在黑客利用合法憑證濫用受損帳戶的情況下,人工智能(AI)可以構建正常活動模式並識別異常,這使其成為強大的安全工具。Barracuda Managed XDR在2023年上半年的數據顯示,AI模式分析幫助偵測並消除了數千個高風險事件,其偵測方式包括異常連線登入、異常狀況檢測以及與已知惡意工件的通訊。其中,異常連線登入是最常見的高風險偵測之一。
Barracuda SOC進攻型安全總監Merium Khalid表示:「根據SOC團隊調查的一宗事件顯示,有用戶從美國加州登入他們的Microsoft 365帳戶,然後僅13分鐘後便從維珍尼亞州再次登入。」此情況會在用戶嘗試從兩個不同地理位置的地方快速登入雲帳戶時發生,而登入時間的差距無法掩飾地理上的距離。從維珍尼亞登錄的IP並非來自已知的VPN地址,而該用戶通常不會從事發位置登入。
異常狀況檢測則可以識別用戶帳戶中的異常或意外活動,例如罕見或單次登入、不尋常的文件存取模式、為個人用戶或機構建立過多帳戶等。這些檢測可能是多種問題的徵兆,包括惡意軟件感染、網絡釣魚攻擊以及內部威脅。最後,與已知惡意工件的通訊這類偵測用作識別需予警告或已知為惡意IP地址、地域或文件的通信。這可能是惡意軟件感染或網絡釣魚攻擊的跡象,用戶應立即將涉事電腦隔離。
根據Merium Khalid指出的,每個人都有獨特的數碼檔案,涉及工作方式、地點和時間,如果IT事件超出這些模式範圍,AI偵測就會觸發警報。雖然AI可以大幅增強保安,卻同時也可以用於惡意目的,例如建立極容易令人信服的電郵,或使用惡意代碼以適應特定目標或改變安全條件。為保護機構和員工免受發展迅速、日益聰明的攻擊策略侵害,用戶需要深入、多層次的保安,包括使用強大的身份驗證措施、定期作員工培訓和更新軟件,並以跨網絡、應用程式和服務端點的全面可視性和持續監控為保安基礎。