2024 高科技資安論壇新竹場
DDoS 攻擊、漏洞利用、網路釣魚仍然是企業主要威脅,如 2023 年超流量攻擊高峰達到每秒 2.01 億個要求。Cloudflare 可提供 DDoS 緩解、API 保護和零信任安全架構等防禦措施,助企業降低資安架構複雜性並加速創新。
文/林裕洋
隨著企業在雲端、AI 和 API 應用程式等投資持續擴大,也帶動駭客持續擴大攻擊力、攻擊面,以便竊取高價值資料。根據 Cloudflare 公布研究報告指出,目前 DDoS 攻擊、漏洞利用、網路釣魚仍然是企業主要威脅,2023 年有多起破紀錄的 DDoS 活動,某次超流量攻擊高峰即達到每秒 2.01 億個要求,比 2022 年 2,600 萬,幾乎大八倍以上。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
目前 DDoS 攻擊通常利用 HTTP/2 通訊協定的 Rapid Reset 漏洞發起攻擊,很少有組織能夠化解這種規模的 DDoS 攻擊,也凸顯出篩選合作夥伴的重要性。
Cloudflare Solution Engineer 姜景懷指出,在網路釣魚與商業電子郵件入侵方面,網路釣魚仍是企業面臨主要威脅之一,詐騙性連結則是最常見的網路釣魚攻擊策略。雖然 AI 興起提升網路釣魚攻擊的精度和速度,但對企業的實際影響相對有限。
相較之下,商業電子郵件入侵占整體網路釣魚數量中極小,僅為 1% 雖佔比小,但造成的財務損失巨大。根據美國聯邦調查局(FBI)報告指出,2023 年BEC 損失超過 500 億美元。
API、AI 攻擊興起 資安防護大挑戰
在 API 經濟當道下,現今全球市場在 API 使用量已超過其他應用服務,約佔 Cloudflare 處理網際網路流量的 50% 以上。隨著 API 管理與保護工作變得更加複雜,也帶來更多新風險,特別是許多 API 處於未受保護狀態,早已成為駭客鎖定的攻擊標的。此外,生成式 AI 浪潮下,企業對其增加營收和提高效率寄予厚望,IDC 預測 2027 年 GenAI 解決方案的開支將達到 1430 億美元,也吸引駭客針對此應用發動攻擊。
姜景懷說,生成式 AI 為企業風險暴露程度,主要取決因使用方式,如內部 LLM、外部 LLM、公用 LLM 等有所不同,建議企業應該要評估使用 LLM 風險。 面對日益嚴峻的資安風險,零信任架構越來越受到重視,企業正逐漸捨棄 VPN,轉而使用 ZTNA 和應用程式存取機制。Cloudflare 提供一套具備可組合、可擴展的 Everywhere Security 機制,結合機器學習機制提升攻擊偵測與預防能力,推出 DDoS 緩解、API 保護和零信任安全架構等防禦服務措施,助企業降低資安架構複雜性並加速創新,提升高效率的資安防護機制。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
