面對 AI 駭客精準快速攻擊,Palo Alto Networks 以三大資安防禦重點有效提升企業防護量能!

隨新一代 AI 技術進步,駭客會利用 AI 自動生成惡意程式或是釣魚郵件後精準攻擊目標,面對加劇的網路攻擊,企業該如何以創新技術提高資安防護量能?日前科技報橘舉辦的資安創新高峰會,邀請 Palo Alto Networks 資安解決方案顧問李長樹,分析 2023 年駭客攻擊趨勢及資安防禦重點,協助企業強化資安防禦網。

網路釣魚與資安漏洞攻擊佔七成,小心駭客拿錢又偷資料!

李長樹首先引述 Palo Alto Networks 旗下資安顧問服務團隊 Unit 42 的分析報告,Unit 42 在分析 600 多個 IR 案件後發現,其中 36% 是勒索軟體攻擊,34% 是 BEC(Business Email Compromise)商業電子郵件詐騙攻擊,若從攻擊手法來看,高達七成是透過網路釣魚或漏洞來入侵企業。

以近 2 個月爆發的波音公司和中國工商銀行(ICBC)美國分公司資安攻擊事件為例,兩者皆是遭到駭客集團 LockBit 的零時差漏洞攻擊,且 LockBit 使用的漏洞都是 Citrix Bleed(CVE-2023-4966),在成功入侵後,LockBit 更植入至少 5 個惡意程式。波音公司因此被竊走高達 43GB 的資料,並因為拒絕繳交贖金而遭公布企業資料;ICBC 美國分公司為了止損而切斷受害系統的網路並進行隔離,導致正在進行的美債結算交易被迫終止,因而暫時欠下美金 90 億元。

LockBit 使用的 Citrix Bleed 漏洞,在 10 月上旬就已經發佈修補程式(Patch),植入的也不是未知的惡意程式,最早 3 年前、最晚 3 個月前就被製作出來,換句話說,LockBit 並沒有使用最新或客製化的攻擊手法及工具,就讓這兩家大企業損失慘重。從 Unit 42 的 IR 案件統計分析報告及上述兩起資安攻擊事件,李長樹接著歸納出企業資安防禦的三大重點。

資安防禦重點 1:即時修補漏洞

第一個重點就是即時修補漏洞,在遇到重大漏洞時,資安人員必須在第一時間上 Patch,把漏洞修補起來。雖然大家都知道漏洞修補很重要,但實際執行起來往往因為服務太多、人力不足、服務/系統不能暫停等諸多因素,而無法即時更新修補程式。

因此,李長樹建議企業可以搭配以下兩種資安解決方案來填補漏洞修補的時間差。其一是選擇有效的邊界防禦解決方案,如:次世代防火牆,利用防火牆即時更新特徵碼的機制來阻擋漏洞攻擊;其二是搭配防禦能力強大的端點防護解決方案,如果無法使用正確的安全解決方案產品保護端點,這些設備便會繞過周邊安全措施,而將外部威脅引入環境中。錯誤的端點安全產品會抹煞為了保護網路而做的所有努力。在選擇 XDR 時,企業可以參考 MITRE ATT&CK 過去 5 輪實作的模擬測試結果,同時他也分享了 Cortex XDR 在近期的評測中表現出色。

資安防禦重點 2:善用 AI/ML 機制

第二個重點則是選擇有採用 AI/ML 機制的資安解決方案,打造更快速、更精準的資安防禦網。在速度為決勝關鍵的資安領域,無論哪一種資安攻擊手法都有一個共通點,即一旦成功入侵,就會快速擴散攻擊範圍或發動變種攻擊,而企業與資安廠商只能在後面追著跑、思考如何強化防禦機制,如今透過 AI/ML 機制可以讓企業和資安廠商化被動防守為主動偵測威脅,加速防禦的速度。

李長樹指出,Palo Alto Networks 一直相當重視資安攻防的速度,也不斷追求技術創新,不只最先提出 Layer 7 防火牆概念,也在 2020 年就導入 ML 機制於次世代防火牆產品,讓產品在雲端進行 ML 學習與分析,使次世代防火牆能夠即時識別惡意程式、釣魚網頁、惡意 DNS 查詢等攻擊,提高識別與防禦未知攻擊的能力和速度。

Palo Alto Networks 資安解決方案顧問李長樹表示透過 AI 技術自動化資安維運流程,資安人員可以專注於研究未知的資安威脅。

AI 提高企業資安防禦能力,同時也加速駭客攻擊,前述提及的 BEC 攻擊為國外常見攻擊手法,而國內因為語言的因素,發生頻率相對較低。如今有了 AI 的助力,駭客可以輕鬆跨越語言障礙、快速產出 BEC 郵件,此外還能清楚蒐集到寄件者和收件者的資料,並據此生成 BEC 郵件,讓系統與收件者更難判斷真偽。「已經有越來越多攻擊者運用 AI 縮減攻擊鏈每個階段需要耗費的時間、提高資安攻擊的成功率,」李長樹強調,企業和資安廠商一定要懂得善用 AI 來加速部署防禦機制,讓資安防禦能夠更快速、更精準。

資安防禦重點 3:以自動化來減少資安人力耗損

第三個重點是以自動化來減少資安人力耗損。人力不足不僅為現代企業普遍困境,更是資安領域長期存在的問題,而在 IT 人員稀缺的環境下,唯有將部份工作交給系統處理,以自動化減少人力耗損,才能克服企業資安人員不足的挑戰。

李長樹進一步建議,企業應善用科技去處理重複或單調的資安工作,像 Palo Alto Networks 的產品 Cortex-XSOAR,可以自動化處理資安日常維運工作,減輕資安人員的工作負擔,讓資安人員可以把時間放在更重要的事情上,如:調查重大資安事件、重新檢視及規劃整體資安架構等。

隨著駭客手法日復一日的變化,資安攻擊永遠不會有停止的一天。而身處 AI 時代,企業唯有掌握上述三大防禦重點,透過不斷強化防禦能力與有效分配珍貴資安資源,才能從容應對駭客萬變的資安挑戰。

立即報名【資安創新高峰會】線上場 收看更多精采講座!