进入后疫情时代,随着人们依赖线上应用程序加重,益使网络犯罪更有利可图。如同美国知名银行大盗威利‧萨顿(Willie Sutton)解释他为什么抢银行:“因钱就放在那里!”如果身处现代,他肯定成为锁定银行、联邦机构、航空公司和零售商网站的网络犯罪份子,因为钱就在网络。据 2020 年《Verizon 资料外泄调查报告》,有 86% 资料外泄是出于经济动机。如今,由于社会有如此多活动都是线上进行,因此网络犯罪已成为最常见的犯罪类型。
网络安全服务供应商 Herjavec Group 估计,到了 2021 年,网络犯罪每年带给世界的损失将从 2015 年的 3 兆美元上升超过 6 兆美元,但这么大的数字可能看起来有点抽象。举个例子,相信读者立即就能感受到网络犯罪的严重性。在实体世界,犯罪份子根本不可能在同一天抢劫某城市的不同对象。但在虚拟世界,这种事情不但可能,甚至可以一口气洗劫整个国家(甚至跨国)的每户人家。
AI 自动化攻击促使“网络犯罪即服务”成为热门暗黑生意
如今最常见的 Web 攻击类型莫过于凭据填充(Credential Stuffing)攻击。亦即网络罪犯会从资料外泄窃取密码,并使用工具自动登录到其他网站每个相对应的账号,以接管这些账号,并窃取资金或资料。之所以能发生这类所谓“账号接管”(Account Takeover,ATO)事件,是因为人们经常在不同网站重复使用相同的密码。总之骇客用自动化凭证填充手法测试窃取到的使用者密码,可提升并加快解锁使用者账号的成功率与速度。可怕的是,网络犯罪分子可从每起资料外泄事件获得数十亿组使用者密码,这使网络犯罪成为蓬勃发展的专门生意,AI 技术更让大规模自动化攻击成为可能。
当前抵御凭证填充攻击的最常见防御措施之一就属 CAPTCHA 验证码机制。CAPTCHA 是在几十年前发明的,试图提出一种人类应该觉得容易但对机器人会很困难的挑战式验证(如变形字元)防止网络机器人攻击。不幸的是,AI 化网络犯罪已扭转这局面。Google 几年前进行的研究发现,基于机器学习的 OCR 光学字元辨识技术,可轻松破解 99.8% 的 CAPTCHA 挑战式验证。
AI 技术早创造用来更快破解密码,机器学习可辨识最佳攻击目标,并用来优化网络犯罪的供应链和基础设施。我们见识到网络犯罪分子的回应速度快得令人难以置信,他们可在几分钟内关闭并重启挟带动辄数百万笔交易量的攻击。他们透过完全合法的攻击基础设施,以及合法商业世界流行的 DevOps 营运开发技术做到这点。这并不足为奇,因运行这种犯罪系统类似运行大型商业网站,且网络犯罪即服务(Cybercrime-as-a-Service)现已成为一种常见的“商业模式”。随着时间推移,AI 进一步注入这些应用程序,以协助达到更大规模,并变得更难以防御。
透过厂商服务打造 AI 自动化安全防御机制
我们该如何防范这种自动化攻击?唯一可行的答案就是打造自动化防御机制。但正确因应之道不会是雇用大型 AI 团队,就像你不会雇用密码专家团队。因为这么做,永远也达不到可抵御不断进化发展的网络犯罪攻击所需的功效、规模和可靠性。相反的,最好答案是坚持将你使用安全产品与组织资料相整合,以便让 AI 发挥最大功效。然后可要求供应商对假阳性和假阴性误报及其他挑战负责。毕竟 AI 不是万灵丹,仅将 AI 用于防御还不够,必须有效才行。
使供应商对效用负责的最好方法就是根据投资报酬率(ROI)评估。网络安全愈来愈能发挥分析和自动化问题的作用,全在于可更精细衡量各方绩效。当防御性 AI 系统产生假阳性误报时,客户投诉就会增加。如果出现假阴性误报,则 ATO 事件会增加。随着网络犯罪分子使用自己 AI 政策进行迭代更新时,企业还可追踪许多其他中介评量指标。
相信你应该会对后 COVID 时代互联网将爆发一场正义 AI 与邪恶 AI 的大战而感到惊讶,不论如何,分别有好消息与坏消息。首先坏消息是,很大程度邪恶 AI 早在全球各地掀起战端。当今的主流零售网站,约高达 90% 登录来自网络犯罪工具。
但也许当前世界还没瓦解,也算是个好消息吧。这是因整个产业朝正确方向发展,不但学习更快,并且许多组织已采用有效 AI 防御措施。但在技术开发、产业教育和实践方面还有更多工作要做。我们不应该粗心忘记的是,当前像全美实施的“就地避疫”(Sheltering-in-Place)政策,也等于给网络犯罪分子更多的时间在电脑前作怪。
- How AI will automate cybersecurity in the post-COVID world
(首图来源:Stevens Institute of Technology)
