CYBERSEC2024臺灣資安年鑑：AI資安2024徹底剖析生成式AI資安攻防態勢

＜內容簡介＞ 資安十年！見證臺灣資安快速起飛關鍵時刻 掌握近期企業重大資安事故以及資安防禦觀念，有助於企業了解即將面對的各種挑戰以及如何因應。 ★專家推薦： 面對詭譎多變的網路威脅態勢，每個人該做的事情，是積極、持續認識這些資安風險與各種資安事故，以便當下能夠充分因應各種可能發生的狀況。──李宗翰∕iThome電腦報週刊副總編輯 ★目錄： 國安會秘書長顧立雄：「資安即國安」戰略目標確立臺灣8年資安發展 中研院院士、前總統府國安會諮詢委員李德財：臺灣推動「資安即國安」領先世界各國，將資安拉高到國安層級 數位發展部數位產業署署長呂正華：修訂產創條例，推動「資安產業化」和「產業資安化」是主要任務目標 資通安全研究院院長何全德：資安產業具備輕資產、高價值特性，吸引年輕人投入創業 臺灣科技大學資管系特聘教授吳宗成：學校教育至少要培養資安人手，成為一個博派資安人 第一金控副總經理兼資安長劉培文：企業重視資安的文化，不能只靠資安事件來驅動 趨勢科技臺灣區總經理洪偉淦：法遵議題是驅動臺灣資安產業發展關鍵 奧義智慧創辦人兼執行長邱銘彰：從重視網路安全到企業安全，為資安創業提供有利條件 TeamT5杜浦數位安全創辦人兼執行長蔡松廷：用臺灣的人才、資金和產品，找出可複製的資安新創成功模式 臺灣駭客協會理事長、戴夫寇爾執行長翁浩正：社群發展除有意識傳承，更應提供舞臺並讓參與者有收穫 十年資安心裡話 資安大調查：2024企業資安新態勢 AI資安2024 透視AI帶來的7大風險 因應企業AI應用風險，建立治理框架 臺灣政府零信任戰略正式啟動，從驗證、採購出發，身分鑑別先行 雲端、自動化成資安SOC主流 全球首批SEMI E187標準設備出爐 臺灣通用資安人才類別框架定案 降低國家風險、每個人都是關鍵 !美國政府向全民推廣主動通報的重要性 以「預想被駭」強化資安偵測應變能力 提升自我察覺組態配置不當的能力，美國政府公布10種常見情況 建立備份聯防架構，確保副本不被竄改 2023臺灣上市櫃公司屢遭網攻，中小企業災情大增 臺灣上市櫃企業發布資安重大訊息背後的挑戰 台積電IT硬體供應商遭駭，公布事後檢討內容 FBI呼籲公私聯防對抗中國網攻 兩大中國駭客鎖定臺灣組織發動網攻 2023第三季零時差資安漏洞激增 實施五年首度大修法！主管機關啟動資安法修法程序 臺灣上市櫃企業資安重訊標準出爐 關鍵民生系統將支援跨境公雲，大幅提升大型災禍的應變韌性 回顧2023十大資安漏洞 ＜作者簡介＞ iThom電腦報週刊長期報導企業資訊應用與技術發展，每年在臺舉辦臺灣資訊安全大會、臺灣雲端大會等大型技術研討會。 ★內文試閱： ‧作者序 置身數位化全面普及的環境，無可避免會受到網路威脅的直接或間接影響，每個人該做的事情，是積極、持續認識這些資安風險與各種資安事故，正如同我們關心每天的氣象變化，並且及早進行各種必要的準備與預防措施，以便當下能夠充分因應各種可能發生的狀況。 然而，有備無患、未雨稠繆的概念雖然人盡皆知，甚至是基本常識，每天的新聞報導總不乏各種意外狀況發生，但離譜的是，許多知名的大型企業因應變故的能力仍有待提升，不免令人深思：科技使人類變得更強大嗎?恐怕真相是「使人類變得脆弱」。 今年3月初，社群網站龍頭Meta公司的Facebook、Instagram、Threads發生故障，約1個半小時恢復正常；幾個禮拜後，全球速食連鎖業者麥當勞發生大當機，十多個國家的App和餐廳點餐系統停擺，許多門市不論現場或是網路都無法接單，有些可改用紙本作業來記錄訂單，有些只收現金，甚至有直接打烊、當天停止營業的狀況。這類狀況並非今年特別多，以前也有一些令人印象深刻的例子，像是2022年4月，DevOps平臺業者Atlassian發生大當機，花了14天才復原。 若論及勒索軟體、DDoS、資料外洩等重大資安事故，更是層出不窮，駭客組織與國家網軍運用的滲透與攻擊手法五花八門，從粗製濫造到極端繁複都有可能。而這些資安威脅對於企業與組織運作造成的衝擊，也是形形色色，例如，早期早見的個人電腦中毒、硬碟損毀，之後出現網站首頁被竄改、網站服務停擺，到了近期，檔案遭到加密綁架、機敏資料與個資外洩、企業與個人身分遭冒用，更是司空見慣。 事實上，每個環節都可能遭滲透、所有管制都可能被突破，資安措施需要涵蓋全局。例如，事前預防雖然無法完全保障資安，但仍須盡力防患於未然，能在敵人侵入前就予以阻隔，可有效降低後續處理成本；至於事中察覺與事後復原能力的強化，是在APT威脅猖獗之後開始興起的資安戰略，目的是促使大家充分具備各種威脅的偵測與應變能力，建立第二條防線，但這樣與威脅貼身肉搏是更費時費力的，因此不能輕易放棄事前預防工作，如果這麼做，就沒有退路了。 面對詭譎多變的網路威脅態勢，資安的未來似乎難以令人樂觀其成，然而，生命總會找到出路，人類用幾千年的文明，突破了外在環境的限制，而得以安身立命，因此，今日我們雖然仍舊擔心各種氣候變化，卻不那麼害怕，因為大家都在不斷尋找適應與解決問題的方法，希望能通過大自然的考驗，而在因應人為活動的各種變化時，我們沒有悲觀的本錢，只能繼續拼搏，正如同臺灣與全球的命運緊密相連，資安也是如此，一榮俱榮，一損俱損。 ‧摘文 這些年網路威脅加劇，資安人力卻總是補不滿，如何翻轉攻防不對稱的局勢是資安發展重心，而AI應用正是大家期待已久的技術。 回顧2023年生成式AI應用成形與爆發，資安界憂心攻擊者的技術門檻大幅降低，能發動更大規模且複雜的攻擊。但是，水能覆舟，亦能載舟，生成式AI同樣有助於資安，催生出新的防護作法。 儘管通用生成式AI問題持續受探討，AI監理規範也正持續發展，像是建立AI風險驗測方法，評估AI生命週期的資訊與資料安全需求，以及2023年下半的種種指引與立法，雖然確保生成式AI的安全性很重要，不過，鎖定領域專屬的局部應用，也已經是重要的發展方向。 基本上，資安業者採用AI/ML提升本身產品與服務的能力，早就已經不是新鮮事，甚至越來越多廠商強調，他們發展的資安解決方案要以AI為中樞，而在GPT-4、PaLM 2、Llama 2等多個大型語言模型（LLM）引領之下，不僅帶動當前的生成式AI興起，也再次掀起AI資安浪潮。 因此，這一年來生成式AI的應用，不僅微軟與Google的一舉一動備受熱烈關注，許多資安大廠發展與導入的態度也很積極，令人驚喜的是，臺灣多家資安業者也不落人後。 在2024年可以預見的是，對於資安領域而言，生成式AI可望帶來完全不同的新面貌，而且，也有許多資安專家盼望，這樣的技術，能夠成為資安人員因應威脅的救星，幫助縮短攻防不對稱的嚴峻態勢。 因此不論企業規模大小，勢必都要了解當前的生成式AI發展概況，才能更好設想未來如何提升資安防護。 早在2014年，我們就看到美國一家名為Tanium的新創公司，發展資安軟體結合自然語言，使用者透過口語化文字輸入提問，就能盤查企業電腦網路。到了2016年，對話機器人（Chatbot）開始步入主流，但當時仍處於自然語言理解階段，還需改進對話管理與自然語言生成；在2018年，GPT-1誕生，促成新一波AI應用。 到了2023年，基於LLM的生成式AI技術不僅爆紅，其資安領域上的應用潛力，也有目共睹。 首先，在2023年3月29日這一天，微軟發表整合GPT-4大型語言模型的Security Copilot，目標是協助資安人員完成相關工作，相隔一個月之後，Google發布整合自家Sec-PaLM大型語言模型的Security AI Workbench平臺。 這些產品新功能的預告，意味著新時代來臨──將生成式AI技術整合至各種資安產品和服務。 接下來幾個月，這兩家大廠宣布將生成式AI的技術，擴大至眾多產品線。以雲端服務為例，像是Microsoft 365 Copilot、Duet AI for Google Workspace等，而這些輔助生產力工具的AI助理，吸引許多用戶目光。在端點裝置，例如個人電腦與手機，微軟針對Windows系統，預計提供Copilot in Windows輔助功能，最新Google Pixel手機的相片魔術橡皮擦、提高解析度功能，背後也是導入了生成式AI。 更重要的是，還有各式資安產品，也都將擁抱這股新浪潮，包括微軟的Microsoft Defender XDR、Sentinel、Intune，以及Google的Chronicle等。 究竟生成式AI的出現，會讓各類資安產品帶來哪些改變？ 以微軟為例，在2023年11月公布的Microsoft Defender XDR預覽版當中，企業將可藉助嵌入的Security Copilot功能，達到多項應用效益，例如：不需撰寫複雜的查詢指令，可節省時間並減少發生錯誤的機率，可幫助快速摘要事件、分析腳本與程式碼，能提供引導式回應機制，幫助操作人員對事件採取動作，同時，還能用自然語言產生Kusto查詢語言（KQL），以及能夠讓撰寫事件報告的作業變得更有效率。 而且，幾日之後，微軟接續發出預告，表明將會整合Microsoft Defender XDR/Sentinel及Security Copilot，放置在同一個管理平臺。 Google在12月也宣布Duet AI in Security Operations正式上線，這是適用於資安維運的生成式AI助理，供所有Chronicle用戶使用，可簡化威脅偵測並給予回應，協助歸納與分類威脅資訊，將自然語言輸入轉換為查詢指令並執行複雜分析，提供案例資料與警報的自動摘要，以及提供後續步驟建議，以改善事件回應時間等。 同時Google還預告，未來幾週，所有的Duet AI服務，都將包含新的多模態模型Gemini，這也顯示出，近年生成式AI能力與日俱增，其技術水準正在快速提升與進步。 不只是微軟與Google，事實上，在那段期間，短短幾個月之內，有多家資安廠商紛紛跟上這股風潮，顯然都是看重生成式AI在資安應用的潛力與優勢。 如微軟一發表Security Copilot之後，網路威脅情報業者Recorded Future的動作很迅速，在2023年4月11日宣布，在自家的網路威脅情資（CTI）平臺整合OpenAI GPT，他們強調可藉此幫助企業整理龐大資料，並且緩解網路安全技能短缺的情形。 接著，是資安風險管理業者Security Scorecard，他們在4月25日宣布，其服務將整合OpenAI的GPT-4，可用自然語言回答網路風險問題，像是：找出評分最低的10家供應商，顯示過去一年有哪些重要供應商遭入侵等，讓用戶在風險管理決策上可以更有效率，並可針對需要優先處理的網路安全風險，提出緩解的建議。 另一家資安業者SentinelOne也選在此時跟進，在4月26日公布整合生成式AI的Purple AI，強調對話式AI可以讓威脅獵捕變得容易，讓威脅分析變得簡單，當中說明Purple AI的應用特性。像是分析人員想搜尋特定威脅時，可輸入環境是否感染SmoothOpreator的語句，而不需建立以入侵指標（IoC）形式的手動查詢，在此同時，指出Purple AI對資料蒐集與網路安全領域的理解，使它能夠快速確定事件鏈，並向分析師總結出潛在的複雜威脅情況。 特別的是，臺灣有資安業者更快發展生成式AI，並且早於上述公司。例如，前幾年參與MITRE ATT&CK評估計畫、受國際關注的奧義智慧，於微軟Security Copilot發表後，在4月6日這天，該公司就宣布將推出「XCockpit」自動化資安威脅管理平臺，並會導入AI虛擬分析助手於其中。 該平臺不僅整合既有EDR與鑑識調查的產品，日後還將增加AD安全與ASM的功能模組，更關鍵的是，他們強調，該平臺是依循AI-Assistant-as-a-Service概念而打造，可建構AI自動化的事件應變流程，協助第一線SOC資安人員及資安團隊，讓事件處理精準度與速度大幅提升。而這個XCockpit平臺，已在2023年7月上線。 2023年底，也就是最近一個多月以來，有更多資安大廠發布了相關消息，我們看到趨勢科技、思科、Fortinet都有應用生成式AI的進展。這也意味，其實還有更多廠商已經在進行，並且陸續對外發表，突顯此一新技術的應用漸成主流。 尤其是臺灣出身發展到全球知名的趨勢科技，先是在2023年6月發表生成式AI資安助手Companion，7月提供部分客戶使用，並在11月27日正式推出Trend Companion，開放所有客戶使用。 因此，以正式推出時間來看，這個能以自然語言聊天的Trend Companion，甚至領先於更早預告的Google與微軟。 基本上，趨勢科技這項功能整合於自家Trend Vision One整合式資安平臺，可透過自然語言的聊天介面提供服務，該助手不僅提供事件摘要與全面分析報告，還能解釋攻擊警報，關聯攻擊戰術與技巧，並清晰展示影響範圍。它還能將簡單語言轉換成正式的查詢語法，提高事件查詢的精準度。 值得注意的是，他們還提到令我們印象深刻的應用情境，那就是：幫助識別利用合法工具的寄生攻擊（LotL），例如，能解析一段PowerShell腳本的目的與運作，並產生人員能夠容易理解的解釋內容。 另一家網路與資安大廠思科，也有這方面的功能進展突破，在2023年12月6日，我們參加該公司舉行的墨爾本亞太區年度用戶大會時，看到