Generative AI生成式人工智慧以王者之勢席捲全球,特別對於資訊安全領域而言,AI人工智慧的應用被視為雙面刃,便利之餘也助使惡意攻擊手法更迅速、更多樣化、且更具侵略性。自2022年開始,全球社交工程與BEC商業電子郵件詐騙事件呈指數型成長,Data Breach Investigations Report 2023 統計顯示過去一年BEC事件增加高達50%,而依據Perception Point進階威脅防禦資安服務於2023年至目前的實際攔截統計數據顯示,其全球數千家客戶BEC相關的威脅事件增加高達83% !
惡意攻擊者利用AI精進演化出嶄新的攻擊手法,資安防禦無法再墨守成規,市場上常見的沙箱、防火牆、垃圾郵件過濾、防毒程式、行為學習等此類僅有偵測、特徵比對、情資資料庫的解決方案將不足為據,面對GenAI與窜端匿迹的各類新興進階郵件攻擊手法,企業組織更須審時度勢的加速部署精確有效之AI應用防禦機制,同時兼具高效事件應對能力方可以AI對抗AI。
Perception Point 於2023年8月委託全球科技資訊業信賴的研調機構Osterman Research (https://ostermanresearch.com/) 進行的「The Role of AI in Email Security」研究調查,共訪問了全球148名中大型企業組織的資訊安全相關主要管理人員,這項研究調查報告結論出針對新興威脅採取先進的資安防禦措施的必要性。
Perception Point次X世代專利 HAPTM 遞迴拆解動態偵測技術結合了CPU-Level數據指令演算分析與Large Language Models(LLMs)及Deep Learning的AI應用架構,新推出的 GenAI Decoder™ 專為偵測和緩解、防禦由AI啟動的威脅行為所帶來的風險而設計,為威脅防禦標準訂定新業界標準。
Perception Point提供360°協作管道資安防禦,以15秒平均速度進行100%內容掃描,精確偵測與攔截GenAI BEC商業電子郵件詐騙,以及網路釣魚、勒索軟體、偽冒攻擊、ATO帳戶接管、惡意程式、零日與N日漏洞、垃圾郵件、惡意的 Office 巨集、檔案、URLs、QR Code等,並同時支援Mac與Windows雙系統。不論是GenAI-based、或不觸發任何Indicator of Compromise的威脅攻擊(即針對反沙箱偵測進行規避設計並將惡意程式藏匿於內容物件,如: 多層式超連結、文件檔內的VB或Java程式碼)等,Perception Point皆逐一進行層層遞迴拆解的偵測、掃描、分析、阻絕。
近年台灣在政府積極推動各項政策與金管會對於雲端應用適度鬆綁,加速促使數位轉型與雲端服務的普遍化,資安防禦的議題與需求亦迅速延伸至各類雲端服務,如:Google Drive、OneDrive、Microsoft Teams、SharePoint、Dropbox、Box、Salesforce、Amazon S3、Zendesk等。雲端服務普及與否,取決於成本效益、可擴充性、速度、安全性及敏捷回應能力等多重條件。
唯運用涵蓋面遍及全球與各類協作平台進行深層內容偵測解析以及24/7 Incident Response團隊服務,方能即時有效抵禦各類新興的惡意威脅,更重要的是,必須能極快速完成100%內容掃描及偵測,遞迴拆解及深層揭露每一層物件內之檔案、程式碼、URL、巨集、執行檔等,甚至於針對CPU-Level指令進行動態偵測掃描,運用Deep Learning、LLM的AI架構迅速關聯分析大量數據,辨識惡意內容的模式和行為,提高潛在與未知威脅的偵測率與準確度。
欲索取Osterman Research「The Role of AI in Email Security」研究報告: 請點選
漢領國際資安產品技術總監 黃漢宙
綜觀多家國際研調機構之 2019 資安趨勢分析報告,顯示了以下共同關注焦點:
漢領國際資安產品技術總監 黃漢宙認為可善用以下資安策略達到立竿見影的成效:
國內近期幾起重大資安案件,經調查皆與一般/特權/外部維護等使用者帳號所造成的內部威脅有關,但往往卻因無法迅速有效地訂定調查方向或還原案件軌跡 (有效數位證據),更常因證據能力不足或證據不完備而被駁回或不予起訴,造成受害單位承受龐大的實質壓力與形象損失卻無從求償。有鑑於此,日前一場由台灣數位鑑識發展協會 (ACFD) 與漢領國際有限公司共同主辦,行政院資訊安全處指導,金管會資訊服務處、法務部調查局資通安全處、中國民國軟體協會協辦的「內部威脅管理與數位證據完備論壇」,吸引了來自政府、金融及各界近140位代表熱烈與會,顯示「內部威脅管理」以及「數位鑑識舉證」已成為台灣各界格外重視的議題與焦點。 士林地檢署 邱獻民檢察事務官組長表示,許多國內企業因不具備充足法律與數位舉證常識,每當資安案件發生時,所提出的事後數位舉證往往無法還原事實的真象,因而不具完備的證據能力,導致被告不予起訴。由於數位證據必須通過「同一性」、「真正性」、「關聯性」等三項檢驗才具備「證據能力」,同時須依據刑事訴訟法第165-1條規定,在法庭上能夠進行清楚有效的呈現還原人事時地物,方符合經合法調查之嚴格證明程序與證據調查的要求。因為視覺化數位證據若能精準地還原資安案件軌跡的人事時地物,且符合嚴格證明之資料的形式資格,可具備證據能力,同時,若視覺化軌跡回播可證明具備不可竄改性,對於在認定事實的過程中能發揮作用之實質的價值評價,有效地增加證明力 (證據價值),相對的有助於加速資安案件偵查與破案的時程與可能性。 由漢領國際所代理的ObserveIT視覺化內部威脅偵測使用行為分析解決方案具備事前事中對內部威脅與使用者行為風險偵測分析的能力,與事後不可竄改並還原的視覺化軌跡能力,讓企業組織能在資安案件發生前有效導正告警使用者行為,並提供完整視覺化的偵測、中斷/阻絕、分析與調查機制,落實資安防護政策與管理;一旦資安案件發生時,藉由視覺化軌跡收集確鑿的鑑識證據,確保數位證據的完備性,防止證據遭到滅失或竄改。 ObserveIT v6.7版推出全新風險分析儀表板,可針對整體內部威脅趨勢進行分析比較,並可對個別使用者的風險行為分析呈現曲線變化,讓管理者迅速即時偵測分析風險來源與類型,掌握第一時間進行判斷與回應。內建超過180個隨選即用暨7種群組化警示規則 (Insider Threat Library; ITL),快速針對特定使用者群組進行同步設定,更可依內部資安規範自行定義警示規則與群組,如:特權帳號、第三方廠商、一般使用者及離職員工等,進行統一套用相同風險規則及分類。此外,v6.7版本還整合了惡意網站威脅資料庫,內建超過280億個分類網站URLs並隨時更新,有效偵測並告警、中斷使用者存取惡意或釣魚網站之行為。 茲就幾起資安案件作為範例,說明ObserveIT可如何做到有效內部威脅管理,以及完備的數位鑑識舉證,真正達成視覺化「事前偵測阻絕」、「事中蒐證回應」與「事後鑑識舉證」的資安管理目標:
了解更多ObserveIT 產品訊息:按此連結
|
三月中旬國內再次爆發大型資安事件,駭客以釣魚信件植入惡意程式,潛伏數月取得伺服器權限後發動攻擊。從近幾次重大資安事件顯示,駭客入侵管道多為:內部使用者經由釣魚郵件或上網瀏覽遭植入惡意程式,經數月甚至更長時間潛伏後,竊取內部網路架構及重要伺服器之特權帳密發動攻擊。 司法院發佈說明指出,駭客入侵手法為鎖定台南法院電腦訓練教室的Windows XP作業系統弱點,表面看來Windows XP老舊系統的資安漏洞致使駭客有機可乘,但即使升級至Windows 7甚至Windows 10也並不能保證從此免於零時差攻擊,故必須搭配關鍵性且立竿見影的解決方案,才能有效防範資安事件再度發生。 漢領國際建議實施幾項重要資安措施: Ericom Shield虛擬隔離技術有效遏止網站內潛藏惡意程式、電子郵件連結及下載內容的惡意攻擊手法,即使老舊作業系統礙於應用程式相容或預算無法升級,亦可立即過濾隔離潛藏的網站攻擊程式。Ericom Shield為防範資料傳遞時機敏資料外洩 (Cross-Site Scripting (XSS) 跨站腳本攻擊),每個瀏覽器工作階段或獨立頁籤都運作於各別獨立容器內。一旦瀏覽器被關閉或逾時,容器隨即被銷毁,連同任何惡意程式碼也一併消除。而透過網頁下載的文件到達使用者端點設備之前,預先執行檔案內容無害化與重組 ( Content Disarm and Reconstruction,CDR)機制加以掃描及淨化,確保使用者不因下載檔案而遭受威脅攻擊。 ObserveIT提供Data、應用程式、各類系統的權限控管、檔案存取進出歷程追蹤與數位證據保存,威脅可視性的涵蓋面已延伸至檔案一致性、網路連結、系統執行序、系統日誌等分析與監控能力。原解析視覺化加密軌跡精確還原事件過程以利辨識行為意圖,以完備「事前偵測阻絕」、「事中蒐證回應」與「事後稽核舉證」之內部威脅管理。 LogRhythm智慧型資安情資數據即時分析平台為新世代具代表性之Security Intelligence Platform,除了自行開發之日誌管理外,還具備了網路深層封包分析(DPI)、系統端點監控Agent、使用者與實體應用行為分析(UEBA),也可以整合、收納來自作業系統、應用系統、資料庫、網路設備及資安防禦設備的系統日誌,形成企業組織內龐大資安情資生態,並運用LogRhythm內建的人工智慧 AI 引擎與機器學習自動進行關聯性與進階分析,從系統、網路、應用程式、資料庫、流程到使用者行為等,LogRhythm全方位監控初期入侵、中期潛伏到期末發動前的可能威脅,以及並整合SmartResponse™自動威脅回應機制,可協同事件處理、自動排除及保留完整稽核軌跡之需,提供完整的 End-to-End TLM 威脅生命週期流程管理。 了解更多 LogRhythm產品訊息
|
針對來自英、美、德、法、澳等各大企業1,000名員工就「保護企業數位資產」議題所進行的「2016 Market Pulse Survey」調查報告中提出幾點令人震驚的發現:65%的受訪者承認只使用一組密碼登入不同的系統/應用程式,其中1/3的人甚至會和工作夥伴共用密碼;而1/5的受訪者願意出售密碼給第三者,較前一年的1/7成長了近40%; 更有甚者,超過40%受訪者表示在離職後,仍使用前公司帳號登入。有此可證,若企業組織對於使用者身份驗證無法進行更安全確實的辨識驗證,在面對更開放的雲端環境時,必將遭致更重大的內部威脅。
近年來,全球Cyber Security議題與知名研究機構的報告,一致強調User-Based Security的重要,企業組織必須落實被授權使用內部機敏資料、系統、應用程式的使用行為管理,而身份進階驗證將能有效遏止使用者密碼共用或洩露帳密之惡意行為,從第一道防線嚴防內部威脅。放眼市場進階身分驗證的應用,多數仍採用傳統式Time-Based的OTP一次性密碼,殊不知OTP無法解決密碼共用問題: 只要使用相同帳號,在時限內取得並輸入一次性密碼,就能長驅直入企業資訊資產的核心。
Datablink是一套All-in-One且經全球數百萬用戶實證的最佳進階身份驗證與交易簽章的全方位解決方案,提供行動裝置與實體Token進階Challenge-Response驗證。其Out-of-Band三合一專利光學感應技術,能有效防制密碼共用、中間人攻擊 (MitM、MitB) 與社交工程攻擊,並可整合VPN Radius驗證、網路登入LDAP、Web Service應用程式,或雲端平台SAML驗證等應用,為企業提供高安全性的進階身份驗證。Datablink於2016年初被全球知名資訊技術研究分析機構Gartner 2016 Market Guide使用者身份驗證市場指南評定為「具代表性廠商」,其行動與實體Token – Mobile 200與Device 200,亦獲得「SCMagazine雜誌」2016年4月號「身份驗證項目」5顆星最高榮耀評比之殊榮。
Datablink Web-Based管理平台主機 (DMS: Datablink Management Server) 可藉由SAML驗證與雲端應用平台如:Office 365進行整合,快速管控使用者身份驗證,使用者在登入系統時,可選擇搭配不同載具,如:行動手機或實體Token; 亦可選擇以安全性更高的Challenge-Response驗證方式,透過手機Push或讀取QR Code,或以Datablink獨家專利的Blinking三合一光學實體Token讀取技術,進而產生Response Code,於輸入後快速完成進階身份驗證之登入動作。
2.使用者確認電腦螢幕及手機端的Challenge Code無誤,再進行身份驗證確認:
3.完成雙因子驗證,登入Office 365系統:
欲了解更多Datablink與Microsoft Office 365、Salesforce、VPN整合解決方案,請與漢領國際聯絡。
最新消息 |
業務洽詢 |
|
本資安快訊為漢領國際所發行,其內容均由漢領國際或其他權利人依法擁有各項智慧財產權及資料所有權。未事先取得漢領國際上述各權利之書面授權而逕自以任何形式使用之情事,漢領國際將訴追其法律責任。Copyright c 2016 JSLead Co., Ltd. 漢領國際有限公司. All rights reserved.