後疫情時代的網安防護之道:以正義 AI 壓制邪惡 AI
作者 Evan | 發布日期 2020 年 09 月 08 日 8:15 |
進入後疫情時代,隨著人們依賴線上應用程式加重,益使網路犯罪更有利可圖。如同美國知名銀行大盜威利‧薩頓(Willie Sutton)解釋他為什麼搶銀行:「因錢就放在那裡!」如果身處現代,他肯定成為鎖定銀行、聯邦機構、航空公司和零售商網站的網路犯罪份子,因為錢就在網路。據 2020 年《Verizon 資料外洩調查報告》,有 86% 資料外洩是出於經濟動機。如今,由於社會有如此多活動都是線上進行,因此網路犯罪已成為最常見的犯罪類型。
網路安全服務供應商 Herjavec Group 估計,到了 2021 年,網路犯罪每年帶給世界的損失將從 2015 年的 3 兆美元上升超過 6 兆美元,但這麼大的數字可能看起來有點抽象。舉個例子,相信讀者立即就能感受到網路犯罪的嚴重性。在實體世界,犯罪份子根本不可能在同一天搶劫某城市的不同對象。但在虛擬世界,這種事情不但可能,甚至可以一口氣洗劫整個國家(甚至跨國)的每戶人家。
AI 自動化攻擊促使「網路犯罪即服務」成為熱門暗黑生意
如今最常見的 Web 攻擊類型莫過於憑據填充(Credential Stuffing)攻擊。亦即網路罪犯會從資料外洩竊取密碼,並使用工具自動登錄到其他網站每個相對應的帳號,以接管這些帳號,並竊取資金或資料。之所以能發生這類所謂「帳號接管」(Account Takeover,ATO)事件,是因為人們經常在不同網站重複使用相同的密碼。總之駭客用自動化憑證填充手法測試竊取到的使用者密碼,可提升並加快解鎖使用者帳號的成功率與速度。可怕的是,網路犯罪分子可從每起資料外洩事件獲得數十億組使用者密碼,這使網路犯罪成為蓬勃發展的專門生意,AI 技術更讓大規模自動化攻擊成為可能。
當前抵禦憑證填充攻擊的最常見防禦措施之一就屬 CAPTCHA 驗證碼機制。CAPTCHA 是在幾十年前發明的,試圖提出一種人類應該覺得容易但對機器人會很困難的挑戰式驗證(如變形字元)防止網路機器人攻擊。不幸的是,AI 化網路犯罪已扭轉這局面。Google 幾年前進行的研究發現,基於機器學習的 OCR 光學字元辨識技術,可輕鬆破解 99.8% 的 CAPTCHA 挑戰式驗證。
AI 技術早創造用來更快破解密碼,機器學習可辨識最佳攻擊目標,並用來優化網路犯罪的供應鏈和基礎設施。我們見識到網路犯罪分子的回應速度快得令人難以置信,他們可在幾分鐘內關閉並重啟挾帶動輒數百萬筆交易量的攻擊。他們透過完全合法的攻擊基礎設施,以及合法商業世界流行的 DevOps 營運開發技術做到這點。這並不足為奇,因運行這種犯罪系統類似運行大型商業網站,且網路犯罪即服務(Cybercrime-as-a-Service)現已成為一種常見的「商業模式」。隨著時間推移,AI 進一步注入這些應用程式,以協助達到更大規模,並變得更難以防禦。
透過廠商服務打造 AI 自動化安全防禦機制
我們該如何防範這種自動化攻擊?唯一可行的答案就是打造自動化防禦機制。但正確因應之道不會是僱用大型 AI 團隊,就像你不會僱用密碼專家團隊。因為這麼做,永遠也達不到可抵禦不斷進化發展的網路犯罪攻擊所需的功效、規模和可靠性。相反的,最好答案是堅持將你使用安全產品與組織資料相整合,以便讓 AI 發揮最大功效。然後可要求供應商對假陽性和假陰性誤報及其他挑戰負責。畢竟 AI 不是萬靈丹,僅將 AI 用於防禦還不夠,必須有效才行。
使供應商對效用負責的最好方法就是根據投資報酬率(ROI)評估。網路安全愈來愈能發揮分析和自動化問題的作用,全在於可更精細衡量各方績效。當防禦性 AI 系統產生假陽性誤報時,客戶投訴就會增加。如果出現假陰性誤報,則 ATO 事件會增加。隨著網路犯罪分子使用自己 AI 政策進行迭代更新時,企業還可追蹤許多其他中介評量指標。
相信你應該會對後 COVID 時代網際網路將爆發一場正義 AI 與邪惡 AI 的大戰而感到驚訝,不論如何,分別有好消息與壞消息。首先壞消息是,很大程度邪惡 AI 早在全球各地掀起戰端。當今的主流零售網站,約高達 90% 登錄來自網路犯罪工具。
但也許當前世界還沒瓦解,也算是個好消息吧。這是因整個產業朝正確方向發展,不但學習更快,並且許多組織已採用有效 AI 防禦措施。但在技術開發、產業教育和實踐方面還有更多工作要做。我們不應該粗心忘記的是,當前像全美實施的「就地避疫」(Sheltering-in-Place)政策,也等於給網路犯罪分子更多的時間在電腦前作怪。
資料來源:https://technews.tw/2020/09/08/how-ai-will-automate-cybersecurity-in-the-post-covid-world/?fbclid=IwAR1FeaMoEw6qJeKoYuVu7f-Y1cHD3qEMTam831GqWVdFEZSGglcZ8HAM9j0
全聯交易密碼忘記 在 全聯APP改版後的小麻煩 - 量販店板 | Dcard 的推薦與評價
最近全聯APP又更新了,變成以下這個介面,然後登入會員變成要按這個, ... 那如果說真的忘記交易密碼在上面那張圖片裡的第一項就是重設支付密碼他會寄 ... ... <看更多>