阿摩線上測驗
複選題
12. 為了防禦日益逼真的深度偽造(Deepfake)攻擊,組織應採取結合技術與程序的綜合性防禦策略。下列哪些措施屬於此類策略?(複選)
(A) 採用具備活體偵測(Liveness Detection)功能的生物辨 識系統
(B) 建立一個獨立的、高可信度的通訊管道(如緊急簡訊群 組),用於驗證高風險指令
(C) 禁止所有員工使用社交媒體
(D) 針對財務、人事等敏感操作,實施職務區隔 (Segregation of Duties, SoD)與多重審批流程
統計: A(156), B(166), C(5), D(179), E(0) #3536998
詳解 (共 2 筆)
這題的正確答案是 (A)、(B)、(D)。
以下為您解析為何這些選項屬於有效的綜合防禦策略,以及為何 (C) 不合適:
正確選項解析
-
(A) 採用具備活體偵測 (Liveness Detection) 功能的生物辨識系統
-
策略面向: 技術 (Technology)
-
解析: Deepfake 攻擊常涉及使用預先錄製的影片、生成的面具或合成圖像來欺騙身分驗證系統。活體偵測技術能透過偵測微表情、眨眼、頭部轉動深度,甚至血液流動引起的微小膚色變化,來判斷鏡頭前是否為「真人」。這是防禦呈現攻擊 (Presentation Attack) 的第一道技術防線。
-
-
(B) 建立一個獨立的、高可信度的通訊管道 (如緊急簡訊群組),用於驗證高風險指令
-
策略面向: 程序 (Procedure)
-
解析: 這是防禦社交工程(包含 AI 換臉/變聲)最有效的標準作業程序,稱為 「頻外驗證」(Out-of-Band Verification)。當員工接到高層打來的視訊電話要求緊急匯款,但感覺有些許不對勁時,不應直接在該通話中確認,而應掛斷電話,改用另一個既定的安全管道(如內部加密通訊軟體或內線電話)進行確認。Deepfake 難以同時劫持兩個截然不同的通訊管道。
-
-
(D) 針對財務、人事等敏感操作,實施職務區隔 (Segregation of Duties, SoD) 與多重審批流程
-
策略面向: 程序 (Procedure)
-
解析: Deepfake 的目的通常是詐騙(CEO Fraud)。即便駭客成功用 Deepfake 騙過了一位員工,只要公司落實 SoD 與多重簽核,單一員工無法獨自完成匯款或更改薪資帳戶。這能大幅降低單點崩潰的風險,是零信任架構下的重要內控機制。
-
錯誤選項解析
-
(C) 禁止所有員工使用社交媒體
-
解析:
-
不切實際: 在現代商業環境中,社交媒體是用於行銷、招募與業務拓展的重要工具,全面禁止會嚴重影響營運。
-
無法根治: 駭客獲取人臉或聲音樣本的來源不限於社交媒體(例如公開的新聞訪談影片、線上會議錄影等)。
-
正確做法: 應是進行「資安意識教育」,教導員工減少暴露高解析度的個人生物特徵,或限制公開貼文的權限,而非因噎廢食全面禁止。
-
-
總結
防禦 Deepfake 不能只靠單一手段,必須是 「技術攔截 (A)」 + 「驗證流程 (B)」 + 「權限控管 (D)」 的組合拳。