Keypro,軟體保護,OTP動態密碼鎖,HSM,SSL憑證 - 正新電腦

防網路釣魚無密碼身分驗證
為了因應不斷演進的網路威脅，全球關鍵基礎建設CI 實體必須從傳統的憑證式驗證轉換到更安全、防網路釣魚的無密碼方式。共用的機密和憑證本身就容易受到網路釣魚攻擊。例如，IBM 2024 年數據外洩成本報告指出，被竊或外洩的憑證是數據外洩最常見的初始媒介。這些數據外洩的識別和控制時間也最長，將近 10 個月。

為了降低此風險，企業應該採用不依賴此類憑證的身分驗證方法 ”無密碼身分認證”，例如裝置綁定金鑰和 FIDO 安全金鑰，可消除人為錯誤因素，大幅提升安全性。

 

過去一年來，全球關鍵基礎設施 (CI) - 包括能源、醫療保健、金融、通訊、製造業和運輸業 - 飽受不斷的攻擊。《2024 年 Thales 關鍵基礎設施數據威脅報告》顯示，近 93% 的 CI 受訪者表示受到的攻擊增加。CI 遭破壞的後果可能是災難性的，會影響基本服務，甚至危及生命，因此保護這些環境的安全如此重要。

CI 受訪者強調，身分與存取管理 (IAM) 是協助對抗攻擊和保護敏感數據的關鍵技術之一。它是 CI 網路安全的支柱，可確保只有經過授權的人員才能存取敏感數據和控制系統。
 

攻擊者跨越您的模型訓練

訓練模型需要投入大量的時間和費用。除了收集有效的訓練資料集之外，您也需要透過正確標示樣本來進行整理。試圖超越您的進度的對手，通常會使用您的模型來標示他們未標示的訓練資料集，省去他們產生正確標示所需的大量時間和精力。如此一來，您的競爭對手就可以利用與您相匹配的大型訓練套件，快速建立可比較的模型，從而抵銷您的優勢。

攻擊機器學習(ML)應用程式

攻擊應用系統的行為，而非直接對 ML 模型進行「正面攻擊」，也會對 ML 模型造成影響。每個 ML 模型應用程式都有在主要的 CPU 上執行的部分程式碼。接收和準備資料以輸入到 ML 模型，或對 ML 模型輸出進行後處理時，都會受到輸入操控攻擊和輸出完整性攻擊 (OWASP 前 10 名)。未防止逆向工程和/或修改的應用程式很容易受到這些威脅。
 

模型修改

讓您的 ML 模型發揮預期的功能至關重要。如果沒有正確的保護措施，您的模型完整性就有可能受到那些希望您受到傷害的人的破壞。這可能發生在任何部署的階段 -- 應用程式傳送、模型更新或安裝後。在 OWASP 的十大攻擊中，包括模型中毒 (Model Poisoning) 和轉移學習攻擊 (Transfer Learning Attack)，這兩種攻擊都是以修改版本或完全不同的模型取代真實模型。

此類攻擊需要瞭解機器學習模型與應用程式之間的介面，這可以透過逆向工程來達成。藉由瞭解結構，攻擊者可以製造一個虛假模型，提供正確的介面來取代原始模型。在攻擊者在進行轉移學習攻擊的情況下，他很可能會調整模型，使其僅在對他有利的特定情況下才採取惡意行動。
 

在電腦科技領域中，很少有領域能像人工智慧 (AI) 和機器學習 (ML) 那樣受到重視。這一學科處於電腦科學與數據分析的交叉點，已成為行動應用、語音助理、詐欺交易偵測、影像辨識、自動駕駛，甚至醫療診斷不可或缺的一部分。由於機器學習模型需要投入大量的時間和財務資源，並且它在許多行業中變得越來越普遍，因此駭客攻擊和知識產權竊取的問題非常嚴重。如果您是使用 ML 模型作為軟體產品一部分的廠商，您需要格外小心保護ML 模型不受到攻擊。