網絡安全解決方案供應商Barracuda表示,當黑客試圖利用合法憑證濫用受損帳戶時,人工智能 (AI) 能夠構建正常活動模式並識別異常,這使其成為強大的安全工具。 於2023年上半年,AI模式分析幫助Barracuda Managed XDR偵測並消除了總共近萬億IT事件中的數千個高風險事件,最新的博客文章詳細介紹了相關發現。
2023 年上半年三大最常見的高風險偵測(即是要立即採取防禦行動的威脅)包括:
• 偵測「異常連線登入」:此情況會在用戶嘗試從兩個不同地理位置的地方快速登入雲帳戶時發生,而登入時間的差距無法掩飾地理上的距離。雖然這也可能意味著他們進行其中一次登入時在使用 VPN,但這通常表明黑客已取得相關帳戶的存取權限。
從不同位置快速登入屬高風險
Barracuda SOC 進攻型安全總監Merium Khalid 表示:「根據SOC 團隊調查的一宗事件顯示,有用戶從美國加州登入他們的 Microsoft 365 帳戶,然後僅 13 分鐘後便從維珍尼亞州再次登入。要實體上做到這點,他們要以時速逾10,000 英里的速度趕赴當地。從維珍尼亞登錄的 IP 並非來自已知的VPN 地址,而該用戶通常不會從事發位置登入。Barracuda隨即通知該用戶,確認涉事登入未經他們授權,並立即重置密碼,以及從所有活躍帳戶中註銷惡意用戶。」
• 「異常狀況」檢測:這些檢測可識別用戶帳戶中的異常或意外活動,包括罕見或單次登入、不尋常的文件存取模式、為個人用戶或機構建立過多帳戶等。此類檢測可能是多種問題的徵兆,包括惡意軟件感染、網絡釣魚攻擊以及內部威脅。
• 與已知惡意工件的通訊:這類偵測用作識別需予警告或已知為惡意IP 地址、地域或文件的通信。這可能是惡意軟件感染或網絡釣魚攻擊的跡象,用戶應立即將涉事電腦隔離。
超出模式範圍即觸發警報
Merium Khalid 指:「每個人都有獨特的數碼檔案,涉及工作方式、地點和時間,如果 IT 事件超出這些模式範圍,AI偵測就會觸發警報。雖然AI可以大幅增強保安,卻同時也可以用於惡意目的,例如建立極容易令人信服的電郵,或使用惡意代碼以適應特定目標或改變安全條件。為保護機構和員工免受發展迅速、日益聰明的攻擊策略侵害,用戶需要深入、多層次的保安,包括使用強大的身份驗證措施、定期作員工培訓和更新軟件,並以跨網絡、應用程式和服務端點的全面可視性和持續監控為保安基礎。」