現在許多人的日常工作都受惠於生成式 AI 的崛起,變得更加便利且快速。相對地,生成式 AI 也提升了網路犯罪份子的攻擊便利性。
趨勢科技威脅研究副總裁兼 ZDI 零時差漏洞懸賞計畫負責人 Brian Gorenc 接受《科技新報》專訪時提及,生成式 AI 對企業資安來說,最便利之處在於可為企業資安系統自動上修補程式,或是提供相關資安建議。對於企業資安來說,可以妥善且正確地運用生成式 AI,以做好風險防護與管理。
但在生成式 AI 亦能輔助資安問題變得更加難以防禦。Gorenc 以傳統的釣魚信件為例,過往的釣魚信件總會存有一些缺陷,讓人可以一眼看穿這是釣魚信件。
「生成式 AI 可以讓這一類信件看起來沒那麼『釣魚』」,Gorenc 指出,生成式 AI 最厲害之處在於可以搜集許多相關的事物,這之中可能就包括特定企業寫 e-mail 的風格,這時候接收者可能就很難判斷出這是不是一封釣魚信件。
另外,過往釣魚信件如果遇上複雜的語系,看起來的破綻會更多,像是法語或芬蘭語。Gorenc 表示,過往釣魚信件手法在法國很難成功,因為當地語言相當複雜,人們在收到釣魚信件時很容易發現這是假的。
但有了生成式 AI 就不一樣了。生成式 AI 可以寫出正確的法國用語,讓釣魚信件的用字遣詞變得更加道地,讓這一類的詐騙變得更加容易。
生成式 AI 影響從駭客競賽也可看出端倪
Gorenc 其實還有另一身分,就是世界知名駭客競賽 Pwn2Own 的評審,而他在近年的競賽中,也看到了生成式 AI 帶來的影響。他指出,其實現在駭客所使用的生成式 AI 技術還處於早期階段,但是從競賽中已可看到駭客會利用生成式 AI 開始做漏洞發掘。
舉例來說,Gorenc 在競賽中曾看到不熟悉汽車產業的駭客,利用生成式 AI 來快速了解電動汽車的充電器可以如何攻擊。過程中駭客就會詢問生成式 AI 這款充電器使用何種協議,並進一步詢問該如何編寫協議相關程式碼來觸發協議的程式碼,隨後就從這項裝置中取得韌體,這時候駭客就可以了解如何尋找當中的錯誤並加以利用。
「生成式 AI 實際上可以輔助駭客進行開發概念驗證」,Gorenc 指出,AI 技術使駭客能夠更容易找到內部錯誤,雖然生成式 AI 不會自動產生漏洞,但仍帶給網路犯罪份子一個很大的優勢。
企業應做好數位資產清點
無論生成式 AI 是否將造成一波資安威脅,實際上企業資安仍得關注人才需求落差與數位資產清點。
趨勢科技台灣區總經理洪偉淦指出,無論是何種領域的企業,在經營中總是會面臨資金的障礙,因此趨勢科技也會鼓勵企業用戶,應該要對企業面臨的風險上,進行維護跟管理工作,並清點現有資產、設定資產的資安風險高低等級,再來提出相對應的方案跟措施。
企業要了解自己可能被攻擊的點在哪裡,這時候資產清點就顯得相當重要,在清點的過程中了解這些資產可能隱藏的漏洞、進行優先順序排序;換句話說,企業應該要先了解哪些漏洞是最關鍵、危險的,且要第一時間修補。
洪偉淦表示,企業客戶時常面對的問題就是「不知道這個漏洞存在」,也「不知道存在於哪些數位資產中」。所以才會建議企業用戶,應該要盡早清點自家的數位資產,才能盡快地進行修補。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
