在AI當道的時代,資安攻防也捲入新戰場。駭客從建置到部署勒索軟體,花費時間從數天縮短到幾個小時;甚至從初始入侵到攻打成功,更壓縮到以分鐘計。當攻擊節奏愈來愈快,留給企業偵測、通報與修補的反應時間,還剩下多少?
過去,研究人員或白帽駭客發現,並通報漏洞後,資安供應商發布修補程式,企業內部的資安團隊會先評估影響範圍、分流處置,再安排修補與更新,這一直是企業應對漏洞的基本流程。
然而,在AI加速攻擊流程之後,留給防禦端偵測、通報與修補的時間,正快速縮短。企業應該如何應對?
AI加快攻擊速度,企業反應時間變短
Palo Alto Networks亞太區政策與政府事務副總裁奎因(Nicole Quinn)提醒,面對AI帶來的攻擊加速,企業若還靠人工介入應對,「你不可能跟上那個速度。」
她引用Palo Alto Networks的觀察,勒索軟體從建置到部署,時間已從過去的數天縮短到15分鐘;從初始入侵到資料遭竊,也可能只剩25分鐘。
然而,企業面臨的壓力,並不僅止於攻擊速度加快。AI不分陣營,也無關善惡,正在同時降低攻守兩端的技術門檻。
無論是黑帽駭客,還是白帽資安人員,都能更快完成過往需要長時間訓練與經驗累積才能做到的工作。即便缺乏經驗,懷抱惡意者也更容易取得工具、測試手法,並快速推進攻擊流程。
Google Threat Intelligence Group技術長杭特利(Shane Huntley)補充,攻擊者早已不只是把大型語言模型當成問答助手,他們替AI代理(AI Agent)接上工具,直接用在偵察、漏洞利用、橫向移動與規避偵測。
「攻擊者小心翼翼地整合這些工具,以構建自主攻擊行動。」
攻擊時間縮短,原本留給企業修補與應變的空檔,正在迅速消失。
過去,漏洞公開、概念驗證(PoC)出現後,內部資安團隊還有時間排程更新;但現在的駭客透過AI協助,已經足以趁虛而入。
杭特利提醒,資安產業的許多流程能成立,都建立在攻擊者需要考慮時間成本的前提。只是,AI正在幫助駭客降低投入進攻的成本。
新的戰術與工具持續出現,攻擊門檻則持續下降,防禦端若不投入相應資源,帶來的風險只會愈來愈大。
奎因指出,超過73%的企業,已遭遇與生成式AI相關的資安事件。
AI Agent進入工作流程,規範與治理尚未跟上
攻擊速度變快、技術門檻降低之後,最先受到衝擊的,未必是個別資安產品,而是企業內部仰賴人力運作的應變流程。
對大多數企業來說,漏洞曝光到完成修補之間,需要判讀風險、確認影響範圍;接著,依照影響程度排出重要性,並依此更新;資安營運中心也得持續監看整體環境,偵測是否已有異常活動出現。
「我們不能還在等人類按下按鈕。」杭特利指出企業既有應變流程的壓力。
倘若進攻端全面加速,防禦端卻仍沿用過去仰賴人工判讀、逐層通報與跨部門協調的模式,應變速度就可能跟不上威脅擴散的速度,每一個環節都可能成為延誤的斷點。
他認為,企業接下來不能只停留在讓AI協助分析師工作的「human in the loop」,也就是人機協作式決策,而得進一步走向「humans over the loop」,由系統自主處理部分偵測、分析與回應流程,再由人從更高層監督整體運作。
在外部攻擊之外,AI Agent逐漸進入企業流程,也讓資安治理面臨新的挑戰。
奎因指出,超過83%的企業已經開始使用AI,但真正擁有成熟AI治理策略的組織仍是少數。
更棘手的是,許多AI工具並不是以獨立產品的形式出現,而是藏在供應鏈、第三方服務與各式內嵌功能之中,使企業難以掌握實際使用情況。
此外,AI Agent讓治理的空缺更加明顯。
和一般軟體不同,AI agent宛若數位員工,能登入系統、讀取資料,甚至執行特定任務。然而,人類員工登入系統時,通常有明確身分、權限範圍,也知道可以進入哪些系統、不能執行哪些操作;但許多企業部署AI時,仍把它當成一般程式碼處理,沒有設定清楚的身分,缺乏清楚的權限設定與行動邊界。
奎因提醒,若企業沒有替AI配置身分,「你無法看見它、追蹤它,必要時也無法阻止它。」
AI如同雙面刃,不僅降低了攻擊門檻與成本,也為防禦端帶來更高效的偵測與應變契機。
對企業而言,當務之急是重新審視資安流程,是否足以應對加速後的威脅。必須自問:哪些環節仍過度依賴人工?哪些系統存在監控死角?已導入的AI工具,是否缺乏明確的身分與權限控管?
當攻擊節奏已縮短至分鐘等級,資安攻防比的不只是技術,更是企業察覺異狀、釐清權責,並果斷處置的綜合實力。這場攻防戰,終究是一場治理速度的競賽。
