人工智慧(AI)是近年來的顯學,被應用在超過19種以上的各項領域,最常被提到的包括語音識別(Speech Recognition,例如Siri)、虛擬助理(Virtual Agents,例如聊天機器人,可用於客戶服務)、內容創作(Content Creation)、情緒識別(Emotion Recognition,用於測謊、市場行銷等)、圖像識別(Image Recognition,被用於車牌識別、疾病檢測、身份識別、行動監視等)、機器處理自動化(Robotic Processes Automation,用於人力成本高昂且重複性高的任務和流程)、數位分身 (Digital Twin,用來建立實體系統的數位模擬)、法令遵循等。

近來,AI更被應用在資訊安全(資安)的網路防禦(Cyber Defense,專注於預防、檢測駭客攻擊,以及在基礎設施和資訊內容受到駭客攻擊或威脅時能建立及時的因應),目前使用遞歸神經網路(RNN)處理輸入序列,與機器學習技術相結合,所創建之監督學習技術,針對駭客入侵的策略、技術、病毒等巨量資料,使用AI加以學習分析,因而能及早發現可疑情況,予以反制。相關業者宣稱可以檢測及攔阻超過85%以上的網路攻擊,甚至有業者宣稱其技術是資安防禦顛撲不破的硬道理,是防毒防駭的金鐘罩、鐵布衫。

業者使用AI分析駭客入侵的策略、技術、病毒,因而能及早發現可疑情況,予以反制,固然制敵機先,然而,從另一個角度想,駭客未來也可能使用AI,分析資安防禦系統的防守策略、技術、工具等巨量資料,因而能發現可能之破綻,伺機侵入。讓人想起莊子與惠子的「濠梁之辯」:莊子與惠子游於濠梁之上。莊子曰:「鯈魚出游從容,是魚之樂也。」惠子曰︰「子非魚,安知魚之樂?」莊子曰:「子非我,安知我不知魚之樂?」惠子曰「我非子,固不知子矣;子固非魚也,子之不知魚之樂,全矣!」莊子曰:「請循其本。子曰『汝安知魚樂』云者,既已知吾知之而問我。我知之濠上也。」雙方你來我往,互相尋找對方漏洞攻擊,如同資安業者與駭客;最後莊子勝出,贏在基本面(循其本):用惠子一開始的漏洞回擊。然而過程中,雙方洞悉對方策略,「以子之矛,攻子之盾」,就像資安業者使用AI瞭解駭客策略來防駭,駭客也使用AI瞭解資安業者策略以進行攻擊。

所謂資安,定義為「保護資訊系統及資訊內容免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀」。相傳凱撒在公元前50年就發明了「凱撒密碼」,防止機密的訊息萬一落入錯誤的人手中時被讀取。資訊安全的內容包括資訊的機密性、完整性、可用性。資安技術比較嚴格來說包含三類:隱藏、存取控制、密碼學。舉例來說,對於機密資訊可以使用數位浮水印來隱藏,使用網路防火牆作存取控制,以數位簽章作密碼學技術的應用。

資安業者使用AI瞭解駭客策略來防駭,駭客也使用AI瞭解資安業者策略以進行攻擊;雙方你來我往,最後的結局,就像使用抗生素消滅病菌,病菌積極求生,演化成更強大的變形,抗生素就繼續改良,病菌也繼續強化變形,抗生素與病菌的改良與變形,成為循環不已永無休止的對抗。資安防禦也是這樣,不應只倚靠資安攻防的船堅砲利(AI),而應在基本面強化資安文化,亦即認清資安最大的風險是人。

舉例來說,一般人普遍有純網銀資安風險高於傳統銀行的錯誤觀念。認為純網銀的作業全都在虛擬世界的資訊系統中,一旦駭客入侵,系統勢將徹底崩潰。殊不知傳統銀行除了新客戶開戶、舊客戶更新資料、存取款等作業是人工處理,其他作業也幾乎全部都在虛擬世界的資訊系統中,資安風險相同。而且,傳統銀行因為有實體分行,連結的點越多,備多力分,人為疏失風險提高,駭客入侵的機會更大。幾年前一銀ATM吐鈔事件,事前沒有人料想到是源自海外的倫敦分行被駭客侵入。有實體分行的傳統銀行,其各分行資安演練水準參差不齊,社交工程的資安風險也大小有別。相對之下,純網銀沒有散在各處的員工,資安演練齊一,風險控制反而較能順手。

更進一步說,許多人以為臨櫃辨識證件的KYC作業,會比VTM(Virtual Teller Machine)來得更精準;事實上,以國民身分證而言,防偽辨識有近30個項目,VTM可以做到28個項目的辨識,但在櫃台作業的人員,少有真正逐項辨識,作業人員也記不得那麼多個項目。資安的第一道防線是KYC,但無論在銀行或電信櫃台,都只做到查驗是否有證件、與證件照片是否相似?頂多再多加一個現場拍照存檔,就算完成KYC的證件查驗。資安風險防範,包括實體世界與虛擬世界的各個流程,都怕有心人(駭客)出其不意,攻其不備,千萬不要以為AI萬能,駭客除了對AI系統以子之矛,攻子之盾以外,針對真人的疏失下手,更是穩操勝券。資安防範,「毋恃敵之不來,恃吾有以待也」。建立良好資安文化,讓資安最大風險的人為因素降至最低,才是上上之道。

#策略 #作業 #資安 #系統