AWS Community Day Hong Kong 2025 Recap

以 ML 驅動的方法實現電信安全現代化

Recap Series

近期趨勢與挑戰

線上交易增加

  • 西非、中國與香港等地區日益依賴手機進行交易
  • 預估到了 2027 年,每年線上交易量將達一兆筆

付款詐騙增加

  • 截至 2023 年,詐騙造成的損失達 15 億美元
  • 47% 的詐騙涉及交易(線上、實體、語音)

產業因應措施

  • 導入反詐騙系統
  • 強化雙因素驗證
  • 行為分析檢查
  • 使用風險引擎追蹤模式

以模式為基礎的防護限制

  • 僅能提供一定程度的保護
  • 需要更全面的安全措施

權杖化與去權杖化

  • 加密請求以保障交易安全
  • 收到請求時解密,以確保安全傳遞
  • 這是許多金融公司的現行做法

詐騙偵測與防範的挑戰

安全情報缺口

  • 電信產業難以跟上新型詐騙攻擊
  • 安全系統不斷出現新的後門

在安全與使用者體驗之間取得平衡

  • 保護系統安全的同時,還要確保不會封鎖合法流量
  • 如何在不妨礙客戶體驗的情況下維持安全,是一大考量

監控與偵測的限制

  • 傳統允許/拒絕規則不足以抵禦現代威脅
  • 新型攻擊經常繞過規則式系統

運用 AWS 工具強化識別能力

  • 運用 AWS 工具識別並緩解新型威脅

傳統與現代安全方法的比較

傳統方法

  • 允許或拒絕規則
  • 兩步驟驗證
  • 設有固定 IP 位址的網路 VLAN

傳統方法的限制

  • 無法有效抵禦先進 AI 與機器學習驅動的攻擊
  • 在系統中形成更多漏洞

欺騙媒介的演變

現代攻擊手法

  • 著重於語音詐騙
  • 透過社交工程誘騙使用者進行並非由其發起的交易

對 AI 與機器學習的需求

  • 因應相關疑慮,以及對先進解決方案的需求
  • 用來對抗當代詐騙手法的解決方案

歷史缺陷與現代傳輸方式

SS7 通訊協定

  • 用於 2G、3G 與 4G 網路
  • 設計目的在於防止通訊遭攔截
  • Signaling System No. 7 (SS7) 是全球通用的一組電信通訊協定,為全球大多數公用交換電話網路 (PSTN) 通話提供訊號傳遞與控制。它使用獨立的專用網路交換建立、管理及結束語音通話所需的控制資訊,並支援 SMS 與來電顯示等進階服務。
  • SS7 在 1970 與 1980 年代被設計成封閉式系統
  • 這種安全性不足的問題使其容易遭到利用,讓能夠存取 SS7 網路的惡意行為者得以:
  • 追蹤位置:透過查詢位置資料庫,精確定位世界各地的使用者位置。
  • 攔截通訊:竊聽通話並讀取 SMS 訊息,包括網路銀行及其他服務的雙因素驗證 (2FA) 代碼等敏感資訊。
  • 協助詐騙:重新路由通話、發動 SIM 卡交換攻擊,或進行其他詐騙活動。
  • 發動阻斷服務 (DoS) 攻擊:使訊號通道超載,造成網路中斷。
  • 4G 與 5G 網路主要使用更安全的 Diameter 通訊協定傳遞訊號,但 SS7 仍廣泛用於支援全球漫遊、連接舊有 2G/3G 網路,以及傳送 SMS 訊息。

持續存在的威脅

  • 儘管 4G 與 5G 持續建置,2G 與 3G 網路仍在使用
  • 駭客利用 SS7 通訊協定的缺陷攔截通訊
  • 部分地區仍仰賴較舊的網路技術,因此威脅持續存在

在電信安全中使用 AI 的優點

AI 作為推動技術

  • 訓練機器偵測欺詐性對話
  • 識別對話中的「詐騙式」用語
  • 區分合法互動與詐騙互動

持續學習

  • AI 會以新的解決方案因應新型攻擊
  • 確保防護措施與時俱進,以抵禦持續演變的威脅

經濟層面的影響

  • 防止營收流失與公司破產
  • 維繫客戶信任這項寶貴資產
  • 確保系統安全,以維持客戶信心與投資

解決方案概觀

與現有系統整合

  • 同時因應雲端與內部部署的舊有系統
  • 將 5G 技術的延遲降至最低
  • 確保與較舊的網路技術相容

解決方案流程

  • [ 1 ] 發起通話
  • 透過無線電波、衛星或 IP 位址撥打電話
  • [ 2 ] 路由
  • 將通話路由至基地台
  • [ 3 ] 轉換
  • 通話先經媒體轉換器轉換,再轉送至安全環境

可疑語音偵測

  • 轉錄器在通話期間擷取可疑語音
  • 自訂關鍵字檢查:
  • 標記 "give me your pin" 或 "we need your bank details" 等關鍵字
  • 確保妥善保護對話中的敏感資訊

解決方案的詳細工作流程

預載關鍵字

  • 系統預先載入顯示可能涉及詐騙的關鍵字(例如 "give me your pin")
  • 這些關鍵字是識別可疑對話的第一道判斷依據

AWS Comprehend

  • 分析對話的語氣、急迫程度與情緒
  • 識別詐騙式用語與異常對話模式

AWS SageMaker

  • 使用自訂模型進行局部即時模型訓練
  • 在通話期間,系統識別可疑模式並向使用者傳送詐騙警示
  • 若偵測到詐騙,使用者可以選擇結束通話

Event Bridge 與 Lambda Functions

  • Event Bridge 代表自訂詐騙邏輯
  • Lambda functions 處理不同的偵測情境(中性、非中性、詐騙)
  • 根據偵測結果觸發使用者通知

再訓練儲存貯體

  • 將最初未檢查的對話儲存於 S3 bucket,以供再訓練
  • 支援非監督式學習,讓系統能從過往對話中學習

系統可見性與合規

  • 用於合規的成品
  • 使用 CloudWatch 監控日誌
  • 使用 GuardDuty 識別模型行為變化與安全性注入
  • 使用 AWS Crawler 對組態進行靜態分析(自動掃描並探索 Amazon S3、DynamoDB 與關聯式資料庫等各種來源中的資料,以填入中央 AWS Glue Data Catalog)
  • 使用 AWS Config 進行金鑰管理
  • 管理個人識別資訊 (PII)

資料敏感性與加密

  • 確保資料無論位於電信端或雲端都維持安全
  • 提供完整雲端實作,電信使用者可選擇偏好的方式

示範與實作細節

  • 透過簡單示範呈現進行中的對話,以及如何識別可疑模式
  • 即時詐騙偵測與使用者警示

對話錄音

  • 示範包含各種語音錄音
  • 區分非網路釣魚與網路釣魚語音錄音

使用 Terraform 部署

  • 使用 Terraform 部署基礎架構
  • 提供用於部署 Lambda function 的範例程式碼

Lambda Function

  • 由事件觸發的 SNS topic
  • 偵測關鍵字:"to reset your PIN"、"confirm your account"、"last four digits"、"confirm your account number"
  • 可疑門檻設為 0.5;0.85 表示詐騙

緩解框架

結合 AI 的政策即程式碼

  • 定義政策即程式碼並納入 AI 的重要性
  • AI 協助理解及更新超越人類能力範圍的複雜程式碼

結構化程式碼部署

  • 將程式碼部署視同同儕審查,並採用適當結構
  • 附上安全風險實作與單元測試
  • 使用 AWS GuardDuty 持續監控模型行為,確保受到保護

自然語言處理 (NLP)

  • 加入 NLP,以識別電信通訊與無線電波中的模式和情緒
  • 強化對詐騙、中性或安全通訊的偵測

全球詐騙防範

即時風險管理

  • 著重於在全球範圍即時防範詐騙
  • 透過持續監控與調整,確保系統安全

結論

  • 強調主動防範詐騙,而非被動因應