CyberArk預測|深偽技術盜用身份成趨勢 逾半企業承認保安措施不足
原文刊於信報財經新聞「EJ Tech 創科鬥室」
近年黑客流行以人工智能(AI)技術,深度偽造(Deepfake)假扮企業高層,盜用其真實身份的存取權,之後潛入內部系統為所欲為,令公司蒙受重大財務及數據損失。美國身份安全供應商CyberArk昨發布2024年香港網絡安全預測,強調AI及生成式人工智能(Generative AI)將繼續用於網絡犯罪,提醒企業需提高警惕及安全意識,分辨受操縱的內容及虛假身份。
CyberArk引述2023年身份安全形勢報告,去年香港有56%網絡安全決策者承認,其企業內擁有最高存取權限的用戶(例如IT管理員或其他特權賬戶)沒有得到充分保護。CyberArk北亞區技術總監莊龍源提到,黑客時至今日不再使用強暴式攻擊,而是以AI創建逼真的虛假身份,例如以實時深偽增強社交工程攻擊,出於惡意目的欺騙個人或系統。
會話劫持料成重要手段
報告預計供應鏈(Supply Chain)攻擊,尤其供應鏈連鎖攻擊,今年將有所增加。背後攻擊原理是,黑客首先獲得一個系統的存取權,繼而利用互連、受信任但較脆弱目標的漏洞,滲透安全等級更高的系統。此外,黑客會利用連線劫持(Session Hijacking),竊取用戶連線資料及網頁瀏覽器cookie,避開身份認證存取網絡服務及賬戶內容,例如網上銀行。
莊龍源又指出,隨着谷歌(Google)、蘋果公司(Apple Inc.)及微軟(Microsoft)等科企的系統,開始支援密碼金鑰(Passkeys)功能,無密碼身份驗證正蓬勃發展。用戶可利用手機等設備,創建及持有數碼鑰匙,需要時驗證解鎖登入,毋須記住眾多網上密碼。
CyberArk預測2024年,會話劫持成為重要網絡攻擊手段,深偽亦更複雜而難以偵測。到了2025年,八成企業恐無法保護由AI驅動的網絡安全機制,資訊及網絡安全總監在壓力下,會及時並透明地披露外洩事故。當發展至2026年,近半美國財富500強企業的董事會,將尋求人工智能安全總監。
加強培訓 實施零信任策略
莊龍源建議企業定期評估供應商的安全能力,慎防對方外洩客戶資料。他指大企業每一位員工隨時擁有45個電子賬戶,部分人以相同電郵地址,重複登入不同平台,足以令黑客有機可乘。企業亦要培訓員工,加強其安全意識,改善操守及使用方式。除了實施零信任策略,也從網絡安全方面,留意更多AI相關應用。
CyberArk香港及澳門區域總經理劉珮詩稱,公司以特權存取管理(Privileged Access Management)為核心,為任何身份(人或機器)提供網絡安全服務。自2007年起在香港營運至今,現時本地有近200個客戶,涵蓋金融服務業、公營機構、電訊業及大型企業。她預計更多企業邁向雲端架構,如何保障雲端的員工身份,料是今年的大趨勢。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
Related Posts
