滲透與外洩資料間隔越來越短，大幅壓縮防守方調查應變時間

根據他們的調查，攻擊者一旦滲透至受害者的網路環境，平均9天之後會將資料取出（外洩），隨著AI和其他技術的不斷興起，到了2023年，這段期間已縮短至兩天，預估今年將有45％的事故會在1天之內被拿走資料，而在更近期的調查當中，他們發現攻擊者侵入受害者網路環境後的4小時內，就能運出好幾TB的資料。

如果資料在幾個小時內就會遭到外洩，Vishal Lanjekar也質疑是否仍要沿用傳統方法，看待這些狀態、繼續執行基本工作，「我們真的在處理問題嗎？這些狀況並不只是可能發生！（而是實際存在）」，除此之外，當攻擊者侵入之後到外洩資料的間隔縮短至幾個小時，是否還有足夠時間完成整個搜尋惡意活動的過程？

為何網路犯罪份子的攻擊速度越來越快？其中一個原因在於，歹徒正在運用AI技術提升他們發展的各種資安威脅能力，並且鎖定攻擊企業與組織。

針對這樣的現象，Vishal Lanjekar彙整多方資訊，呈現AI加速三大資安威脅的回顧與預測，消息來源涵蓋雲端服務業者Google Cloud、資訊安全教育訓練組織SANS的部落格文章，華爾街日報的新聞報導，以及Palo Alto Networks的XSIAM用戶訪談與遙測資料。

首先是眾人聞之色變的勒索軟體，在兩三年前（2021至2022年），組建這類資安威脅大約需要12小時，現在縮短至3小時，2026年以後，預估15分鐘就能完成。

第二是滲透與資料外洩的間隔時間（The time between initial compromise and data exfiltration），如前面所提到的，兩三年前的平均時間是9天，現在帶走資料的時間縮短至1天以內，到了2026年以後，只需要20分鐘。

從發起行動、竊取資料，到完成部署，攻擊者需要多少時間？

Palo Alto Networks的威脅情報與資安顧問團隊Unit 42以勒索軟體Black Basta的某次攻擊為例說明，就整個過程而言，對方總共花了將近14小時，在最初1.5小時之內，陸續進行散播網路釣魚信、勘察、權限提升與啟動命令與控制伺服器（C2），接著的6.5小時開始搬運資料，之後花了80分鐘修改帳號、130分鐘啟動勒索軟體的準備工作，125分鐘開始部署勒索軟體，建立將近1萬臺節點。

面對這樣快速的行動，Unit 42根據本身的事故調查資料指出，防守方目前無法趕上攻擊方的速度。

攻擊者外洩資料的動機有很多種，為了勒索而發起的活動並非速度最快的資料外洩事故類型，Unit42發現在一些不涉及勒索的資料外洩事故當中，攻擊者能在幾個小時完成這些工作。為何會如此？不可諱言，有些案例的攻擊者主要目的就是資料外洩，因為越快完成任務，就能越快賺到更多錢，相對地，防守方能夠阻擋攻勢的時間也越來越少，處於這樣日益嚴峻的態勢之下，當許多企業與組織察覺遭到滲透、開始應變，以及法務部門組成應變團隊之前，資料外洩活動可能正在進行、甚至已經完成。

資料外洩動作加快是否還有其他原因？Palo Alto Networks今年2月發布的2024 Unit 42 Incident Response Report指出，過去幾年的資料外洩事故有個明顯特色，那就是攻擊者採取「拿了就走（grab-and-go）」的策略，牽涉資安威脅外洩資料的事故，大部分都是「能找到多少就帶走多少」，而非「仔細尋找特定資訊，再帶走這些資訊」，隨著這類行動的增加與趨勢的持續，也印證取走資料的速度與規模，比起鎖定目標的資料竊取更重要，攻擊者會盡快搜刮、搬運所有能到手的資料，後續再分類，在某些事故當中，資料竊取會在濫用漏洞時，同步自動進行，此舉並不新奇、也符合以往作法，因為在更先前的網路攻擊流程中，同樣傾向在早期階段外洩資料。

軟體漏洞2023年躍升為頭號初期入侵管道

第三是濫用資安漏洞，當安全性漏洞被發現與公開揭露之後，無論是攻擊方或防守方，都需要一些時間建立對應的發動與處理程序，然後在企業與組織的基礎設施或系統使用。

對於網路犯罪份子而言，兩三年前這類活動的進行需要耗費9個星期，現在1個星期就能辦到，2026年以後，有了AI的幫忙，在漏洞發布後的1個小時內，就能夠爆發這樣的攻擊行動。這也意味著，單一漏洞發布與鎖定目標濫用漏洞的時間差，將會因此大幅縮短。

值得注意的是，單就初期入侵管道（Initial Access Vectors）類型而言，暴露在網際網路環境的軟體系統漏洞（internet-facing vulnerabilities）在2023年升格至第一名，根據Unit 42的資安事故應變案件統計，這一年的軟體或API漏洞占比高達39％，一舉超越社交工程（網路釣魚）——在2021、2022年均為33％，名列第二，2023年減至17％。至於外洩的帳號密碼，在初期入侵管道的運用比例節節高升，從4.1％、12.9％，2023年增長至5倍（20.5％），僅次於軟體或API漏洞。

2023年軟體漏洞濫用之所以大幅增加，Palo Alto Networks今年2月發布的2024 Unit 42 Incident Response Report指出，可能與多起橫掃網際網路的大型自動化攻擊行動有關，網站應用程式與暴露在網際網路的軟體系統的漏洞濫用，正是這些惡意威脅的最大動能，Unit 42根據本身收集的2023年份資料集，整理出5個最常遭到濫用的漏洞，依序為：Citrix NetScaler ADC/Gateway的CVE-2023-3519、SugarCRM的CVE-2023-22952、Apache Log4j的CVE-2021-44228、MOVEit的CVE-2023-34362、Oracle WebLogic的CVE-2020-14882。

而在今年8月發布的勒索軟體2024年上半回顧報告，Unit 42列出攻擊者認為最有利可圖的7個已知漏洞，分別是：Fortinet SSL VPN的CVE-2018-13379，ConnectWise ScreenConnect的CVE-2024-1709、CVE-2024-1708，TeamCity的CVE-2024-27198，PHP-CGI指令碼引擎的CVE-2024-4577，Netlogon Remote Protocol的CVE-2020-1472，Microsoft Windows Error Reporting Service的CVE-2024-26169。

該如何緩解這樣的威脅？Unit 42建議，透過漏洞修補提高網路衛生、縮減暴露在外的攻擊面，這些工作的持續推動與落實仍然很重要，但對於大型企業與組織而言，也還是難題，而且，處理動作要快！

AI可加快攻擊速度、建立攻擊管道，以及擴充攻擊規模

關於網路犯罪分子運用AI加速攻擊的方式，Vishal Lanjekar表示，攻擊者也在AI領域不斷演進，組建他們專屬的AI模型與AI工具，簡介與展示暗網可買到的FraudGPT、WormGPT。

以FraudGPT為例，提供服務訂閱計畫的選擇，費用最低89.99歐元起算，最高為2,000歐元。買家可用AI工具鎖定特定漏洞與目標、撰寫惡意程式碼、建立網路釣魚頁面、橫跨大型CVE弱點資料持續在網路掃描100天，甚至基於詐騙角度而來的各種技術，換言之，任何人都能藉此建立難以被偵測的惡意軟體。

至於另一個WormGPT，號稱能幫忙濫用目標環境的漏洞，或滲透至社交網站的帳號，也能提供濫用物聯網設備漏洞、攻入物聯網設備的方法。

在此同時，還有其他可輔助發動攻擊的AI平臺，這些都因為能提供AI助手而成，而且還在持續發展，操作介面也和其他生成式AI非常相似，用戶要做的就是提問，之後會得到很詳細的資訊。Vishal Lanjekar預期此類AI成長速度是非常快的，未來攻擊時間可能會縮短到幾分鐘。

而在深偽（Deepfake）詐騙活動的部份，Vishal Lanjekar提到這種AI影像與聲音變造伎倆，可被用於建立銀行詐騙帳號、繞過金融機構實施的KYC（Know Your Customer）客戶身分認證程序，並在介紹形成訂閱服務型態的AI資安威脅Deepfake as Service，談到熱門的AI變臉工具Swapface遭到濫用。他也以駭客組織Muddled Libra為例，說明攻擊者利用社交媒體的影片訓練AI模型，而在調查該組織活動的過程中，他們發現裡面也運用AI學習受害者的聲音，以此欺騙其他人。

根據Incident Response Report 2024報告所言，Unit42認為現階段對於攻擊者而言，用於製作惡意軟體時，與AI合作的實用性遠高於單靠AI生成，攻擊者可能用AI幫忙開發惡意軟體的特定功能，透過具有相關知識與經驗的人員操作，能以更快速度、更低成本的方式開發惡意軟體的各種變形。

例如，透過AI對話機器人的幫忙，攻擊者可以編出更逼真的假履歷，以及錯字、溝通破綻更不明顯的工作電子郵件；透過AI生成的深偽圖片、影片、聲音，能用於製作假訊息或宣傳活動。

此外，攻擊者可運用AI快速循環使用多種攻擊管道，以找出更有效益的侵入方法（更快、更便宜），而能同時發動鎖定多個弱點進行濫用的大量攻擊；到了漏洞濫用行動後期（post-exploitation activities），AI也能幫忙加速內部環境的橫向移動與勘察。