資安人攜手
Cloudflare 與
極風雲創舉辦的「迎戰AI數位威脅,打造 API 零信任安全研討會」於 2024年9月4日在台北艾美酒店圓滿落幕。本次以「API 攻擊的最新趨勢與駭客最新攻擊手法」為主題,匯聚
EY安永、
Cloudflare 與
極風雲創的 API 專家,共同探討人工智慧技術對資訊安全帶來的影響與應對之道,議題涵蓋了AI在資安防禦與攻擊中的應用、AI 模型的安全性、隱私保護技術等多個熱門話題。
極風雲創虞正邦策略長在開場致詞中強調,API 在全球網際網路流量中佔比超過 60%,使得 API 安全保護變得至關重要。客戶面對的主要挑戰包括:API 可視度需要持續盤點、應對 DDoS 攻擊和 AI 輔助的駭客攻擊,以及 AI 技術發展使 API 更容易被暴露和誤用。透過縱深防禦架構,結合 Cloudflare 的全球網路架構和極風雲創的 BDE Security Control Platform,可實現南北向和東西向的全面保護。更強調了 API 即時防禦的重要性,包括自動探索、風險評估、強化驗證授權機制,以及實施如機密資料保護和合規性管理等安全措施,以應對未知的攻擊。
EY安永蔡旻軒經理在活動中首先分享了近期全球企業 API 發生的重大事件,包括 MOVEit Transfer 漏洞和 Twitter API 洩露事件。他指出常見的 API 安全風險包括未經授權的檔案上傳、JWT Token 漏洞和程式碼注入等。為加強 API 安全,蔡經理建議採取以下防護措施:身份授權、多因素認證、輸入驗證,以及定期進行弱點掃描和滲透測試。他還提到可利用公開資料和搜尋引擎(如Shodan)進行 API 資訊搜尋。更強調,企業應高度重視API安全,因為即使未被特別鎖定,也可能隨時遭受攻擊。
隨後,Cloudflare 解決方案顧問姜景懷分享最新防禦趨勢:如何利用 AI 技術來對抗包含 Prompt Injection、DDoS 攻擊和敏感數據洩露等 AI 安全威脅。針對這些威脅,Cloudflare 提出了相應的解決方案 — Firewall for AI(AI 防火牆)。這個防火牆可以驗證 prompt 內容的合法性、實施速率限制以防止 DDoS 攻擊,以及保護敏感數據不被洩露。姜顧問強調,透過運用 AI 思維邏輯、GPU 加速和 Cloudflare 的威脅情報數據庫,可以有效保護 API、大型語言模型和其他應用程式免受駭客攻擊。
極風雲創創新技術研究發展處處長 Tom Lin 進一步分享極風雲創的 BDE Security Control Platform 管理平台的功能和高可視性防禦。該平台結合AI技術,提供全面的 API控制權。其主要功能涵蓋盤點監控、管制授權和安全防護。管理者可輕鬆查看 API使用狀況、統計數據和異常情況,更能靈活地運用可客製化報表和數據篩選功能,快速定位問題。此外,平台還提供了防禦功能,可以識別和追蹤惡意攻擊,並利用 AI根據時間段分析攻擊模式,優化防禦策略,大幅提升 API的安全性和管理效率。
隨著 API成為企業數位轉型的關鍵,它的廣泛應用也帶來了新的資安風險。不當設計的API不只是駭客攻擊的熱門目標,更可成為資料外洩的潛在漏洞。面對這些威脅,企業必須採取積極的防護措施,包含善用 AI技術來強化 API的監控和防禦能力。透過全面的 API流量管理和智慧化的安全策略,才能更有效地守護自身的數位資產,確保營運安全和穩定性。