傳統勒索攻擊與人工智慧驅動的攻擊，有何不同之處呢?

人工智慧驅動的勒索軟體攻擊實際上與普通勒索軟體攻擊沒有什麼不同，只是它做得更好,這些攻擊媒介旨在對他們的目標進行社交工程，使其點擊它們；過去，您必須注意拼寫錯誤才能識別垃圾郵件。現在人工智慧被用來生成這些電子郵件，語法是完美的，更容易欺騙受害者。人工智慧驅動的勒索軟體也適應其環境，並有可能識別現有的安全措施並繞過它們(資安業者Sophos的研究人員於去年5月發現駭客運用新興的迴避偵測技術，像是覆寫記憶體裡的ntdll.dll，將Sophos Endpoint Protection防毒軟體的代理程式與核心脫鉤)，讓企業遭受攻擊。

既然傳統勒索攻擊與人工智慧驅動的攻擊模式相同，為何企業受駭家數會呈現快速攀升的現況呢? 我們從下圖駭客的攻擊程序進行解析，大致就可以找到一些脈絡及關鍵因素，說明如下

A. 傳統防毒軟體已失效: 因為早期企業都會在主機端加強防護措施，而端點設備就靠防毒軟體抵 禦，10幾年來似乎也沒太大問題，但現今的惡意軟體技術不斷的演進，已可以有效迴避傳統防毒 軟體的偵測技術，潛伏在企業內部的網路環境，即使惡意軟體尚未發動攻擊，但是企業已危機四伏了。

B. 駭客技術不斷精進: 透過人工智慧技術所生成的電子郵件，讓惡意軟體更不容易辨識。

C. 駭客速度比你還要快: 目前坊間次世代的資安產品，採用大量數據上傳解析與仰賴人工工程更新 學習的模式，其反應速度已跟不上新世代的駭客技術，導致當駭客攻擊發動到資安系統第一次反應 時，災害已經發生，端看受駭程度大或小罷了。

D. 存在離線作業破口: 離線及外部VPN連線作業控管不易，目前坊間EDR( 端點偵測與回應)方案大 多無法有效支援端點離線作業的防護，也是產生防駭的破口之一。

我們都知道，駭客透過社交工程來進行滲透，企業也不斷加強使用者的資安意識及演練，但是為何還是風險難控呢? 因為企業的員工是流動的及浮動的，隨時都有可能因某位員工無意識或無意的誤觸地雷，而造成全公司的影響，最後即便調查已為時已晚，財務及商譽已受損害。

未來與駭客對抗是AI PK的時代 同樣都是AI ，但是卻大不同.... 傳統機器學習(ML)的產品，仰賴人工工程及大量資料上傳以達到學習與更新的目的，其時效及效果相 對受限；拜GPU之賜，深度學習框架的AI資安產品得以順利推行於市，以主動預防的方式對抗AI驅動 的勒索軟體及未知威脅。

我們建議在佈建資安防禦機制時，可以把握以下幾大主軸進行評估與規劃

• 主動預防 : 預防勝於治療，您是要跟駭客決戰境外，而非讓惡意軟體進到公司網絡 後，再做近身防 禦阻攔。
• 速度及精準度 : AI時代來臨，資安防禦的反應速度必須比駭客的攻擊速度更快及具備低誤報率，才 能先發制人。
• 防禦主從思維 : 早期防護主機就好、有備份就好的傳統思維將被改變，主機及端點其實都一樣重 要，端點是 主要對外的裝置，端點甚至比主機重要。
• 輕量低耗: 過往防毒軟體除了資源耗用過重之外，常常與一些專業軟體互相衝突，所以導致一些研 發單位同仁必須移除防毒軟體提升效能，造成資安漏洞。
• 易於管理：一套智能的資安防護解決方案，是協助IT人員進行防禦工程，簡便的管理也很重要。

駭客發動攻擊所造成之企業有形無形損害已成為企業經營不可控的重大風險之一，相信股東、客戶、供 應商等利害關係人也都會相當程度的關注此議題，在企業ESG永續經營及報告書中，都應在公司治理 面向予以揭露，而 臺灣證券交易所（證交所）更於新修訂重大訊息問答集第26款的內容，要求上市公 司只要發現遭駭客攻擊或入侵，不論是否涉及核心資訊系統、機密文件 ，都屬於對公司造成重大損害 或影響，需發布重大訊息對外揭露；近來台灣企業受攻擊量已躍升為全球第一名，又因為RaaS的盛 行，受駭企業已不分規模及產業，我們團隊協助過的案例客戶，員工人數從數萬到15人規模的企業皆 有，最終受駭企業改採Deep Instinct取代原有EDR及防毒軟體進行預防防禦，所以企業不應再漠視這個 資安可能帶來的經營風險，應盡早做好企業資安防謢準備才對。

參考連結: https://www.qiso.com.tw/#DI

錡碩資訊有限公司

www.QISO.com.tw