提出了「治未病」的三步曲實踐方案。第一步是「探索」（Discover），不僅是清點企業擁有多少個 API，更要深入分析每個 API 正在傳輸什麼類型的數據；第二步是「評估」（Assess），在掌握 API 資產全貌後，對其進行風險評估，找出最脆弱、最重要的環節，以便聚焦防禦資源。第三步，也是整個防禦體系核心的「實時偵測與回應」（Detect and Respond）。系統會對所有 API 流量進行 24x7 的實時監控，並利用前述的行為分析引擎，精準捕捉異常行為。

Lebin 特別強調其在「回應」機制上的創新：「傳統的應對方式是封鎖攻擊者的 IP 地址，但在雲端時代，這就像治療癌症時使用化療，好壞細胞通殺。」Thales 採用的則是更精準的「標靶治療」，「我們的系統會追蹤到每一個獨立的用戶會話。一旦發現某個會話出現惡意行為，我們會立即終止這一個會話，而不會影響其他正常 API 調用。」這種外科手術式的精準打擊，確保了在消除威脅的同時，對業務的影響降至最低。

Lebin 最後總結，API 安全已非單一產品可以解決的問題，它需要與 Bot 防護、應用安全等傳統領域相結合，形成一個聯防體系。在 API 無處不在的今天，企業不能再抱持「亡羊補牢」的心態，唯有採取「治未病」的策略，才能在享受 API 帶來便利的同時，真正做到防患於未然。

如果想了解更多應用安全方案，可致電 2156 3929 或電郵至 [email protected]。

日防夜防，家賊難防！即使是全球知名的網絡安全公司都難以完全避免內部威脅。美國網絡安全公司 CrowdStrike 近日披露了一宗內部人員洩密事件，內奸將公司的機密資料以拍攝螢幕的方法傳送給黑客組織。幸而事件未直接導致系統被入侵及洩露客戶的數據，但亦突顯出網絡安全不單要對外，亦要加強內部把關的重要性，是企業管理層不可忽視的安全問題。

立即終止該員工職務

根據 CrowdStrike 發言人的說法，公司早前發現有員工將電腦屏幕的內容拍下並外傳，已立即終止該員工的職務。這些圖片隨後被黑客組織發佈至 Telegram，儘管 CrowdStrike 強調其系統未因該事件遭到破壞，且客戶數據始終受到保護，但事件依然引發外界對內部安全的關注。

這次內部洩密案的幕後黑手，是近期頻頻登上網絡安全新聞的黑客組織 Scattered Lapsus$ Hunters，這個組織由 ShinyHunters、Scattered Spider、Lapsus$ 組合而成。他們曾針對 Salesforce 客戶發動語音釣魚攻擊，入侵了包括 Google、Cisco、Allianz Life 等在內的多家知名企業，並透過勒索或出售數據牟取暴利。近期又創立一個 ransomware-as-a-service 平台 ShinySp1d3r，特色是會使用過往不同黑客組織曾使用的加密工具，收取服務費用。

最終只成功獲 SSO 認證

據報道，Scattered Lapsus$ Hunters 與這名內奸達成交易，承諾支付 25,000 美元以換取 CrowdStrike 內部系統的訪問權限，以及 CrowdStrike 針對 ShinyHunters 和 Scattered Spider 的內部調查報告。不過黑客組織就承認最終他們只成功獲得 SSO 認證，而內部報告則未能到手，因為內奸在交易進行中已被 CrowdStrike 發現並移交相關執法機構處理，同時迅速切斷網絡訪問權限，因而計劃無法完全實現。

在 CrowdStrike 事件中，再次證明防範內奸的重要性，專家認為需從以下幾個方向著手，首先是加強內部監控與審查，公司需定期審查內部人員的活動，確保內部資料的訪問權限根據員工的職責進行分級，限制不必要的訪問，特別是對敏感數據的訪問記錄進行嚴格監控，及早識別異常行為，專家建議採用基於行為分析的安全工具，便可第一時間察覺異常狀況。

此外，企業需實施多重身份驗證（MFA），為所有系統登錄提供額外的安全保障，降低內部人員洩露憑證所帶來的風險。最後是要定期進行安全審計與行為分析，以便及時應對各種潛在的新威脅。

資料來源：https://www.bleepingcomputer.com/news/security/crowdstrike-catches-insider-feeding-information-to-hackers/