網路犯罪
回顧 2023 年:網路資安趨勢反思
每一年,專家們都會積極提出自己對網路資安未來大勢的預測,但他們有多少次真的說對了呢? 這就是趨勢科技 Greg Young 和 Bill Malik 最近在他們的 Podcast 節目「Real Cybersecurity」(網路資安真實情況) 當中所提出的問題,訪談中他們細數了專家們預測失靈的各種議題,從 AI 到人員因素等等。
隨著時序邁入年度預測紛紛出爐的季節,趨勢科技的 Greg Young 和 William Malik 決定好好回顧一下 2023 年來看看有哪些之前被預測的趨勢有真正實現、而哪些沒有。最新一集的 Real Cybersecurity 節目點出了幾個尤其值得注意的重大翻車事件,並且針對這些事件對 2024 年的意義發表了一些想法。
千萬別相信 (所有的) AI 噱頭
由於 ChatGPT 的爆紅,2023 年一開始,人們的目光就全部集中在 AI 身上。一些最愛製造恐慌的專家們,都在警告駭客集團將利用生成式 AI 開發出最新、最惡毒的威脅,但實際上這樣的情況並未發生。
這基本上是因為生成式 AI 並非真正具備創造力,儘管它看起來好像經常生出一些有創意的內容,但它充其量只是將現有的資料組合起來。只要它的訓練資料當中存在著足夠數量的內容堅持 2 + 2 = 16,那麼 AI 模型就會認定這是真理,然後就會輸出一些錯誤的內容。這一點不僅限制了 AI 的創造能力,也限制了它在網路犯罪上的可用性。
「[AI] 不會比它所接收到的資訊更聰明,它會從 10 項已知的事物當中計算出質量中心的位置,但不會直接告訴你『這就是這一系列的第 11 項』,它所告訴你的,是你已經知道的東西。」
William Malik,Podcast 節目「Real Cybersecurity」
生成式 AI 確實可以用來強化現有的攻擊形式,網路釣魚在 2023 年所發生的狀況就是一個例子。這樣的強化確實為網路資安團隊帶來了挑戰,未來也將是如此。經過 AI 強化後的攻擊,比起同樣形式的傳統攻擊來說,規模更大、速度更快、力道更強、更加聰明,而且需要的人力更少。這就讓一些技術能力有限的駭客集團也能輕鬆有效地發動一些獲利豐厚的攻擊。
AI 的不確定性與潛在風險,也在一整年當中引起了不少相關立法的討論。而且一而再、再而三地討論。但卻遲遲未看到有關 AI 管制的實質作為。美國拜登總統在 10 月 30 日發布了一項行政命令,針對 AI 的安全與隱私權保護制定了一套新的標準,但整個產業大致上還是繼續依循其自己的行為準則。由於政策的制定已經跟不上 AI 的發展速度,2024 年會出現什麼樣的法規進展目前還不明朗。
區塊鏈 – 擅長的領域在哪裡?
即使 AI 並未對網路資安帶來世界末日 (至少還沒有),但過去一年它確實正在崛起,反觀區塊鏈卻是一個正在朝相反方向發展的網路資安趨勢。
曾被喻為網路資安技術復興的區塊鏈,基本上已經找到自己的定位,成為一種用來保護陌生人之間高價值交易的最佳方法。問題是,陌生人彼此之間很少會出現高價值的合法交易。而且,從金融的角度 (以及它牽涉到的運算及能源密度) 來看,其價值必須至少達到五位數金額才能讓使用區塊鏈變得有意義,所以,除了用來保障數位貨幣安全之外,其他領域幾乎還是使用傳統的資安框架來得更實際一點。
網路資安為何依然還是工具氾濫?
多年來,企業和網路資安產業都一直在針對工具氾濫的問題提出警告,但到了 2023 年,這些警告還是依然存在。
視您所讀到的報告而定,企業平均大約部署了 20 至 50 種不同的網路資安解決方案,對於原本就負擔沉重的資安團隊來說,這真是多到難以管理,甚至超出了資安領域的實際數量,這意味著重複多餘的現象相當嚴重。
工具氾濫的後果讓企業的日子更加難過:一大堆不相干的警報影響了網路資安的效率、重複多餘的工具帶來成本與生產力的損失,還有失控的複雜性根本就是資安的天敵。
2023 年,儘管沒多少企業能完全克服這項長久以來的問題,而且所有分析師都預料,未來幾年將有更多特化的網路資安工具上市 (尤其是具備 AI 功能的產品),但至少越來越多人開始認為網路資安有必要整合。
整合也許能徹底簡化網路資安營運,企業可導入能整合第三方產品的開放平台,進而減少他們必須面對的工具與廠商數量。這是 2024 年當中有可能 (同時也應該) 逐漸普及的一項網路資安趨勢。
人員並非最脆弱的環節
當人們開始拋棄成見、擁抱更精確的洞察時,就是進步的象徵。套句 Ben Franklin 說過的話:「如果每個人的想法都一樣,那就代表沒有人在認真思考。」 但不幸的是,在網路資安意識與技能方面,2023 年仍存在著牢不可破的「成見」,包括人員是最脆弱的環節這種過時的想法。
事實上,時間越久、事情就越明朗,人員之所以成為脆弱的環節,責任就在企業身上,因為企業並未妥善提升團隊的資安意識。所幸,人們似乎逐漸了解,當威脅開始日漸瞄準使用者時,人員反而可以 (同時也必須) 成為最強而有力的環節。
不過,提升資安意識只解決了一半的問題,另一半就是要讓員工安全又安心地舉報可能讓企業陷入風險的錯誤。羞恥和責備永遠只會阻礙透明度與持續改善。
解決人才短缺:這是一個迫切需要解決的網路資安趨勢
如果說,在個人層次上強化網路資安需要文化上的轉變,那麼解決過去一年來人才持續短缺的問題,重要性要比這高上二倍或三倍。企業正迫切想要填補這全球約 350 萬的人才缺口,但同時卻有數十萬合格的網路資安人才也在尋找工作。
這問題有一部份是因為有太多徵人廣告都不夠具體、也不切實際,要求應徵者必須熟悉網路資安的每一面向,有時候甚至要求必須在一些問世還不到十年的領域具備十年的經驗,但其實他們真正需要的只是某些特定領域的技能。
企業必須更清楚知道自己想要什麼,然後招募所需的角色,並且在內部創造機會讓員工接觸新的領域,這樣他們才能慢慢培養並拓展自己的技能。跨領域訓練非常重要,這並不會讓員工失焦,反而能拓展其個人的技能。
「人力資源與 IT 已經是蠻難走的一條路,但基於某些因素,網路資安反而是這當中最難走的路。」
Greg Young,Podcast 節目「Real Cybersecurity」
企業並非唯一需要調整的一方,人才的培育需要產、官、學界三方通力合作,但當前的情況是,它們都各唱各的調。
尤其,學術界必須進一步與產業接軌,以便了解產業的環境和需求,這樣學校培養出來的畢業生才能更適應他們即將邁入的職場,今日很多情況是大家缺乏這樣的認知。
今年的網路資安趨勢帶給我們什麼啟示?
企業也許可以 (而且也應該) 持續強化內部網路資安意識訓練,但人才短缺是全球的長期問題,需要一套新的作法與通力合作。
當企業在邁入 2024 年之際仍有許多有待填補的職缺時,網路資安的整合也許可以協助企業至少克服一部份問題。此外也能簡化網路資安的營運,進而強化企業整體的防禦。
自動化以及在某些特定領域導入生成式 AI,應該有助於網路資安的整合,而且當駭客使用 AI 的方式不斷演進的同時,這將成為一項重要的反制措施。未來,區塊鏈應該會坐穩其保護虛擬加密貨幣的特殊角色,但還是有一些其他類似的應用可以讓它發揮價值,例如發行及管理安全的文件。
回顧 2023 年,有一件事是肯定的:要判斷某項網路資安趨勢能否延續下去,終究還是只有時間能證明。
下一步該怎麼做
欲了解更多趨勢科技對網路資安趨勢的前瞻性觀點,請參閱以下文章:
- Podcast 節目「Real Cybersecurity」第 71 集 (由 Greg Young 與 William Malik 主持)
- 關鍵擴展性:趨勢科技 2024 年資安預測