生成式 AI 崛起,你要把資安交給誰保護?
2024-09-02
科技新報
新聞來源:
資訊安全離你我並不遙遠。尤其台灣身處地緣衝突中心,Check Point Research今年第二季最新數據,台灣平均每週受攻擊次數居亞太之冠。現在科技發展一日千里,全球又深陷地緣衝突,資訊安全會如何演變?
你常看到 Facebook 假冒名人的詐騙帳號嗎?或還記得 2022 年美國眾議院長裴洛西訪台時,一間 7-11 跑馬燈竟然被中國駭客入侵,出現「戰爭販子裴洛西,滾出台灣」的字幕嗎?
亞馬遜網路服務公司AWS,今年的資安盛會「re:Inforce」,特別以「生成式AI時代下的安全」為題召開。商業周刊專訪亞馬遜的首席安全長施密特(Steve Schmidt),他認為,網路資訊安全正面臨兩大挑戰,一是生成式AI崛起,駭客攻擊更難辨,第二是俄烏戰爭後,不分大小企業開始遭遇國家級攻擊。
生成式AI正在改變資安的運作,「關鍵是,攻擊方和防守方都在改變,兩邊都變得更有效率」,他分析。
在防守方,AI能讓工程師能夠更快處理大量的資料,也能夠快速鎖定需要處理的資安漏洞,「讓一堆人盯著一堆螢幕,慢慢翻閱系統工作日誌的時代已經過去了」。
未來將更常面臨AI強化、國家級的攻擊
攻擊方也同樣被AI強化,施密特說,「尤其勒索軟體現在是非常常見的問題,五年前跟現在根本不能比」。他強調,而且這不是針對某些特定產業,是所有人都可能遇到,包括醫院、地方政府等通常沒有龐大的資安團隊的小型組織,都難以倖免。
根據FBI去年的「網路犯罪報告」,勒索軟體雖然按報案數量排名,並不是最大宗的,但損失金額成長率卻相當驚人,年增達74%。其中前三攻擊目標,分別是公共衛生、關鍵製造業,和政府組織。
施密特解釋,常見攻擊方式是先透過盜取相關人員的身份,再把惡意軟體裝到你的系統裡。而攻擊者盜取身份的方式,通常是透過網路釣魚。「以前我們收到釣魚信件很容易看出寫得很糟,文法和邏輯都有問題,但生成式AI讓攻擊者可以輕易克服這些問題」,他說。
另一個新出現的重大挑戰,是自烏克蘭戰爭開打後,俄羅斯為了阻止各國運送物資到烏克蘭,開始瞄準物流、海運,或鐵路系統,嘗試阻止它們運送物資,「這代表這些公司突然需要面臨國家等級的攻擊,這是從來沒遇過的。」
現在全球地緣衝突頻發,企業面臨的「國家級威脅」恐怕不會只侷限於俄烏戰場一處。
台灣對雲端運算及資安的需求也在不斷增加。AWS於今年6月宣布,將於明年在台灣推出「區域」(region)等級的基礎設施,加入目前全球33個區域級運算中心的行列。
台灣過去只有「本地區域」(Local Zone)級的基礎設施,該等級是「區域」的延伸,仍需要連接到區域級的運算中心才能運作。對於這次升級,施密特表示,「是因為當地(台灣)製造業需要非常低延遲的傳輸,去存取高可用性的資料(註:高可用性指服務不易故障或中斷),這也有助於它們去滿足一些資安規定。」
資訊安全交給誰?是企業最重要決定之一
那麼,該從哪裡著手加強資安?施密特建議,企業首先需要思考:「你有什麼樣的資料?這些資料要存在哪?該如何儲存?誰可以存取?以什麼原因、什麼時間點可以存取?你做的防護如何向政府管制單位證明有效?」
施密特建議企業可以從硬體開始做多重要素驗證(Multi-factor authentication,MFA),電腦裝多重要素驗證的Token(認證裝置),沒有這個Token就沒辦法存取系統中的資料,「我們鼓勵客戶也這樣做,因為一般的MFA,像是簡訊驗證(SMS)根本不夠,很不幸的,SMS其實很好破解」,施密特說。
在軟體面,施密特指出,「決定由哪家服務商來保障你企業的安全,會是你最重要的決定之一」。AWS與許多資安服務商有合作,他舉例,如果你擔心威脅最大的身份盜竊問題,就可以找Okta、Ping Identity、CrowdStrike等。
施密特也強調,不要認為中小企業或是傳統製造業,因為數位化能力較弱,就不適合把資料上雲。正是因為他們沒有足夠的IT人才去管理自己的資料庫,反而更適合使用類似AWS的服務,直接把企業資料轉到受管理的專業資料庫中。
資安人才成為AI時代新焦點
「AI資安人才」,是另一個此次大會上常被提及的新焦點。現任AWS首席資訊安全長(CISO)貝特茲(Chris Betz)在大會上說道,「現在找到AI人才很困難,找到安全人才也很困難,但同時找到理解這兩者交集的人,更加困難。」
當「量」不夠,只能往「質」去追求。施密特表示,「就算我們是非常具吸引力的公司,也不容易招到人,原因是全球的資安人才庫非常有限,所以必須讓我們的人才在工作上更有效率。」
所謂有效率,是只讓真人去判斷那些模糊,屬於灰色地帶的部分。因為電腦很擅長判斷是或否,而且這可以透過AI獲得強化,但中間的它並不知道,這時候就需要聰明的真人去處理。
隨著AI蓬勃發展,人才訓練的需求也跟著提升。根據AWS提供的資料,截至去年10月,AWS發出的課程認證(certification)數量超過126萬,比前一年增長了24%。
跨領域的結合,也是趨勢之一。另一位受訪者,AWS全球安全服務副總裁羅斯曼(Hart Rossman)對商周表示,現在最炙手可熱的高階安全領導人才,最好兼顧三個領域:
第一是具備產業知識,如果你不懂這個產業,很難知道要保護什麼;
第二是很適應科技領域,最好能看懂代碼;
第三是具備資料科學和機械學習的知識。
後兩者看似很難,但他看過的一些案例是,有些人在6到9個月就能透過課程學完,「你不需要回到學校拿個博士學位才會這些」,羅斯曼說。
現任亞馬遜執行長賈西(Andy Jassy)曾說,「安全是我們的Job Zero」,意思是就算第一重要的工作,都得排在資訊安全之後。對安全的絕對要求,是亞馬遜能成為電商及雲端龍頭不可或缺的基石。當資安威脅跟著AI一起成長,或許「Job Zero」的思維將成為所有企業的必修課。
(作者:曹博凱;本文由《商業周刊》授權轉載;首圖來源:Image By Freepik)