駭客在入侵組織前通常會先盡可能地收集目標相關資訊。其中包括公司相關人士的詳細資訊以作為之後的釣魚攻擊所需。隨著機器學習(Machine Learning)出現,駭客不必再手動進行這些研究工作,而是可以自動化並加速整個過程。
這樣子利用機器學習也代表利用公司高階主管甚至更低層員工個人資料來進行的針對性攻擊會飆升。此類網路釣魚攻擊方式可能將成功機會提高多達30%。
許多網站和系統利用驗證碼(CAPTCHA)機制來區分真人與機器人。不過在機器學習時代,這些以往有效的作法也受到了影響。
這並非駭客第一次利用機器學習來破解驗證碼(CAPTCHA)機制 – 在2012年,研究人員證明可以利用機器學習繞過reCAPTCHA系統,成功率達到82%。而最近在2017年,研究人員利用機器學習繞過Google reCAPTCHA保護機制的成功率達到98%。
駭客如何利用機器學習(Machine Learning)?
精細的網路犯罪一直在尋找下一個大規模的攻擊手法,並且不會吝於嘗試新方法來攻破目標並入侵企業的IT資產和敏感資料。要阻止這類威脅的最好方法之一是提高人們的安全意識並增加對最新風險及如何防範的了解。
目前駭客的一個新興策略是使用機器學習(Machine Learning)。就跟許多先進創新的技術一樣,機器學習可以對企業有益,卻也能夠幫助惡意活動。
機器學習:入門
許多IT和開發團隊及技術機構都正在使用機器學習 ,正如SAS所解釋,機器學習是人工智慧的一個分支,它建立在構建自動化分析模型的基礎上。換句話說,機器學習讓系統能夠根據其持續使用和經驗來增加自己的知識並調整程序和活動。
“機器學習的迭代方面非常重要,因為隨著模型接觸到新資料,需要能夠獨立適應,”SAS表示。“它們從之前的計算中學習以產生可靠、可重複的決策和結果。這並不是一門新學科,但卻獲得了新動力。”
人們也可能在日常生活中碰過某種形式的機器學習演算法 – 如串流媒體服務和網路賣場的線上推薦,還有自動詐騙偵測等代表現實世界裡已經存在的機器學習用例。
善惡兩邊的機器學習
但隨著一般機構和白帽資安專家不斷深入挖掘帶來助益的機器學習功能,駭客也越來越關注基於人工智慧的流程,以強化網路攻擊的威力。
駭客究竟是如何運用機器學習並影響今日的企業?讓我們來看看:
駭客利用機器學習,躲避用來識別和阻止網路犯罪活動的安全系統監視
當駭客製作惡意軟體時,並不只是想要入侵企業,還會希望盡可能長時間留在受害者的系統中。駭客利用機器學習的第一種方式(可能也是最危險的方式)就是躲避用來識別和阻止網路犯罪活動的安全系統監視。
來自康奈爾大學的一篇研究論文描述駭客如何進行這類攻擊。研究人員能夠建立一個生成對抗網路(GAN)演算法來生成惡意軟體樣本。憑藉機器學習功能所得到的惡意軟體樣本可以有效避開專門設計來偵測危險樣本的機器學習型安全軟體。
資安專家還預測網路犯罪分子可以利用機器學習來基於安全系統如何偵測已知感染的方法來修改新惡意軟體樣本。這樣就可以讓駭客利用機器學習來製作更加聰明的惡意軟體,這些惡意軟體就能夠在中毒系統待上長時間而不被偵測。
所以企業需要對自己的安全狀況採取更加積極的態度,持續地監控關鍵IT系統和資產,安全管理人員也必須確保使用者在日常作業與網路活動都能夠遵守最佳防護實作。
駭客也可能開始利用機器學習來發動攻擊活動
Forbes撰稿人和ERPScan聯合創辦人兼技術長Alexander Polyakov指出,駭客也可能開始利用機器學習來發動攻擊活動。
網路犯罪份子在入侵組織前通常會先盡可能地收集目標相關資訊。其中包括公司相關人士的詳細資訊以作為之後的釣魚攻擊所需。隨著機器學習出現,駭客不必再手動進行這些研究工作,而是可以自動化並加速整個過程。
這樣子利用機器學習也代表利用公司高階主管甚至更低層員工個人資料來進行的針對性攻擊會飆升。Polyakov報導稱這樣的網路釣魚(Phishing)攻擊方式可能將成功機會提高多達30%。
隨著網路釣魚和針對性攻擊/鎖定目標攻擊(Targeted attack )變得更加精密,高階主管和員工都必須了解該如何發覺看似正常的詐騙郵件。釣魚郵件通常會包含收件者的姓名、職位和其他詳細資訊來誘使受害者打開郵件。但這些電子郵件可能會出現拼寫錯誤,或是在寄件者地址、公司名稱、標誌或其他偽裝身份的小細節上有些更動。要教育員工不會因為這些伎倆而上當,並且可以訓練員工成為多層次安全防禦的一環。
繞過驗證碼(CAPTCHA)系統:未經授權的存取
許多網站和系統利用驗證碼(CAPTCHA)機制來區分真人與機器人。不過在機器學習時代,這些以往有效的作法也受到了影響。
這並非駭客第一次利用機器學習來破解驗證碼(CAPTCHA)機制 – 在2012年,研究人員證明可以利用機器學習繞過reCAPTCHA系統,成功率達到82%。而最近在2017年,研究人員利用機器學習繞過Google reCAPTCHA保護機制的成功率達到98%。
這些結果代表企業需要更加強安全保護,尤其保護面向客戶的系統來對抗殭屍網路連線。Polyakov建議用MathCAPTCHA替換reCAPTCHA,或是採取另一種更加強大的作法。
將機器學習用在安全防護上
值得慶幸的是,如前所述,機器學習也可以用來提高企業的安全性。
正如本部落格所述,機器學習可以協助確認和減少物聯網安全防禦的漏洞,加強對員工使用者間資料交換的監控,甚至可以預測和阻止零時差威脅。點擊這裡來了解更多。