AI重塑社会工程学攻击
发起一次成功的网络攻击并不总是需要利用技术上的漏洞。更多时候,攻击者只需要从“人性弱点”下手~诱骗和操纵企业员工~即可轻松实现目的。传统的社会工程学攻击手法往往已经令人防不胜防。雪上加霜的是:攻击者滥用人工智能技术,将社会工程学攻击推向了一个新的高度(速度更快、规模更大、诱惑性更强、更加难以识别),造成的影响和损失正在日益增加。
LevelBlue最新发布的一份报告揭示了社会工程学攻击在全球范围内激增,以及日益狡猾的攻击者突破防御的时间大幅缩短。虽然商务电邮欺诈(BEC)仍然是最常见的初始攻击方式(占安全事件的59%),但非BEC事件增加了214%,这突显了攻击者行为的广泛转变。一旦攻击者进入,他们就会以前所未有的速度横向移动,平均突破时间(或攻击者在初始访问后横向移动的速度)不到60分钟,在某些情况下不到15分钟。
报告指出,人工智能正在重塑社会工程学攻击策略,使其更有说服力/欺骗性,更易大规模实施且破坏性更强。社会工程学攻击占2025年上半年观察到的初始访问事件的39%,这些攻击利用用户的信任和紧迫性来轻松访问组织的网络。威胁行为者的欺骗手法变得更加复杂和狡猾,企业员工难以辨别真实和伪造的基于人机互动沟通。
安全文化和领导力未能跟上步伐
数据显示,网络安全文化建设薄弱和领导力不足正在使组织暴露于网络安全风险之中。仅43%的组织表示,他们在全组织范围内打造了有效的网络安全文化。在拉丁美洲地区,这一数字降至36%。风险治理也没强多少。45%的组织坦言他们的治理团队缺乏对网络弹性的认知和理解,在欧洲和拉丁美洲地区,这一比例接近一半。
领导层同样做得不够。半数组织表示,领导层未将网络弹性列为优先事项。协作能力同样薄弱,仅有四分之一的网络安全团队被认为能够高效协同企业内部其它部门。
员工安全意识培训是另一个薄弱环节。仅有20%的组织制定了面向员工的社会工程学防范教育策略。即使展望未来,安全培训仍然是一个低优先级事项。在未来12个月内,仅26%的组织表示安全培训将会是一个重点。大多数受访者计划优先投资于技术措施(41%)或领导层参与(37%)。
LevelBlue首席布道师heresa Lanowitz表示:“建立一种网络弹性文化对于组织有效应对日益复杂的社会工程学攻击至关重要。这些攻击利用人性弱点,操纵人们行为,因此若不投入足够资源管理安全意识教育和培训,包括建立网络弹性相关流程和聘请专业的安全意识与文化顾问等,组织及其员工面对社会工程学攻击时将仍然处于脆弱的境地。”
组织尚未做好应对新型攻击的准备
尽管组织对传统社会工程学攻击有所准备,防范意识有所提升,但对面对新型的社工攻击时信心明显不足。超过一半的受访者表示,他们已经做好防范商业电邮欺诈或个人信息盗窃的准备。但仅32%的组织声称能够应对深度伪造攻击--尽管44%的组织预计未来一年将会遭遇此类攻击。而针对人工智能驱动的攻击,组织的网络就绪度更低,仅29%的组织表示有应对方案。
预算投入情况呈现喜忧参半的局面。33%的组织正在整个业务流程中投入大量资金用于建立网络韧性,31%的组织对生成式人工智能赋能安全防御进行了重大投资。与此同时,仅有13%的组织将主要资源投入到零信任架构建设中。
外部支持资源也没有得到充分利用。37%的组织曾与外部网络安全顾问合作,仅32%的组织引入过安全意识与培训专家。报告显示,未来两年内这些比例仅会小幅上升。
调查结果最后提出了四项建议:提升领导层参与度,扩大针对员工岗位角色的定制化培训,同时加强防范已知和新型的社会工程学攻击,并在必要时引入外部安全专家与专业资源。
注:本文编译自Helpnetsecurity主编Anamarija Pogorelec近期发表的专栏文章,请以英文原文为准。
声明:本文来自超安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
