關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
顯示分類
2026.03.23
標準與框架/人工智慧
行為分析在人工智慧網路攻擊中的重要性

人工智慧 (AI) 正在改變個人和組織進行許多活動的方式,包括網路犯罪分子實施網路釣魚攻擊和迭代惡意軟體的方式。如今,網路犯罪分子利用 AI 生成個人化的網路釣魚郵件、深度偽造影片和惡意軟體,透過模仿正常用戶活動和繞過傳統安全模型來逃避傳統偵測。因此,僅靠基於規則的模型往往不足以抵禦 AI 賦能的威脅,保障身分安全。行為分析必須超越對可疑活動模式的長期監控,發展成為能夠即時識別異常情況的動態、基於身分的風險建模。

人工智慧攻擊帶來的常見風險

人工智慧驅動的網路攻擊與傳統網路威脅相比,帶來了截然不同的安全風險。人工智慧依靠自動化和模仿合法行為,使網路犯罪分子能夠擴大攻擊規模,同時減少明顯的訊號,從而逃避偵測。

  1. 人工智慧驅動的網路釣魚和社會工程:與使用通用資訊的傳統網路釣魚攻擊不同,人工智慧能夠利用公共資料大規模發送個人化釣魚訊息,模仿高階主管的寫作風格,或創建與真實事件相關的上下文感知訊息。這些人工智慧驅動的攻擊可以減少明顯的預警訊號,繞過某些過濾機制,並依賴心理操縱而非惡意軟體傳播,從而顯著增加憑證竊取和金融詐騙的風險。
  2. 自動化憑證濫用和帳戶接管:人工智慧增強型憑證濫用可以優化登入嘗試,同時避免觸發鎖定閾值,模擬人類的身份驗證嘗試間隔時間,並根據上下文針對特權帳戶發動攻擊。由於這些攻擊使用被盜憑證,它們通常看起來有效,並能融入正常的登入活動中,因此身分安全是現代安全策略的關鍵組成部分。
  3. 人工智慧輔助惡意軟體:在網路犯罪分子能夠利用人工智慧加速惡意軟體的開發和部署之前,他們必須手動修改程式碼簽名,並花費大量時間創建新的變種。人工智慧可以進一步加快變種、腳本編寫和適應速度。借助現代自適應惡意軟體,網路犯罪分子可以自動修改程式碼以逃避偵測,根據環境改變行為,並幾乎無需人工幹預即可產生新的攻擊變種。由於傳統的基於簽名的檢測模型難以應對不斷演變的程式碼,因此組織必須開始依賴行為模式,而不是靜態指標。

傳統行為監控如何在人工智慧攻擊面前失效

傳統監控旨在偵測由惡意軟體、已知安全漏洞和明顯行為異常引發的網路威脅。以下是傳統行為監控在應對人工智慧攻擊方面存在的一些缺點:

  1. 基於特徵碼的偵測無法識別現代威脅基於特徵碼的工具依賴已知的入侵跡象。人工智慧輔助的惡意軟體會不斷重寫自身程式碼並自動產生新的變種,這使得靜態程式碼特徵碼失效。
  2. 基於規則的系統依賴預先定義的閾值:許多行為監控系統依賴規則,例如登入頻率或地理位置。人工智慧輔助的網路犯罪分子會調整自身行為以保持在設定的限度內,從而延長惡意活動的時間,並模仿人類行為以逃避檢測
  3. 當憑證外洩時,基於邊界的安全模型就會失效:傳統的基於邊界的安全模型假定使用者或裝置一旦通過身分驗證就值得信任。當網路犯罪分子使用合法憑證進行身份驗證時,這些過時的模型會將他們視為合法用戶,從而允許他們執行惡意操作。
  4. 基於人工智慧的攻擊旨在偽裝成正常行為:人工智慧網路威脅會刻意融入日常活動,在既定權限範圍內運行,遵循預期的工作流程,並逐步執行其活動。雖然孤立的活動可能看起來合法,但主要風險在於將這些活動與一段時間內的行為背景結合起來分析。

為什麼行為分析必須轉變以應對基於人工智慧的攻擊

向現代行為分析的轉變需要從簡單的威脅檢測發展到動態的、具有上下文感知能力的風險建模,從而能夠識別微妙的特權濫用。

  1. 基於身分的攻擊需要上下文資訊:為了偽裝成正常行為,人工智慧驅動的網路犯罪分子通常使用透過網路釣魚或憑證濫用竊取的憑證,利用已知的裝置或網路進行惡意活動,並持續進行以逃避偵測。現代行為分析必須評估哪怕是最細微的行為變化是否符合使用者的典型行為模式。先進的行為模型能夠建立基線,評估即時活動,並將身分、設備和會話情境資訊結合起來。
  2. 監控必須覆蓋整個技術堆疊:一旦網路犯罪分子透過被盜用、弱密碼或重複使用的憑證獲得系統存取權限,他們就會逐步擴大存取權限範圍。行為視覺性需要覆蓋整個安全堆疊,包括特權存取、雲端基礎設施、終端、應用程式和管理帳戶。為了使行為分析更有效地抵禦基於人工智慧的網路攻擊,組織必須強制執行零信任安全策略,並假定任何使用者或裝置都不應基於網路位置建立隱式信任或自動身份驗證。
  3. 惡意內部人員可能會使用人工智慧工具:人工智慧工具不僅會助長外部網路犯罪者的氣焰,還會讓惡意內部人員更容易在組織網路中犯案。惡意內部人員可以利用人工智慧自動竊取憑證、識別敏感資訊或產生逼真的釣魚內容。由於內部人員通常擁有合法權限,因此偵測權限濫用需要識別行為異常,例如超出職責範圍的存取、非正常工作時間的活動以及在關鍵系統中的重複活動。透過強制執行即時 (JIT) 存取控制、會話監控和會話錄製來消除長期存取權限,有助於組織限制風險敞口,並降低帳戶被盜用和內部人員濫用權限的影響。
  4. 保護身分資訊免受基於人工智慧的自主網路攻擊:如今,人工智慧代理能夠創建逼真的社會工程攻擊、大規模測試憑證並減少執行攻擊所需的人工操作,因此,人工智慧驅動的網路攻擊正變得越來越自動化。保護人類和非人類身分(NHI)不再僅僅依賴身分驗證;組織必須實施持續的、情境感知的行為分析和細微的存取控制。像Keeper這樣的現代特權存取管理(PAM)解決方案整合了行為分析、即時會話監控和即時存取控制,從而在混合雲和多雲環境中保護身分安全。

資料來源:https://thehackernews.com/2026/03/the-importance-of-behavioral-analytics.html

面對 AI 驅動的自動化網路攻擊,傳統防禦已力不從心。