12/09/2023
黑客借人工智能進行網絡攻擊?數位化轉型為數碼網絡帶來保安風險!網絡安全要「人防」+「技防」
隨著科技進步,網絡攻擊的手段日新月異,以零日攻擊(Zero Day Attacks)為一例子,由於不法分子利用漏洞來入侵,為免打草驚蛇,他們往往會以「螞蟻搬家」的形式盜取資料,不法分子可一直入侵系統。故傳統只以特徵檢測(Signature-based)為基礎的安全工具往往難以有效應對。
ISACA全球董事會成員、福布斯技術委員會、世界經濟論壇專家網絡及特邀教授Jason Lau早前向筆者表示:「Microsoft推出2023年7月例行資訊安全更新修補包『Patch Tuesday』,共修復132個資安漏洞破了已有的記錄;其中含有 6 個是屬於已遭駭侵者用於攻擊的Zero Day Attacks 漏洞。在2023年月Patch Tuesday修復的漏洞數量有132個,較上個月(2023年6月)的78個資安漏洞多了很多;而在這132個漏洞中有多達6個是屬於已知遭到駭侵者用於攻擊的0-day漏洞,另外還有37個遠端執行任意程式碼(RCE)漏洞。」
水能載舟,亦能覆舟。不法分子亦可借助人工智慧亦可生成虛假資訊,進行身份盜竊和散播虛假訊息等欺詐行為。這項技術撰寫更像真的釣魚電郵,在人工智慧的協助下,他們不但能消除過去常見的拼寫或文法錯誤而不致被輕易識破,甚至無懈可擊以更快的速度發動攻擊。
然而,創新技術並非網絡安全的萬能妙藥,故在發現安全性漏洞之後需要處理:如合理披露、進行報告、向廠商及合作夥伴報告、也向公眾披露相關事宜;安全披露,漏洞發現者將安全性漏洞披露給不特定公眾是早前數碼港遭黑客入侵後已立刻採取行動控制,包括報警處理、關閉受影響的電腦設備和在獨立的網絡安全專家協助下迅速展開詳細調查。但為審慎起見,數碼港亦通報個人資料私隱專員公署。
數碼港一直致力為用戶提供更佳的透明度及負責任地披露是次事件,用傳統的安全性漏洞披露是以負責任披露為核心。深信在下一個階段,是以協同披露為趨勢的現代漏洞披露政策。
網絡犯罪隱蔽性跨國性增強作案手段不斷推陳出新,在各式各樣思維引導下,合理選擇偵查技術,同時加強證據意識。偵查本身屬於經驗學科不是經典學科,要不斷總結經驗教訓、分析既有的不足。同時網絡發展日新月異,要不斷學習、更新自己的防衛能力及不間斷檢視日常營運流程。
數位化轉型帶來的好處無處不在,數碼轉型的演進帶來了數碼網絡上保安風險的增長。根據保監局的數據,2020年香港因數碼犯罪導致的金融損失已達29億港元,該數字在過去10年內增長了20倍。隨著科技和商業急速演進,人們對新科技駕馭得更為純熟,金融服務行業正持續轉型。其實不論是政府或民間組織也應研究各式各樣創新的方案,如金融科技公司及網絡保安專家更應該要擔當「先行者」的角色,以減少因網絡攻擊遭受的損失。為香港企業提供一站式的風險防護機制,尤其是為中小企業及全香港市民多進行教育推廣,分享最新的資訊,人防與技防交互融合,成為智慧安防的重要模式,過去這種融合往往表現為「互相補給」, 數碼化賦能「人效」提升,有著更廣闊的發展機遇。
由作者提供
【與拍賣官看藝術】畢加索的市場潛能有多強?亞洲收藏家如何從新角度鑑賞?► 即睇