在人工智能的發展趨勢和服務型(as a service)網絡罪犯的出現下,今年香港已體會到網絡攻擊如何變得更複雜及多面化。
今年2月發生了一宗涉2 億港元(2,560 萬美元)的騙案, 當中人工智能正是核心所在。一家跨國公司在受騙下支付了巨額資金, 詐騙者利用深度偽造技術(Deepfake)冒充該公司的首席財務官以及其他公司高管進行詐騙。
這突顯了香港企業在應對日益增長的威脅準備不足。根據香港個人資料私隱專員公署和香港生產力促進局的數據,2023 年香港企業網絡保安準備指數較去年下挫6.3點至 47.0點,是自指數成立以來錄得最大跌幅。中小企(43.6點)及大型企業(62.5點)的指數分別下跌7.1點及4.1點。
企業需要比過往更了解系統保安,並防止潛在資料外洩。企業透過掌握關鍵趨勢,就能對保護業務有更完善的考量,做好應對監管環境變化的準備。以下四個範疇的網絡環境變化均可能對企業造成影響。
1. 深度偽造技術的興起
人工智能對網絡安全有重大影響,因為它能夠為網絡罪犯提供大量用作惡意攻擊的工具和機制。上文提及的深度偽造,使人們更難分辨甚麼是真實、甚麼是潛在的騙局。
根據VMWare 2022年的全球事件回應威脅報告,每三名網絡安全專業人員中就有兩人認為惡意深度偽造將在該年被用作針對企業的攻擊手段之一。
深度偽造指透過數位科技改變一個人(例如是網絡罪犯本人)的視訊或聲音,偽裝成其他人。一般情況下,偽造的身份可能是企業認識的人,如供應商或合作夥伴,試圖套取敏感資訊或謀取經濟利益。
深度偽造的應用可能影響小型企業的前台——處理電話和視訊通話的客戶服務或財務團隊可能特別容易受到深度偽造的影響。
這些攻擊也被視為現有威脅的演變,例如企業電子郵件外洩,它們最終的目標相同,但網絡罪犯試圖獲得存取權限的手段正變得越來越複雜。
教育仍然是保安的最重要方法之一。如果有人催促你迅速採取行動,請放慢並在採取行動前思考及確保該互動是真實的,確認你的團隊也對此有共識。這對銀行及個人資訊尤其重要。
2. 混合型網絡威脅
以往的網絡威脅通常是單向的,例如收到一封可疑的電子郵件或簡訊。然而,「混合型」網絡威脅越漸普遍,並以小型企業為目標。
這些威脅涉及幾個階段。首先,你可能會收到一封看似由已知聯絡人發出的電子郵件,隨後會有自稱是發出電郵者的致電給你。反過來,他們可能會發送連結,試圖進入公司系統,如客戶關係管理(CRM)資料庫。
這些威脅的手段主要依賴與內部員工建立信任,目標聯絡企業內的多個接觸點。企業需要確保員工在每個溝通對口都保持謹慎,並意識到這些威脅的潛在危險性。
在員工的網絡安全意識培訓上進行投資是非常重要的。你需要確保網絡安全成為首要考慮因素,融入企業文化中。
3. 雲端保安
由於雲端技術提供了更多的先進技術和提高生產力,小型企業持續增加對雲端技術的使用。然而,這亦增加了安全風險和威脅,其中包括第三方應用程式中的資料保安。
隨著雲端技術應用的增加,小型企業可以透過向雲端技術合作夥伴提出正確的問題來保護自己的資訊。例如在存取雲端應用程式時,有沒有使用多重身份認證?又或與網頁服務供應商聯絡時,使用哪種安全措施確保網站和網絡安全?
這有助了解雲端合作夥伴所採取的網絡措施,以及所需的網絡保安服務。
4. 釣魚式攻擊即服務
釣魚式攻擊在這幾十年來已經司空見慣,通常是透過發送電郵或其他資訊,獲取密碼和信用卡號等個人資訊。然而,透過「釣魚式攻擊即服務,這些攻擊變得更加普遍。網絡罪犯透過充當服務供應商,幫助犯罪分子實施複雜的詐騙,以換取報酬。
運用人工智能後,釣魚式攻擊的精密程度也達到了新的高度。它們可以幫助撰寫拼字和語法正確的電郵、具有內建翻譯功能,使英語能力有限的攻擊者也能編寫高品質的電郵。
雖然釣魚式攻擊的越來越精密,但小型企業可以採取一些保護措施對付這些攻擊,包括教育員工檢查所有付款請求、實施有助於防範網絡釣魚攻擊的流程和電郵安全解決方案。
降低風險,保障企業安全
網絡安全是一個持續發展的領域,但企業可以採取一些措施,提高抵禦風險的能力,做好充分準備:
| 步驟 | 行動 |
| 員工教育及培訓 | 教育有助保障你的企業,避免新興的威脅,並建立強大安全意識 |
| 制定網絡事件應對計劃 | 利用人工智能工具制定計劃,迅速增長知識 |
| 編訂減低安全風險的程序 | 在團隊中進行測試和演習,為網絡攻擊做好準備 |
| 定期備份 | 定期備份資料並制定災難復原計劃 |
| 尋求支援 | 借助技術生態系統合作夥伴的支援,以全面應對 |
現今世界互聯互通,為網絡攻擊者提供許多破壞國家、組織和個別人士的機會。網絡攻擊變得越來越頻繁,也越來越複雜;同時,它們可以是無形、代價高昂而且無所不在的。
每個組織都擁有包括雲端在內的一系列設備、網絡、平台和基礎設施,而這些設備的複雜性引致各種漏洞的出現。持續忽視網絡安全可能會導致災難性後果,包括營運中斷、系統效率降低、不合規、贖金要求和罰款等。網絡事件的影響可以在幾天、幾個星期甚至幾個月後波及整個組織。
要管理和降低網絡安全風險,就必須採取全面的應對方法,了解應優先考慮哪些方面以減輕威脅,更好地保護資產、營運和員工。為了適應瞬息萬變的威脅環境,組織必須接受積極主動的網絡安全文化,以加強安全態度、資源保護和業務成長。
撰文 : Doug Naprta 澳大利亞電訊地區業務拓展及北亞技術銷售主管
欄名 : Smart World
香港經濟日報 HKET 科技 發布時間: 2024/05/13 09:00
Views: 0
