以 AI 速度實現自主安全性
為現代環境設計快速威脅回應
我還記得 2016 年底,當史上第一波分散式阻斷服務 (DDoS) 攻擊突破 1 Tbps 門檻時,同事們臉上震驚的表情。Mirai 殭屍網路(這波史上首次 1 Tbps DDoS 攻擊的元凶)當時控制了超過 14.5 萬台 IoT 裝置來發動如此毀滅性的攻擊。
那時,無數安全分析師、工程師與專家在全球日夜不停地工作,只為緩解這些攻擊。然而,儘管這些攻擊十分複雜,它們仍是由人類發動,也由人類緩解。
如今,我們已越過了一個新的門檻。當前的威脅格局不再僅由「複雜性」所定義,而是被壓倒性的「規模」與「自主性」所主導。我們已經進入了「超流量」攻擊時代,在這個時代,人為介入不僅緩慢,更變得越來越無關緊要。
歡迎來到 30+ Tbps 時代
韌性的衡量標準已然改變。過去的「破紀錄」攻擊如今已成為當下的基準,正如近期一份 DDoS 威脅報告所示:
新的巨獸:Aisuru 殭屍網路已重新定義了規模,將攻擊峰值推至 29.7 Tbps。
攻擊頻率:根據一份報告,2025 年第四季,網路層 DDoS 攻擊年增率高達 202%。
攻擊速度:71% 至 89% 的此類攻擊持續時間不到 10 分鐘。如果您的韌性策略依賴於用一般警示來喚醒工程師,那麼在他們甚至還未能登入系統之前,攻擊便已結束(且損害已然造成)。
我們該如何以機器的速度應對持續不斷的大規模攻擊流?
這正是自動化與 AI 發揮作用之處。AI 智慧體不需要手動登入安全資訊與事件管理 (SIEM) 系統或網路偵測與回應 (NDR) 工具來瞭解正在發生什麼事。它能即時讀取資料,在事件發生時即刻瞭解情況,並可立即部署有效的對策(例如:新增防火牆規則、封鎖特定流量模式或通訊協定)。掌握此時間優勢後,安全營運中心 (SOC) 便有餘裕調動人類智慧與存取權限的力量,以強化防禦並驗證 AI 智慧體所實施的自動化變更。
影子 AI 盲點
安全不僅僅是阻擋惡意流量進入,更關乎防止專有資料外洩。員工快速採用 AI 工具已經造成了一個巨大的治理缺口。
統計數據:根據 IBM 的報告,現在有 20% 的資料外洩事件涉及「影子 AI」——也就是員工為了加速工作而使用的未經核准的工具。
現實狀況:約 63% 發生資料外洩的組織承認,他們仍然沒有正式的 AI 治理政策。
解決方案:您無法保護自己看不見的東西。現在,安全部門需要對您的技術堆疊(包括 SaaS 工具)有全面的瞭解,才能知道有哪些東西需要留意和監控。此外,還需要部署專門的資料丟失預防 (DLP) 工具,精確偵測專有程式碼或個人識別資訊 (PII) 被貼入公開 LLM 的行為,才能涵蓋影子 AI 的威脅。
只針對電子郵件和瀏覽器使用情況的 DLP 時代已經過去了。隨著 AI 瀏覽器、無所不在的 API 以及自主式 AI 的發展,舊有的 DLP 覆蓋模式已不再足夠。集中式控制應被列為高度優先事項。技術領導者需要知道:哪個工具取得了哪些資料,以及每個工具能用這些資料做什麼。
深度偽造的防禦
社交工程攻擊的手段已從電子郵件中的拼字錯誤,轉向對身分的完美複製。員工可能收到高階主管的視訊會議邀請,指示他們執行如向指定賬戶大額匯款等任務。對絕大多數人而言,看到那些人出現在視訊通話中,肯定會將其指示視為來自高層的有效要求。
轉變:現在每六起資料外洩事件中就有一件涉及 AI 驅動的戰術;其中 35% 使用了深度偽造的語音或視訊模仿。
損害:經 AI 增強的網路釣魚攻擊,平均每次事件造成的損失可達 480 萬美元。
行動:韌性訓練必須升級。重點不再是辨識偽造電子郵件,而是透過帶外通訊通路驗證身分。
我們不僅在社交媒體上看到愈來愈多的 AI 垃圾內容。更令人憂心的是,深度偽造社交工程攻擊也正急遽增加。例如,一名 Ferrari 高管接到據稱是執行長的來電,他之所以能化解這場事後被證實為網路攻擊的險境,全憑與對方簡短地聊起了一本兩人曾交流過心得的書籍;而那位攻擊者對此自然是一無所知,根本無法作答。
因此,我們應該重新擁抱老式的「安全碼」或「通關密語」,以確保您正在交談的對象確實是真實的人,而不是由 AI 深度偽造技術偽裝的攻擊者。同時,導入由 AI 驅動的電子郵件安全防護,透過分析數百個電子郵件屬性,也有助於大規模地快速攔截網路釣魚嘗試。
勒索軟體:轉向敲詐勒索
在歷經多年勒索軟體攻擊成功後的高額贖金支付後,我們終於看到這些數字開始下降。然而,隨著勒索軟體的商業模式逐漸失效,攻擊者也正被迫改變策略。
下降趨勢:2025 年第三季,僅有 36% 的受害者支付了贖金,創下歷史新低。
策略轉變:為了彌補損失,現在 76% 的攻擊涉及資料竊取,而不僅僅是加密。
經驗教訓:僅靠備份已不足夠。真正的安全與韌性需要阻止資料外流。如果他們無法竊取資料,就無法對您進行勒索。
從「標準」的勒索軟體攻擊演變為雙重甚至三重勒索模式,是這類犯罪活動的合理演進。當然,這必然會對我們的防禦能力產生影響。
儘管在過去的一段時間裡,將資料加密作為一種足夠有效的「補償性控制措施」已獲得廣泛認可;但我們應該設定更高的目標:除非有明確且正當的業務理由,否則絕不讓任何資料離開我們的 IT 環境。此外,隨著後量子運算時代的來臨,「先竊取、後解密」的威脅變得更加令人擔憂。想象一下這種情況:大量被竊取但仍被加密的資料正存放在某人的硬碟中,只等待足夠的運算能力來解密,並在下一個攻擊階段使用這些原始資料。
實施自主安全性
如今,安全若不是自主的,便將毫無價值可言。我們必須部署能夠快速思考與反應的系統,因為它們所面對的威脅也是如此。這些系統應該能夠承受大規模攻擊,並封鎖從 DDoS 攻擊到深偽技術等各種威脅——這一切均應在無需人工幹預,亦不會增加解決方案管理複雜性的前提下自動完成。
Cloudflare 提供全方位的安全能力,可協助您的團隊快速且自主地應對威脅。例如,Cloudflare DDoS 防護可以緩解甚至最大、最快速的 DDoS 攻擊。而 Cloudflare Email Security 則提供 AI 驅動的防護,自動封鎖複雜的、經 AI 增強的網路釣魚威脅。由於 Cloudflare 全球連通雲將所有安全解決方案整合在單一平台中,您可以輕鬆新增自主功能,而無需增加管理複雜性。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
閱讀電子書《實現 AI 時代的安全性現代化》,深入瞭解 AI 如何重塑商業與安全格局,並取得一套用於保護人員、資料及應用程式的實作指南。
作者
Max Imbiel – @maximbiel
Cloudflare 現場資訊安全長
重點
閱讀本文後,您將能夠瞭解:
為何傳統緩解戰術難以應對超流量攻擊
自發系統在遏制深度偽造與資料竊取中的作用
如何實施 AI 驅動的防禦並強制執行影子 AI 治理