網絡安全新危機:以人工智能及周全管理降低風險
網絡安全新危機:以人工智能及周全管理降低風險
在數碼化的趨勢下,網絡安全已成為企業順暢運作的基礎。萬一發生事故,除可造成財務和聲譽的損失,更有機會惹上官非。2021年,曾有外國電訊商因資料外洩而遭集體訴訟,最終需賠償3.5億美元。
生成式人工智能的潛在安全威脅
隨著科技進步,網絡攻擊手段亦變得多元化。因此,即使管理層充分意識到網絡安全的重要,亦未必具備有效的方式應對當今挑戰。香港電腦保安事故協調中心於2023年發佈保安預測[1],其中一項指出人工智能(A.I.)或會遭黑客利用編寫惡意程式或製作偽冒訊息。隨著ChatGPT等生成式人工智能(Generative A.I.)越趨盛行,人們的工作效率得以提升之餘,背後更大的網絡安全風險亦值得關注。
生成式人工智能的寫作能力讓人驚嘆。早前,外國一位司機因未有收到第一次罰款通知,而收到最終罰款100英鎊的通知;他遂利用ChatGPT代筆寫信,成功把罰款降回至原本的15英鎊[2]。
水能載舟,亦能覆舟。不法分子亦可借助這項技術撰寫更像真的釣魚電郵,在人工智能的協助下,他們不但能消除過去常見的拼寫或文法錯誤而不致被輕易識破,甚至以更快的速度發動攻擊。人工智能亦可生成虛假資訊,進行身份盜竊和散播虛假訊息等欺詐行為。
除此之外,生成式人工智能亦有機會被用於撰寫惡意程式。今年初,有網絡安全公司發現由ChatGPT生成的惡意Python程式碼,能夠搜索系統常見的12種檔案,然後把檔案壓縮再傳到網上[3]。雖然生成式人工智能現階段仍未能開發成熟的惡意程式,但已可預見背後的可行性。即使是技術水平有限的不法分子,亦可利用這些技術進行惡意行為。
以人工智能驅動的網絡安全方案應對未知攻擊
面對日新月異的網絡攻擊,既有的防禦方式難以發揮最大保護。以零日攻擊為例,由於不法分子利用尚未公開的漏洞來入侵,傳統以特徵檢測(Signature-based)為基礎的安全工具往往難以有效應對。因此,除非零日漏洞被組織偵測,否則不法分子可一直入侵系統。為免打草驚蛇,他們往往會以「螞蟻搬家」的形式盜取資料,直到組織發現時也都為時已晚。
由人工智能驅動的技術已成為網絡安全的一大元素。其中,網絡偵測與回應(Network Detection and Response,簡稱NDR)方案正受到關注。NDR藉著人工智能網絡流量分析,結合機械學習、行為建模(Data Modelling)和規則式偵測(Rule-based Detection)拆解數據封包,識別正常及可疑行為。由於網絡流量龐大,單靠人手難以一一識別,而透過人工智能的協助即可自動化應對,提升準確度之餘亦舒緩人手壓力。
完善管理全方位控制人為疏忽
然而,新興技術並非網絡安全的萬能藥,因為不少安全事故皆由人為疏忽導致。密碼就是其中一個漏洞—坊間不少報告指出,「123456」仍然是常用的密碼之一,亦有人會把密碼貼在辦公桌上或與人共享,使機密資料容易被未授權的人士存取。
因此,良好的管理對網絡安全防禦亦非常重要。由國際標準化組織(ISO)及國際電工委員會(IEC)制訂的「資訊安全管理系統標準(即 ISO/IEC 27000系列)」,便為不同類型和大小的組織提供建立、推動、維護和改善資訊安全的指引。
其中最廣為人知的是ISO/IEC 27001《資訊保安、網絡安全與私隱保護—資訊保安管理系統—要求(Information technology – Security techniques – Information security management systems – Requirements) 》,從「機密性(Confidentiality)」、「可用性(Availability)」和「完整性(Integrity)」入手,協助組織就員工、流程和技術制訂各項政策和程序,保護資訊資產安全。
最新版本的ISO/IEC 27001已在2022年推出。對組織而言,獲取ISO/IEC 27001認證不但確保敏感資訊交流的安全、降低事故發生機會,亦為客戶提供信心,並有助於合規。
富士膠片商業創新香港守護企業網絡安全
展望將來,隨著各行各業擁抱數碼經濟,背後的網絡安全勢成關注焦點;同時,各地政府對私隱及數據保護的要求日趨嚴格,組織需要更努力以達至合規要求。
富士膠片商業創新香港提供的網絡安全管理服務已結合人工智能,利用自設服務運作中心(Service Operation Centre)分析各方面的流量數據,識別惡意行為並及時通知客戶。
作為已通過ISO/IEC 27001認證的企業,富士膠片商業創新香港透過資訊科技人才提供支援,協助不同企業按照專業守則落實各種策略,提升數碼安全成效。
[1] Hong Kong Cyber Security Incidents on the Rise HKCERT Urges the Community to Raise Information Security Awareness
[2] ChatGPT: Motorist uses AI chatbot to challenge Gatwick Airport fine - BBC News
[3] OPWNAI: Cybercriminals Starting to Use ChatGPT - Check Point Research
