轉載從: Tech News 科技新報
進入後疫情時代,隨著人們依賴線上應用程式加重,益使網路犯罪更有利可圖。如同美國知名銀行大盜威利‧薩頓(Willie Sutton)解釋他為什麼搶銀行:「因錢就放在那裡!」如果身處現代,他肯定成為鎖定銀行、聯邦機構、航空公司和零售商網站的網路犯罪份子,因為錢就在網路。據 2020 年《Verizon 資料外洩調查報告》,有 86% 資料外洩是出於經濟動機。如今,由於社會有如此多活動都是線上進行,因此網路犯罪已成為最常見的犯罪類型。
網路安全服務供應商 Herjavec Group 估計,到了 2021 年,網路犯罪每年帶給世界的損失將從 2015 年的 3 兆美元上升超過 6 兆美元,但這麼大的數字可能看起來有點抽象。舉個例子,相信讀者立即就能感受到網路犯罪的嚴重性。在實體世界,犯罪份子根本不可能在同一天搶劫某城市的不同對象。但在虛擬世界,這種事情不但可能,甚至可以一口氣洗劫整個國家(甚至跨國)的每戶人家。
AI 自動化攻擊促使「網路犯罪即服務」成為熱門暗黑生意
如今最常見的 Web 攻擊類型莫過於憑據填充(Credential Stuffing)攻擊。亦即網路罪犯會從資料外洩竊取密碼,並使用工具自動登錄到其他網站每個相對應的帳號,以接管這些帳號,並竊取資金或資料。之所以能發生這類所謂「帳號接管」(Account Takeover,ATO)事件,是因為人們經常在不同網站重複使用相同的密碼。總之駭客用自動化憑證填充手法測試竊取到的使用者密碼,可提升並加快解鎖使用者帳號的成功率與速度。可怕的是,網路犯罪分子可從每起資料外洩事件獲得數十億組使用者密碼,這使網路犯罪成為蓬勃發展的專門生意,AI 技術更讓大規模自動化攻擊成為可能。
當前抵禦憑證填充攻擊的最常見防禦措施之一就屬 CAPTCHA 驗證碼機制。CAPTCHA 是在幾十年前發明的,試圖提出一種人類應該覺得容易但對機器人會很困難的挑戰式驗證(如變形字元)防止網路機器人攻擊。不幸的是,AI 化網路犯罪已扭轉這局面。Google 幾年前進行的研究發現,基於機器學習的 OCR 光學字元辨識技術,可輕鬆破解 99.8% 的 CAPTCHA 挑戰式驗證。
AI 技術早創造用來更快破解密碼,機器學習可辨識最佳攻擊目標,並用來優化網路犯罪的供應鏈和基礎設施。我們見識到網路犯罪分子的回應速度快得令人難以置信,他們可在幾分鐘內關閉並重啟挾帶動輒數百萬筆交易量的攻擊。他們透過完全合法的攻擊基礎設施,以及合法商業世界流行的 DevOps 營運開發技術做到這點。這並不足為奇,因運行這種犯罪系統類似運行大型商業網站,且網路犯罪即服務(Cybercrime-as-a-Service)現已成為一種常見的「商業模式」。隨著時間推移,AI 進一步注入這些應用程式,以協助達到更大規模,並變得更難以防禦。
透過廠商服務打造 AI 自動化安全防禦機制
我們該如何防範這種自動化攻擊?唯一可行的答案就是打造自動化防禦機制。但正確因應之道不會是僱用大型 AI 團隊,就像你不會僱用密碼專家團隊。因為這麼做,永遠也達不到可抵禦不斷進化發展的網路犯罪攻擊所需的功效、規模和可靠性。相反的,最好答案是堅持將你使用安全產品與組織資料相整合,以便讓 AI 發揮最大功效。然後可要求供應商對假陽性和假陰性誤報及其他挑戰負責。畢竟 AI 不是萬靈丹,僅將 AI 用於防禦還不夠,必須有效才行。
使供應商對效用負責的最好方法就是根據投資報酬率(ROI)評估。網路安全愈來愈能發揮分析和自動化問題的作用,全在於可更精細衡量各方績效。當防禦性 AI 系統產生假陽性誤報時,客戶投訴就會增加。如果出現假陰性誤報,則 ATO 事件會增加。隨著網路犯罪分子使用自己 AI 政策進行迭代更新時,企業還可追蹤許多其他中介評量指標。
相信你應該會對後 COVID 時代網際網路將爆發一場正義 AI 與邪惡 AI 的大戰而感到驚訝,不論如何,分別有好消息與壞消息。首先壞消息是,很大程度邪惡 AI 早在全球各地掀起戰端。當今的主流零售網站,約高達 90% 登錄來自網路犯罪工具。
但也許當前世界還沒瓦解,也算是個好消息吧。這是因整個產業朝正確方向發展,不但學習更快,並且許多組織已採用有效 AI 防禦措施。但在技術開發、產業教育和實踐方面還有更多工作要做。我們不應該粗心忘記的是,當前像全美實施的「就地避疫」(Sheltering-in-Place)政策,也等於給網路犯罪分子更多的時間在電腦前作怪。
(首圖來源:Stevens Institute of Technology)