資訊科技發展,在各領域被廣泛利用,卻也伴隨資料外洩風險,冒充人類的「機器身份」成為網絡安全風險來源之一。身份安全供應商CyberArk(NASDAQ: CYBR)發佈最新全球調查的香港調查結果,展示分散式人類和機器身份防護如何導致企業及生態系統中出現基於身份的攻擊。
AI機器身份或致外洩危機
是次發表的《CyberArk 2024身份安全形勢報告》以獨特的視角闡述人工智能(Artificial Intelligence,AI)如何同時提升網絡防御能力及攻擊能力、如何在瞬息萬變的複雜環境中不斷加快創造身份,以及企業所面對的身份相關安全漏洞事件的規模。不少AI模型在學習及處料資料的過程當中會產生大量機器身份,容易被不當利用,存取敏感資料,造成網絡安全風險。
安全處理不當產生網絡安全風險
儘管人類和機器身份的數量同樣暴增,調查發現由於多雲端策略的廣泛應用及大型語言模型等AI應用程式使用不斷增加,大量產生機器身份,因此網絡安全專家將機器身份視為最危險的身份類型之一。其中許多機器身份需要瀏覽敏感資料或特權存取。
然而,與管理人類存取敏感資料的方式相反,機器身份往往缺乏身份安全控制,因此隨時有機會被利用,成為廣泛且強大的威脅載體。
98%港企過去一年曾遭受至少兩次身份安全漏洞事件
機器身份是身份數量增長主要原因,受訪者認為機器身份是風險最大的身份類型之一。
- 51%港企表示其一半以上的機器身份,甚至大部分機器身份正存取敏感資料,令人警惕。
- 41%港企預計未來12個月內身份將增加2倍(全球平均為2.4倍)。
- 63%港企僅將人類身份設置為特權用戶,唯37% 港企將人類和機器身份同時設置為特權用戶進行管理。
- 84%港企將在未來12個月內使用三家或更多雲端服務供應商。受訪者認為這是導致身份相關攻擊的第三個主要原因。
企業仍廣泛使用AI對抗AI
2024身份安全形勢報告發現幾乎所有企業(99%)在網絡安全防禦中使用AI,與去年調查結果一致。此外,調查預測隨著熟練和不熟練的攻擊者能力提升,利用AI驅動的惡意軟件及網絡釣魚,身份相關攻擊的數量和複雜程度將有所增加。在相關調查結果中,與預期相反,60%受訪者相信員工能夠辨別針對企業的深偽詐騙,不會受騙。
港企使用AI相關數據
- 99%港企已採用AI工具作為網絡安全防禦的一部分。
- 97%香港受訪者預計AI工具將在未來一年為其企業帶來網路安全風險。
- 60%受訪者相信員工能夠辨別針對企業的深偽詐騙。
- 96%港企曾因網絡釣魚或語音釣魚攻擊而成為身份安全漏洞事件的受害者。
機器身份成安全隱患
香港及澳門區域總經理劉珮詩表示:「98%港企過去一年曾遭受多次身份安全漏洞事件,其中的原因包括機器身份的安全控制相較人類身份不盡完善。機器身份將為攻擊者提供擴大的攻擊面,尤其AI的加速使用更令攻擊面進一步擴大。港企應採取全面的網絡安全策略,確保人類和機器身份的安全,有效抵禦網絡攻擊。」
