AI趨勢專欄
AI崛起,會對企業資安造成何種影響(2)
生成式AI結合深偽技術?如何防範新種社交工程攻擊
報告類型
發布日期
2024/08/07
社交工程是利用「人」作為弱點發動的惡意攻擊,因為不帶有明顯惡意,讓企業難以防範。如今,生成式AI的普及為駭客提供了強大的語言與分析能力,能針對受害者量身訂製攻擊。不僅如此,這些技術還結合了深偽技術,使駭客能製作出高度真實的BEC郵件,並通過電話、視訊、簡訊、QR code、社群媒體等多種媒介發動精確的社交工程攻擊。
對抗AI威脅不能僅依賴防護系統,「人」也該加入資安防線
生成式AI和深偽技術的發展,大幅改變了社交工程攻擊的形式,此類攻擊通常具備以下特行,難以被企業防護系統偵測:
- 動態調整訊息內容
生成式AI能根據受害者的反應動態生成內容,或是模仿企業內常用的措辭與格式。這些靈活多變的攻擊手段,難以透過靜態規則或關鍵字比對偵測。 - 整合多媒體內容
若是與深偽技術結合,便可以於訊息中夾帶虛假影像和語音,並藉此發動社交工程攻擊,這些多媒體元素不易被現有的防護系統全面分析和識別。 - 規避偵測技術
生成式AI能持續調整訊息內容以規避偵測,這包含修改文法或使用非典型的語言結構調整語言結構來避免被防護系統標記。
而這些透過AI工具製作的社交工程攻擊,若是透過電話、視訊會議、社群媒體來傳遞,企業防護系統只會更難以顧及。唯一的共通點是這些攻擊最終都會接觸到「人」。唯有讓「人」加入資安防線,才能彌補防護系統的侷限,共同守護企業安全。
軟硬體靠更新跟添購新設備強化安全性,那「人」又該如何強化?
Google專家近期的研究指出,類似早期火災演練的全體突襲釣魚測試可能效果有限,除了部分員工依舊會再次上鉤,員工也可能會認為資安部門在「玩弄」他們,從而降低信任,長期而言不利於公司安全防護。
要安排有效的資安培訓,我們可以從駭客的釣魚攻擊手法中借鑒。他們利用AI生成逼真的信件,並針對受害者的部門和職位進行定製。同樣,我們也該評估公司的行業類型、員工職位和資安意識等,為員工量身訂製演練方案。
傳統上,通常僅對演練上鉤的員工進行統一訓練,但這忽略了運氣好而未上鉤的員工。訓練的目的是確保員工知道正確的做法,訓練的對象應包含沒有舉報可疑訊息的員工,以「改變行為」為目標,鼓勵員工主動舉報可疑訊息,並趁員工記憶猶新時盡快安排訓練課程,避免員工早已忘記自己如何上鉤。
最後,隨著社交工程手法的快速變化,資安培訓不能只依賴一次性課程。應根據員工行為的改變評量培訓成效,並將結果納入未來培訓計劃中。通過持續的資安教育,企業中的「人」能夠主動參與威脅檢測,便可為企業再築起多道防線,與您一同守護安全。
水能載舟亦能覆舟,生成式AI帶來便利性的同時也帶來風險,員工必須要時刻保持警戒並做出安全的行為。若您正因資安意識培訓難以見效而苦惱,不妨嘗試透過ACE教育框架進行持續性的培訓,或是參考Proofpoint PSAT如何運用ACE改善員工的行為、將「人」打造成企業強大的防線。
我想了解......
我想了解如何應對新興資安挑戰,請業務提供相關資料或安排拜訪。