【2024年】Sangfor網安趨勢七大預測 AI勢頭繼續強勁
經歷生成式人工智能(Generative AI)大爆發的 2023 年後,踏入新一年,Sangfor 預計人工智能(AI)在 2024 年勢頭繼續強勁,仍然是改變網絡安全趨勢的重要技術,但同時亦有很多似曾相識的挑戰繼續上榜。小編立即為你送上 Sangfor 2024 年 7 大預測!
一、勒索軟件繼續火熱
每次談及網絡安全,總不能少了勒索軟件,今年亦一樣。根據 Corvus Insurance 的數據,勒索軟件攻擊數量在 2023 年創下紀錄!以 2023 年 11 月與 2022 年同期相比,攻擊增加至少 110%。因應 AI 進一步被武器化,更聰明、更隱密的程式碼將誕生。例如由 Rust 所產生的程式碼更安全,將會逐漸成為成為首選的程式語言,其中原因就是更難進行逆向工程分析,從而避開偵測。然而最重大的轉變,是由以前純粹加密資料來索取贖金,改為直接竊取資料及索取贖金,如果受害人不繳付贖金,黑客就會直接將資料在暗網出售圖利。
二、AI 乃是雙刃劍
AI 將引發科技的巨大突破。
它將用於數位化和理解業務應用情景,AI 具備自我開發或改進檢測和分析模型的能力,並用於更深入威脅偵測和分析的演算法。防守方面,早年已有網絡安全研究員採用 AI 技術來進行紅藍隊的模擬攻擊,意味負責防守的藍隊可以透過 AI 協助追蹤紅隊的行為,從而制定更好的回應。
當然,向來「走在最前」的黑客未有放過應用 AI 的機會,真正的網絡攻擊者將繼續使用 AI 並將之武器化,建構更隱蔽及複雜的惡意軟件,以及新的社交工程和網絡釣魚攻擊。Sangfor 相信 AI 技術將開發更多檢測及分析模型,令網安攻守雙方繼續互相對抗。
三、AI 會「產生幻覺」
因應 ChatGPT 的崛起,AI 及聊天機械人亦迅速「彈起」,運用大型語言模型(LLM),直接通過自然語言與人類「溝通」,令大眾與 AI 的距離彷彿一下子接近了很多,尤其是在網絡搜尋、商業應用、專用資訊資料庫中亦發揮了重要的角色。
不過,有不少聊天機械人被發現編造答案,就如同人類說謊,大眾將 AI 這個行為稱之為「Hallucinate」。「Hallucinate」原本的意思是「產生幻覺」、「似乎看到、聽到、感覺或聞到」一些不存在的東西,但「Hallucinate」用於 AI 之上,則可被解說為「當 AI 製造幻覺,它會產生錯誤信息」,此詞彙更獲英國劍橋詞典(Cambridge Dictionary)宣布為 2023 年度代表字。
由此衍生的問題就是,AI 研究員也不能確定,能否完全阻止聊天機械人會提供虛假或錯誤資訊,因此用戶必須時刻保持「Fact check」態度,檢查由聊天機械人所處理的工作。
四、用錢解決問題
網絡安全風險相關開支將在 2024 年增加 14%,甚至更多,高達 2,120 億至 2,150 億美元。主要原因是全球及各地區對網絡安全的新法規要求,企業要滿足合規性,在安全基礎建設、配備、政策及程序上均需要升級及更新,當中要花費的開支不少。
隨著公司不再那麼害怕雲端並希望進一步降低 CAPEX 和維運成本,亦是另一個關鍵驅動因素驅使企業安全地過渡到雲端以及重新架構業務工作流程。
還記得 AI 的武器化嗎?這也是一個升級或更換安全產品的催化劑,從而更有效地防禦不斷進化的攻擊。
五、零信任興起
受 Work from anywhere 及 BYOD(Bring Your Own Device)的風潮影響,傳統的網絡邊界已變得過時,新的安全設計架構零信任(Zero Trust)將取而代之,以及逐漸成為減低網絡安全風險的強制性業務要求。
美國總統拜登在 2021 簽署的《改善國家網路安全》總統行政命令(Executive Order on Improving the Nation’s Cybersecurity),為美國聯邦政府制定了零信任策略;美國國家標準與技術研究所 (NIST)亦發布了幾項與零信任策略相關的實施指南,都有助推動企業及其他機構採用零信任。
根據 Okta 的《2022 年零信任安全狀況》白皮書,97% 企業已在業務流程中實施零信任,不過思科則指只有 2% 機構擁有成熟的零信任部署。儘管如此,趨勢還是令人非常鼓舞。
零信任以「不信任任何人」為核心概念,根據員工的需求、存取裝置及應用程式,分配足夠的存取權限予員工去完成工作——當然,員工必須通過身分驗證。因此,員工在不同地點工作,無論是使用公司網絡,還是在家中或星巴克工作,其存取權限也會有所不同。零信任有助於企業及機構應對嚴重威脅,例如包含勒索軟件在內的 APT 攻擊。
六、相同的挑戰
黑客的手法層出不窮,生成式 AI 又顛覆了世界,不過在 2024 年,許多挑戰仍然一如既往地出現,包括:
.全球有多達 300 萬個網絡安全職位空缺,許多機構因人才短缺的關係,嘗試轉用並不十分可靠的聊天機械人以彌補缺口。
.未修補的漏洞是黑客的首要攻擊媒介,由於人手不足,許多企業(尤其是中小企)將難以解決這些問題,Sangfor 預計修補程式管理系統(patch management tools),將會成為其中一項網絡安全開支增加的範疇。
.AI 將令網絡釣魚及社交工程攻擊變得更加複雜。Sangfor 已經發現由 AI 生成的鈎魚郵件更像真,甚或比真人編寫出來的還要好,而這種釣魚郵件只需幾秒鐘就能生成出來罷了。
.儘管美國以法律規範物聯網(IoT)連接設備的私隱及安全,但物聯網設備在提高安全性方面,仍有漫漫長路。
七、黑客年輕化
歷史上有許多惡名昭彰的罪犯,如 Adolf Hitler、Bonny & Clyde、Jack the Ripper、Al Capone、Pablo Escobar,而近期最受關注的,相信非來自牛津的 18 歲黑客 Arion Kurtaj 莫屬。
Arion Kurtaj 是國際黑客組織 Lapsus$ 的骨幹成員之一,該組織主要由青少年組成,在 2021 年及 2022 年攻擊了全球數十間知名公司和政府機構。2022 年 3 月,他與另一位未成年黑客入侵及竊取英偉達數據,勒索對方支付贖金,結果第二次被捕。
被捕後,Arion Kurtaj 在警方提供的指定酒店接受調查,僅使用無法上網的電話,經過酒店電視的網上串流機頂盒,再進行網上攻擊犯案,最後入侵了 Rockstar Games,竊取並洩露了未發布的《GTA 6》遊戲相關片段。
患有嚴重自閉症的 Arion Kurtaj,被評為不適合接受法院審判,並在心理評估中發現他有重犯意圖,法官認為其技能及意圖將對公眾造成風險,故 Arion Kurtaj 在去年底被判需終身在精神病院接受治療。這類青少年從小就接觸網絡,並利用互聯網的工具及資訊去「練習」網絡攻擊。在 2024 年,預計會有更多青少年網絡罪犯取代 Arion Kurtaj 的位置。
八、總結
2024 年將是網絡安全專家就業的大好時機,可惜他們只能填補 300 萬個職位空缺的一小部分,市場上的網安人才依然嚴重不足。Sangfor 又預計,網絡攻擊者入侵企業時將變得越來越厲害、快速及聰明,他們所擁有的資源,比企業應對防護所花的資源更多。不過,有了 AI 及零信任這類新技術及工具,企業可以主動檢測及減輕攻擊,即使不幸遇上網絡攻擊,也可以減少隨之帶來的損失。