Imperva - 2025 年應用程式安全大膽預測

Nostradamus因對遙遠未來的預測而聲名大噪，但這種方式在今天已不那麼吸引人，畢竟現代人的注意力只有金魚般的短暫。所以，作為 Imperva（隸屬於 Thales 旗下）的應用程式安全（AppSec）CTO，讓我為您描述我們對明年五大網路安全趨勢的預測。如果這些都實現了，那麼從此以後，您就必須稱呼我為「The Amazing David Holmes」。

生成式 AI 創造了一個全新的殺手級應用程式——自然語言資料介面。然而，這種新型介面也帶來了一個新的威脅向量：提示詞注入（Prompt Injection）。在 2025 年，一家全球 2000 強企業將因提示詞注入攻擊、破解（Jailbreak）或其他提示詞錯誤而失去大量重要的智慧財產。

生成式 AI 是一種工具，而工具既可以用於善，也可以用於惡。惡意行為者已經開始利用生成式 AI 進行偵查、網絡釣魚等「事前」駭客活動。根據 2024 年 3 月發表的一份研究報告，研究人員評估了不同大型語言模型（LLM）在「事後」駭客活動中的表現，例如結合生成式 AI 與 Metasploit，啟動攻擊後全自動運作。研究顯示，ChatGPT 的駭客能力比 Llama-2 模型更強。而 Imperva 的研究人員也曾探討 GPT-4 如何在無需事先知識或人類反饋的情況下，自主執行攻擊。

目前，生成式 AI 已經能夠用於事前的偵查與事後的權限提升和橫向移動。我們預測，2025 年，一群具有創意的攻擊者將把這兩個階段整合成一款超級駭客工具，僅需輸入一個企業目標的名稱，就能「釋放 AI 戰爭之獸」。當這種超級駭客工具不可避免地被洩漏（或遭竊取）後，全球防禦者將陷入手忙腳亂的應對狀態。

我最近參加了 2024 年 Forrester 安全與風險峰會，分析師 Madelein van der Hout 在一場分組會議中討論了 API 安全性。根據她的研究，多數企業對 API 安全性抱有興趣，但尚未真正採用。即使已經採用，大多仍處於早期階段，主要將解決方案用於 API 的發現與清點（這也與我夏季與客戶的對話一致）。然而，僅僅收集 API 端點只是第一步，因為最終還是需要保護它們。

我的第四個預測是：2025 年將成為北美企業在 API 安全性領域的分水嶺。早期大眾市場的企業將開始採用或計畫在 24 個月內採用 API 安全解決方案。他們將加入早期採用者的行列，進行 API 發現，有些會進一步發展到監控階段。而早期採用者則會進一步進行風險分析，甚至開始進行問題修復。

2024 年差點以一場驚天動地的事件揭開序幕。一群惡意的國家級攻擊者，經過數月嚴密的社交工程，劫持了 XZ Utils 的維護權——這是一個廣泛使用的開源壓縮庫，包含於許多現代 Linux 發行版中。他們精心植入了一個隱秘的後門，並發布了被毒害的程式碼，隨後這些程式碼開始在早期測試版發行中傳播。幸運的是，一位英雄般的網路管理員注意到，新程式碼導致他的 SSH 連接延遲了半秒。他展開個人調查，發現了後門並發出警報，成功移除了威脅。如果沒有他的發現，這個國家級攻擊團隊可能已經成功滲透數百萬個支持現代網際網路的 Linux 系統。

我們預測，在 2025 年，類似 XZ Utils 的開源軟體攻擊將真正成功。因為其他國家級行動者都已見證這次攻擊距離「統治世界」有多接近。對於決心執行這類行動的國家來說，沒有任何阻礙能阻止他們同時針對數十個不同的開源項目發動攻擊；他們只需要成功一兩次即可。事實上，或許這些攻擊已經發生，我們只是要到 2025 年才會發現。