〔記者徐子苓/台北報導〕資安大廠趨勢科技今天公布2025年資安預測報告指出,根據趨勢科技台灣的資安事故應變服務案件統計,2024年目標式勒索資安事故中,有將近9成來自中小企業,預測中小企業恐將持續成為駭客攻擊的目標。
趨勢科技資深技術顧問簡勝財分析,今年國際大廠較少傳出遭到勒索攻擊,反而是中小企業的案例上升,原因和「網路犯罪即服務(CaaS)」產品興起有關,因為駭客攻擊大企業的成本較高,購買既有的服務就能攻擊中小企業謀利。
趨勢科技也觀察到勒索病毒集團經營模式的改變,他們減少對釣魚郵件的依賴,轉而利用被竊取的帳戶資料直接進入受害者系統,並頻繁地結合惡意廣告進行資訊竊取,將來自企業網路的數據應用於後續的勒索行動。
關於近年熱門的生成式AI,趨勢科技認為,駭客將持續利用AI技術加速攻擊效率、擴大攻擊規模、產出更擬真的內容進行AI詐騙。此外,AI代理成為駭客覬覦的目標,AI系統漏洞可能將被用來誘騙AI執行有害或未經授權的動作甚至假冒身分,企業與個人皆需警戒任何AI可能帶來的資安風險。
趨勢科技台灣區總經理洪偉淦強調,生成式AI的進步將讓駭客的攻擊更隱匿、高效,面對不可逆的AI進程,全球資安風險和壓力勢必加劇,企業應化被動為主動,採用一套風險導向的資安方案做整體風險評估與管理。而作為AI世代的公民,人人皆需強化資安意識,負責任並安全地使用AI。
趨勢科技預期,利用AI發動新的社交工程詐騙,將是駭客的發展重點之一,例如運用深偽技術(Deepfake)讓社交工程詐騙更逼真、更個人化,只需利用個人公開的貼文來訓練大型語言模型(LLM),就能模仿寫作風格、知識及性格,並針對目標對象精準攻擊,企業尤須留意「變臉詐騙」和假冒員工的AI變臉詐騙。
另一方面,企業為提升營運效率所頻繁部署的AI代理系統,也將成為駭客目標。駭客可能挾持AI代理或藉由發掘AI系統的漏洞,誘使其執行未經授權或有害的動作,例如處理惡意指令、協助外洩敏感資料,或生成假數位身分欺騙AI系統。
趨勢科技建議,企業必須更加著重漏洞與攻擊面管理,並善用基礎資料情報,同時也需留意AI軟體供應鏈攻擊,避免AI代理或供應商出現缺失而連帶受害。
一手掌握經濟脈動
點我訂閱自由財經Youtube頻道
2024/12/16 19:31
轉載自自由時報電子報: https://ec.ltn.com.tw/article/breakingnews/4895386
Post gallery
